AoIP III: administración y seguridad
En la primera entrega de AoIP hablamos de las ventajas del uso de esta tecnología en nuestros entornos de producción y de sus principales diferencias frente al audio tradicional, ya fuera analógico o digital. En la segunda, abordamos sus aplicaciones prácticas y qué características eran necesarias en los sistemas AoIP para lograr dichas funcionalidades diferenciales. En esta tercera entrega, nos centramos en cómo controlar y mantener de una manera segura nuestra red de AoIP, conceptos hasta ahora inexistentes en entornos de audio analógico o digitales lineales, pero muy comunes en entornos IT desde hace más de 30 años.
En los sistemas lineales tradicionales, ya sean SDI, AES o MADI, era relativamente sencillo el controlar de dónde a dónde iban las señales. Al fin y al cabo, eran conexiones punto a punto. El problema intrínseco de estos sistemas era su escalado. Si deseamos introducir redundancia a estos sistemas lineales es “tan sencillo” como duplicar el equipamiento, señales y conexionado. Pero ¿qué ocurre si nuestra matriz está completa, no disponemos de más equipamiento o sencillamente no caben más cables? Ahí viene el problema.
Esta complejidad a la hora de aumentar el tamaño de los sistemas llevaba a dos extremos: un sistema estático y poco flexible diseñado para un uso concreto y con unas dimensiones determinadas; o un sistema sobredimensionado y caro, con el objetivo de ganar flexibilidad a costa de aumentar su tamaño desmesuradamente. Ninguna de estas situaciones era deseable.
IP y redundancia son casi sinónimos
En entornos IT, la redundancia es parte del diseño de estos y es intrínseca a las características del equipamiento. Lograr dicha redundancia no implica duplicar el cableado o el equipamiento, ya que la misma conectividad sirve para transportar señales de cualquier tipo, de manera bidireccional y en mayor número que en sistemas lineales: IP es agnóstico respecto a los datos.
Ya sea una señal de vídeo, de audio, una trama Ethernet o cualquier otro paquete de datos que se quiera transportar, la infraestructura IP lo soporta y ofrece las mismas características, incluyendo la redundancia. De hecho, aumentar la capacidad de una red, ya sea en términos de número de señales como de ancho de banda, no suele requerir duplicar ni el equipamiento ni el cableado: se establecen conexiones troncales entre equipos y se comparte la capacidad de estos, así de sencillo.
El “problema” puede venir en que se añade una capa más de abstracción que en los sistemas lineales. En estos bastaba con seguir el cable para saber cómo está conectado un sistema, en IP no. Un mismo cable transporta de manera multiplexada múltiples señales, de manera bidireccional y entre varios equipos, con lo que ya no vale lo de “seguir el cable”. Eso sí, la redundancia que acabamos de ganar es casi inalcanzable, en la práctica, en sistemas lineales.
Compartiendo recursos
Además de lograr la ansiada redundancia, el que un mismo equipo, cable o simplemente la capacidad del sistema de manera global sea compartida entre diferentes producciones, ya sean estudios, unidades móviles o similar, es natural e intrínseco al sistema. No hay que preocuparse por que unas señales se crucen con otras, el sistema se encarga de ello por nosotros.
Y este es uno de los grandes beneficios de los sistemas IP, ya sean de audio o de cualquier otra índole: hacer más con lo mismo, incluso con menos. Ya no hace falta dimensionar el equipamiento, o sobredimensionarlo, de manera precisa prediciendo el uso que le vamos a dar en el futuro; escalarlo y compartir recursos entre producciones no es que sea sencillo, es que es la manera normal de trabajar.
Con toda esta vorágine de recursos compartidos siempre viene a la mente la siguiente pregunta: ¿y si un operador utiliza un recurso que no corresponde con su producción afectando a otra? Esto en sistemas lineales era prácticamente imposible, a no ser que tirara del cable que no era o se metiera en el control que no le tocaba; pero en entornos IP basta con elegir el punto de cruce equivocado en el software y ya la tenemos liada.
Es por ello por lo que la autentificación de usuarios, más allá de la seguridad, es imprescindible para el control de dichos recursos compartidos y establecer estrictos derechos y límites en el uso de estos. Como se ve, no se trata de que alguien no autorizado acceda a nuestros recursos, si no que una persona con capacidad operativa se equivoque y cree el caos, no solo en la producción en la que está implicado si no en producciones paralelas. Y es que además del impacto de que esto ocurra, el detectar la fuente del problema y subsanarla no suele ser ni rápido ni efectivo.
