Arquitecturas de Forwarding en Cisco

-

Para entender cómo operan los routers modernos, especialmente en el ecosistema de Cisco, primero debemos distinguir los dos planos de operación que rigen su funcionamiento:

  • Control Plane (Plano de Control): Es el "cerebro" del equipo. Aquí la CPU procesa los protocolos de enrutamiento (OSPF, BGP, EIGRP) y construye la tabla de rutas.
  • Data Plane (Plano de Datos): También conocido como Forwarding Plane. Es el encargado de mover los paquetes desde la interfaz de entrada hacia la de salida basándose en las decisiones del plano de control.

Antes de profundizar en las arquitecturas, debemos entender el proceso lógico que el router realiza con cada paquete:

  1. Analizar la IP de destino.
  2. Consultar la tabla de enrutamiento (RIB).
  3. Resolver la dirección MAC del siguiente salto (Next Hop).
  4. Reescribir la cabecera de Capa 2 (Encapsulación).
  5. Enviar el paquete por la interfaz correspondiente.

A continuación, exploraremos la evolución de las arquitecturas de forwarding de Cisco, comenzando por el método más rudimentario.

1. Process Switching

Este es el método más antiguo y básico. Su funcionamiento se basa en el uso intensivo de la CPU para procesar absolutamente todos los paquetes que transitan por el router.

Cuando un paquete llega a un router configurado con Process Switching, ocurre lo siguiente:

  1. El hardware de la interfaz recibe el paquete y genera una solicitud de interrupción (IRQ) al CPU.
  2. El CPU detiene sus tareas actuales para procesar el paquete individualmente a través del proceso de routing del sistema operativo (IOS).
  3. El CPU consulta la tabla de routing en la RAM para encontrar la mejor coincidencia.
  4. Se determina la interfaz de salida y el próximo salto.
  5. El CPU realiza la reencapsulación del paquete con la nueva información de Capa 2 (cambio de MAC origen/destino).
  6. Finalmente, el paquete se envía a la interfaz de salida.

Desventaja principal:

Debido a que el CPU debe intervenir en cada paquete, este método es extremadamente lento y poco escalable. Con grandes volúmenes de tráfico, el uso de la CPU se dispara, lo que puede saturar el dispositivo, aumentar la latencia y provocar la caída de servicios críticos. En este punto, conceptualmente, tanto el control plane como el data plane no están separados, y todo es realizado por la CPU.

2. Fast switching

El Fast Switching fue la primera evolución significativa de Cisco para intentar aliviar la carga de trabajo de la CPU. Su filosofía se basa en el principio de: "Procesa el primer paquete por software, pero conmuta el resto por hardware".

A diferencia del Process Switching, este método utiliza un sistema de Caché de Rutas (Route Cache). El proceso ocurre de la siguiente manera:

  1. El primer paquete de un flujo: Cuando llega un paquete hacia un destino nuevo, el router no sabe qué hacer con él todavía. Por lo tanto, lo envía al Control Plane (CPU).
  2. Generación del caché: El CPU realiza la búsqueda en la tabla de rutas, determina la interfaz de salida y la MAC del siguiente salto. Pero, antes de enviar el paquete, guarda esta solución en un caché rápido.
  3. Los siguientes paquetes: Todos los paquetes posteriores que pertenezcan al mismo flujo (mismo destino) ya no interrumpen al CPU. El router consulta el caché, ve que ya tiene la respuesta y los envía directamente a través del Data Plane.

3. Cisco Express Forwarding (CEF)

CEF es el mecanismo de forwarding por defecto en los routers modernos de Cisco y representa la solución definitiva al problema del consumo de CPU. A diferencia de sus predecesores, CEF logra una separación física y lógica total entre el Control Plane y el Data Plane, permitiendo escalar a volúmenes de tráfico masivos.

A diferencia del Fast Switching (que es reactivo y necesita que llegue un primer paquete para crear un caché), CEF es proactivo. En lugar de esperar al tráfico, CEF toma la información del Plano de Control y construye dos tablas especializadas en el Plano de Datos:

  1. FIB (Forwarding Information Base): Es una copia optimizada de la tabla de rutas. Contiene todas las IP de destino y la interfaz de salida, organizada de una forma que el hardware puede consultar a una velocidad increíble (usando estructuras llamadas MTRIE).
  2. Adjacency Table (Tabla de Adyacencia): Mantiene la información de Capa 2 (direcciones MAC) de todos los vecinos directamente conectados.

El proceso de forwarding con CEF:

Cuando llega un paquete, el router ya no tiene que preguntar nada a la CPU ni esperar a que un "primer paquete" procesado por software cree una entrada en el caché.

  1. El router busca el destino en la FIB.
  2. Cruza esa información con la Tabla de Adyacencia para obtener la MAC.
  3. El paquete se reencapsula y se envía directamente por el hardware (Data Plane).

Ventajas principales:

  • Cero latencia de inicio: No hay penalización por el "primer paquete".
  • Uso mínimo de CPU: La CPU solo se encarga de actualizar las tablas cuando hay cambios en la red (por ejemplo, si cae un enlace), pero no interviene en el movimiento de los paquetes.
  • Alta escalabilidad: Permite procesar millones de paquetes por segundo mediante el uso de ASICs o procesadores de red especializados.

4. Ternary Content Addressable Memory (TCAM)

Si CEF es la arquitectura lógica, la TCAM es el componente físico (hardware) que hace posible el milagro de la velocidad. Mientras que una memoria RAM normal requiere que el CPU busque en una dirección para encontrar un dato, la TCAM funciona al revés: se le da el dato y ella te dice, en un solo ciclo de reloj, si existe y dónde está.

¿Por qué "Ternaria"?

A diferencia de la memoria CAM estándar (utilizada para tablas MAC), que es binaria y solo entiende de 0 y 1 (Match exacto), la TCAM introduce un tercer estado:

  • 0: Indica un valor de bit "0".
  • 1: Indica un valor de bit "1".
  • X (Don't Care): Actúa como un comodín. Esto es fundamental para las subredes (máscaras de red) y las Listas de Control de Acceso (ACLs).
El modelo VMR (Value, Mask, Result)

La TCAM organiza la información en una estructura de tres componentes clave para decidir qué hacer con un paquete de forma instantánea:

  • Value (Valor): Son los campos que queremos comparar, como la IP de origen/destino, puertos TCP/UDP o etiquetas de QoS.
  • Mask (Máscara): Determina qué bits del "Value" son relevantes. Por ejemplo, en una ruta /24, la máscara le dice a la TCAM que solo le importan los primeros 24 bits.
  • Result (Resultado): Es la acción final que se ejecuta tras el match. No solo es "enviar el paquete", sino que puede incluir:
    • Permitir o denegar (ACLs).
    • Aplicar una política de calidad de servicio (QoS Policer).
    • Redirigir a una interfaz específica.

¿Por qué es tan importante para el Data Plane?
Gracias a la TCAM, el router no tiene que revisar una lista de 500 líneas de ACL una por una. La búsqueda de la ruta (FIB) y la evaluación de las políticas de seguridad (ACL) ocurren simultáneamente y en hardware, sin importar cuántas reglas tengas configuradas.

5. Centralized Forwarding

En la arquitectura de Centralized Forwarding, existe un componente central (generalmente una Route Processor o CPU principal) que es el único responsable de tomar las decisiones de enrutamiento para todas las interfaces del dispositivo.

¿Cómo funciona el flujo de datos?
Cuando un paquete llega a una de las tarjetas de línea (line cards) o interfaces:
  1. La interfaz recibe el paquete, pero no sabe qué hacer con él.
  2. El paquete es enviado a través del backplane (el bus interno del equipo) hacia la CPU central.
  3. El motor de forwarding central consulta sus tablas (FIB/Adjacency) y decide la interfaz de salida.
  4. El paquete vuelve a viajar por el backplane hacia la tarjeta de línea de salida para ser transmitido.
Características principales:
  • Cerebro Único: Solo hay un motor de búsqueda y una tabla de reenvío para todo el chasis.
  • Hardware más simple: Las tarjetas de línea (donde se conectan los cables) son "tontas" o menos complejas, ya que no necesitan procesadores potentes ni mucha memoria propia; solo actúan como puertos de entrada y salida.
  • Costo: Suele ser más económico de implementar en dispositivos de gama media o baja.
El problema principal de este modelo es la escalabilidad. Al tener que pasar todos los paquetes por el motor central:
  • El backplane y la CPU central se saturan si hay demasiado tráfico.
  • Si tienes un switch de 48 puertos y todos están enviando tráfico masivo, la CPU central se convierte en un embudo.

6. Distributed Forwarding (dCEF)

El Distributed Forwarding es la arquitectura donde el proceso de toma de decisiones se reparte entre las distintas tarjetas de línea (Line Cards) del equipo. Aquí, el lema es: "No envíes el paquete al cerebro; dale a cada brazo su propio cerebro".