Atención, acceso no autorizado
Antes de hablar de seguridad, ahondemos un poco más en el control de accesos. Para ello se requieren dos cosas: autentificación y control de derechos. La primera, la provee el entorno corporativo IT estándar, típicamente mediante el protocolo LDAP. De una manera muy simplificada: se trata de un sistema centralizado donde se guardan todas las credenciales utilizadas en todo el entorno corporativo; todos los subsistemas pueden conectarse a él para conocer las credenciales específicas de un usuario concreto.
Mediante ello, añadir o eliminar usuarios de un sistema, o de varios al mismo tiempo, es mucho más sencillo. Normalmente un usuario no solo accede a un sistema concreto para operarlo, si no que necesita acceso al micrófono, el procesador de audio, la mezcladora, un sistema de grabación y de codificación, por ejemplo. Tener que recrear las mismas credenciales en todos ellos es algo muy tedioso, y no hablemos de actualizarlas, mantenerlas e incluso borrarlas. Materialmente inviable.
Solventada la autentificación, queda el control de derechos. Esta parte sí que recae sistema a sistema. En el LDAP especificamos las credenciales del usuario y a qué sistemas puede acceder, pero los derechos que tiene dentro de cada uno son tan específicos de dicho sistema que es imprescindible realizarlo caso a caso.
Con ello se solventa de una manera sencilla y práctica la gestión de usuarios, su mantenimiento y control de accesos, para que el compartir recursos no sea un dolor de cabeza ni un riesgo.
Más IP, digo IT
Además de la integración con sistemas de control de usuarios como LDAP, hay muchas más cosas de las que los sistemas de AoIP pueden beneficiarse. Por ejemplo: la monitorización.
Debido a la típica alta complejidad de los sistemas IT, es ya estándar el uso de sistemas como Nagios, PRTG, Grafana o Datadog para descubrir y monitorizar en tiempo real toda la red. Se pueden establecer alarmas casi de cualquier tipo y establecer patrones para predecir cuándo un sistema va a fallar o va a superar cierto límite de capacidad, pudiendo prever cuándo ampliar o sustituir parte de la red.
Otro protocolo muy práctico es el SNMP, el cual permite descubrir y “autoconfigurar” sistemas nuevos conectados a la red, haciéndola aún más escalable y fácil de ampliar.
¿Y si lo hacemos aún más virtual?
Por último, vamos a introducir otro concepto disruptivo en entornos broadcast, pero muy extendido en el mundo IT: la virtualización. No nos referimos al uso de entornos en la nube, (aunque también), si no de entornos virtuales. Ahondemos en ello.
Un entorno IT virtual es aquel en el que los recursos de computación no existen de manera discreta tal y como se usan. Es decir, no hay un procesador, una memoria RAM, un disco duro y una placa base para cada máquina que está funcionando, si no que existen un conjunto de estos que se dividen o combinan para virtualizar tantas máquinas, ya sean pequeñas o grandes, como sean necesarias dentro del límite total de recursos disponibles.
De una manera más pragmática: se dispone de un número de ordenadores, normalmente potentes, interconectados, con un sistema de gestión que permite dividirlos y combinarlos para ofrecer al usuario una determinada cantidad de ordenadores con una capacidad configurable. Esto, para los que venimos del entorno puro broadcast en el que las máquinas hacían lo que hacían y se podían tocar, es algo que requiere de una segunda reflexión, o tercera.
Sin embargo, este concepto de virtualización combinado con todo lo visto anteriormente, nos ofrece ya un nivel de flexibilidad, capacidad, recursos compartidos y seguridad sin precedente en entornos lineales y con una optimización de costes respecto al equipamiento impensable hace unos pocos años.
Conclusiones
El AoIP no es solo el llevar nuestras señales de un cable balanceado a uno Ethernet, si no el romper con los conceptos tradicionales del tratamiento de las señales para adoptar las grandes ventajas que nos ofrecen los entornos IT. No es fácil, sobre todo a nivel lógico y conceptual, pero si logramos romper con lo establecido y adoptar estas “nuevas tecnologías” que llevan ahí 30 años, nos daremos cuenta de las grandes ventajas que ello otorga.
Hay que tener especial cuidado con la seguridad y con la planificación, ya que al ser sistemas distribuidos y más abstractos que los tradicionales, cualquier error puede salir mucho más caro y ser mucho más difícil de subsanar. De todos modos, existen grandes expertos y buenas prácticas que nuestros colegas IT puede ofrecernos para que esto no sea demasiado apabullante.
No nos dejemos abrumar por todo lo nuevo, vayamos poco a poco, pero si nos quedamos en el país de las maravillas descubriremos hasta dónde llega la madriguera de conejos.
Por Yeray Alfageme