Si el Centralized Forwarding es un cuello de botella, el Distributed Forwarding (dCEF) es la autopista de múltiples carriles que utilizan los equipos de alto rendimiento (como los Cisco Catalyst 9000, Nexus o la serie ASR).

¿Cómo funciona?
En lugar de depender de una CPU central para procesar cada paquete, el Route Processor (RP) realiza una tarea de delegación:
  • Sincronización: El RP construye las tablas maestras (FIB y Adjacency Table) en el Plano de Control.
  • Distribución: El RP envía copias exactas de estas tablas a cada una de las tarjetas de línea del chasis.
  • Decisión Local: Cuando llega un paquete a una interfaz, la tarjeta de línea consulta su propia copia local de la FIB.
  • Conmutación Directa: El paquete se envía directamente a través del switch fabric hacia la interfaz de salida, sin que la CPU principal se entere siquiera de que el paquete pasó por el router.
Componentes Clave:
  • Line Card CPUs/ASICs: Cada tarjeta tiene sus propios procesadores especializados para consultar la memoria local (donde reside la TCAM).
  • Switch Fabric: Es la interconexión de alta velocidad que une las tarjetas de línea, permitiendo que los datos fluyan entre ellas en paralelo.
Ventajas principales:
  • Escalabilidad Masiva: El rendimiento total del equipo es la suma de las capacidades de todas sus tarjetas. Si agregas más tarjetas, aumentas la capacidad de procesamiento total.
  • Eficiencia del Plano de Control: La CPU principal queda libre para tareas críticas como mantener los protocolos de enrutamiento (OSPF, BGP) o gestionar el equipo, ya que no pierde tiempo moviendo paquetes.
  • Redundancia: Si el motor de forwarding de una tarjeta tiene un problema, las demás pueden seguir funcionando de manera independiente.

7. Software CEF (Software-Based CEF)

Software CEF es la implementación de la arquitectura Cisco Express Forwarding ejecutada íntegramente por la CPU del dispositivo. Es el mecanismo por defecto en routers de gama baja o media (como las series ISR 1000 o 4000) y en routers virtuales (como el CSR 1000v o C8000v).

el proceso de búsqueda y reenvío lo realiza el procesador general del router (la CPU), en lugar de usar chips especializados como los ASICs. Permite que routers pequeños o virtuales tengan un rendimiento muy superior al Process Switching o Fast Switching sin necesidad de hardware especializado.

8. Hardware CEF (Hardware-Based CEF)

El Hardware CEF es la implementación más avanzada de la arquitectura de Cisco. Se encuentra en switches de alta densidad y routers de core (como las series Catalyst 9000, Nexus o ASR). En este modelo, el Plano de Datos está completamente desconectado de la CPU principal en términos de procesamiento de paquetes.

¿Cómo funciona?
En lugar de que la CPU procese el tráfico, el router utiliza chips especializados llamados ASICs (Application-Specific Integrated Circuits) o NPs (Network Processors).
  • Programación: El Plano de Control (CPU) construye la FIB y la Tabla de Adyacencia (tal como en Software CEF).
  • Instalación: Una vez construidas, estas tablas se "descargan" o programan directamente en la memoria de hardware, principalmente en la TCAM (Ternary Content Addressable Memory).
  • Forwarding: Cuando un paquete entra al equipo, los ASICs consultan la TCAM de forma paralela y ultra veloz. La decisión de hacia dónde enviar el paquete se toma en nanosegundos.
Componentes clave del Hardware CEF:
  • ASICs: Chips diseñados con un solo propósito: mover bits lo más rápido posible.
  • TCAM: Como vimos anteriormente, es la memoria que permite buscar prefijos IP y reglas de ACL en un solo ciclo de reloj.
  • Distributed Architecture: En equipos modulares, cada tarjeta de línea tiene su propio hardware CEF, lo que permite el Distributed Forwarding que mencionamos antes.

9. Stateful Switchover (SSO)

Stateful Switchover (SSO) es una característica de alta disponibilidad que permite que un router o switch con procesadores redundantes (dos Route Processors o "cerebros") cambie del procesador activo al de reserva sin interrumpir el tráfico de la red.

En una arquitectura normal, si el procesador principal falla, el de reserva tiene que "arrancar" desde cero, lo que causa una caída de la red de varios minutos. Con SSO, el procesador secundario está siempre listo para tomar el control en milisegundos.

¿Cómo funciona?
La palabra clave aquí es Stateful (con estado). Esto significa que el procesador activo sincroniza constantemente información crítica con el procesador en espera (Standby):
  • Sincronización del Sistema Operativo: Ambos procesadores ejecutan la misma versión de IOS y mantienen configuraciones idénticas.
  • Sincronización de Protocolos: El estado de las interfaces y ciertos protocolos se mantienen "espejeados".
  • reservación del Plano de Datos: SSO trabaja de la mano con Non-Stop Forwarding (NSF). Mientras el Control Plane está reiniciando o cambiando de procesador, el Data Plane (CEF) sigue moviendo paquetes usando la información que ya tenía grabada en el hardware (ASICs/TCAM).
A lo largo de esta evolución, hemos visto cómo Cisco ha transformado el router de ser un dispositivo dependiente de un "cerebro" central (CPU) a convertirse en un sistema distribuido de alto rendimiento.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Reutilizando un Firewall Checkpoint 15600 como Hipervisor: Instalación de VMware ESXi

-
Imagen
Durante un proceso de renovación de firewalls, nos tocó reemplazar varios equipos Checkpoint 15600 por nuevos dispositivos. Al hacerlo, surgió una pregunta entre colegas: ¿Podríamos reutilizar estos equipos como servidores para no desaprovechar sus recursos de hardware? La idea nos pareció interesante, así que nos pusimos manos a la obra. Cabe destacar que estos firewalls no poseen salida de video, únicamente conexión por cable de consola, lo cual complica un poco el acceso, pero logramos descubrir lo siguiente: ¿Qué se puede hacer con un firewall Checkpoint 15600? Es posible instalar cualquier distro de Linux para arquitectura amd64 en el firewall. Solo debes configurar tu USB booteable para utilizar la interfaz gráfica por consola. Enlace:  Installing Ubuntu 20.04 via a serial console Se puede utilizar chroot con el sistema operativo original del firewall. Enlace:  Customizing Check Point Gaia with Kali Linux ¡Incluso se puede jugar Doom! Enlace:  Installing DOOM on Gai...
Leer más

Transforma tu mini PC en un homelab con Proxmox VE

-
Imagen
Hacía tiempo que quería tener Grafana en casa para monitorear, entre otras cosas, la velocidad de Internet. Al principio pensé en comprar una Raspberry Pi, por su bajo consumo energético y tamaño compacto, pero al revisar los precios actuales... ¡Están bastante elevados! Así que busqué otras opciones, y encontré una mejor alternativa: un PC Tiny reacondicionado. Sorprendentemente, no solo era más barato que una Raspberry Pi, sino que además ofrecía mejor rendimiento, mayor capacidad de actualización y soporte para virtualización. PC Tiny seleccionado Modelo elegido: Dell Optiplex 7040 Tiny – USD $120 Procesador: Intel Core i5-6500T @ 2.9 GHz (Turbo Boost a 3.4 GHz) – 4 núcleos Memoria RAM: 8 GB DDR4 (expandible a 16 GB) Almacenamiento: 240 GB SSD Dimensiones: 4 cm (ancho) x 12 cm (alto) x 12 cm (profundidad) Nota:  Realicé una mejora adicional agregando un módulo de 8 GB DDR4 que tenía en casa, llevando la RAM a un total de 12 GB (1 x 4GB, 1 x 8 GB). Instalación paso a paso de Prox...
Leer más

Uso de banners en Cisco IOS

-
El siguiente documento ha sido elaborado para clarificar la forma correcta de configurar banners en routers y switches Cisco. La información proporcionada se basa en los libros de ICND1 e ICDN2 de Cisco Press. Los banners disponibles para Cisco IOS son los siguientes: Banner motd. Banner exec. Banner Login. A continuación, definimos su uso: Banner MOTD (Message of the Day): Se muestra después del login y se utiliza para mensajes temporales que cambian periódicamente, por ejemplo, "SW1 estará en mantenimiento esta noche entre las 21 y las 23 horas". Banner Exec: Se muestra después del login y se utiliza para proporcionar información que solo debe conocerse por los usuarios autorizados. Por ejemplo, "El personal del NOC no estará presente hoy, por favor, evite realizar configuraciones de alto impacto". Banner Login: Se muestra antes del login y también después del banner MOTD. Se utiliza para mensajes permanentes como "acceso solo a personal autorizado". ...
Leer más