OSPF vs BGP: routing dinámico para redes empresariales

El routing dinámico es lo que permite que las redes escalen. En una red pequeña, las rutas estáticas son manejables: el administrador añade manualmente cada ruta en cada router. Pero cuando la red crece a decenas o cientos de routers, varias sedes y múltiples conexiones WAN, las rutas estáticas se convierten en una pesadilla operativa: cualquier cambio en la topología requiere intervención manual en múltiples dispositivos, y un error puede causar bucles de routing o agujeros negros de tráfico. Los protocolos de routing dinámico resuelven este problema: los routers comparten automáticamente información sobre la topología de la red y calculan las mejores rutas sin intervención humana.

OSPF (Open Shortest Path First) y BGP (Border Gateway Protocol) son los dos protocolos de routing dinámico más relevantes en el mundo empresarial y de operadores, pero cumplen roles muy diferentes. OSPF es un protocolo de estado de enlace diseñado para operar dentro de una única organización (interior gateway protocol, IGP), mientras que BGP es el protocolo que mantiene unida la Internet global y se usa también en grandes redes corporativas y entornos cloud (exterior gateway protocol, EGP). Entender las diferencias, las fortalezas y los casos de uso de cada uno es fundamental para cualquier arquitecto o administrador de redes empresariales.

Fundamentos de OSPF: estado de enlace y áreas

OSPF es un protocolo de routing de estado de enlace (link-state). A diferencia de los protocolos de vector de distancia como RIP (que solo conocen el siguiente salto), OSPF construye un mapa completo de la topología de la red mediante la inundación de LSAs (Link State Advertisements). Cada router ejecuta el algoritmo SPF (Shortest Path First, también conocido como algoritmo de Dijkstra) sobre ese mapa para calcular el árbol de caminos más cortos desde sí mismo hacia todos los destinos conocidos. El resultado es una convergencia más rápida y la ausencia de bucles de routing, a diferencia de los protocolos de vector de distancia.

OSPF organiza la red en áreas. El área 0 (también llamada área backbone) es obligatoria y todas las demás áreas deben conectarse a ella. Esta jerarquía de áreas es fundamental para la escalabilidad: los LSAs de estado de enlace solo se inundan dentro del área, no a toda la red. Los routers en el límite entre áreas (Area Border Routers, ABR) resumen la información de routing entre áreas, reduciendo el tamaño de las tablas de routing y la frecuencia de los recálculos SPF en redes grandes.

Cómo OSPF elige la mejor ruta: el coste

La métrica de OSPF es el coste (cost), que por defecto Cisco calcula como 100.000.000 dividido entre el ancho de banda del enlace en bps. Un enlace de 100 Mbps tiene coste 1, un enlace de 10 Mbps tiene coste 10, y un enlace de 1 Gbps tiene coste 1 (el mismo que 100 Mbps con la fórmula original, lo que es un problema). En redes modernas con enlaces de 1 Gbps o más, es imprescindible ajustar el bandwidth de referencia con el comando 'auto-cost reference-bandwidth 100000' (para que 1 Gbps tenga coste 1 y 100 Mbps tenga coste 10, por ejemplo) o configurar los costes manualmente en cada interfaz.

OSPF elige la ruta con menor coste acumulado desde el origen al destino. Si existen dos rutas con el mismo coste total (ECMP, Equal-Cost Multi-Path), OSPF instala ambas en la tabla de routing y el router balancea el tráfico entre ellas. Esto permite aprovechar la redundancia de enlaces de forma automática sin configuración adicional.

Tipos de router en OSPF

• Internal Router (IR): tiene todas sus interfaces en la misma área. Solo intercambia LSAs de esa área.
• Backbone Router (BR): tiene al menos una interfaz en el área 0.
• Area Border Router (ABR): conecta dos o más áreas. Resume información entre ellas.
• Autonomous System Boundary Router (ASBR): redistribuye rutas de otros protocolos de routing (BGP, EIGRP, rutas estáticas) hacia OSPF.
• Designated Router (DR) y Backup DR (BDR): en redes multi-acceso (Ethernet), OSPF elige un DR y un BDR para reducir la cantidad de adyacencias LSA y el tráfico de updates.

Configuración básica de OSPF en Cisco IOS

La configuración de OSPF en Cisco IOS comienza con el comando 'router ospf <process-id>' en modo de configuración global. El process-id es local al router (no necesita coincidir entre routers vecinos). Se declaran las redes a anunciar con 'network <dirección> <wildcard> area <área>'. El wildcard es el complemento de la máscara (255.255.255.255 XOR máscara). Por ejemplo, para incluir la interfaz 10.1.1.1/30 en el área 0: 'network 10.1.1.0 0.0.0.3 area 0'. En IOS moderno, es más habitual configurar OSPF directamente en la interfaz con 'ip ospf <process-id> area <área>', lo que es más explícito y menos propenso a errores.

Para verificar el funcionamiento de OSPF, los comandos fundamentales son: 'show ip ospf neighbor' (muestra los vecinos establecidos y su estado; el estado FULL indica que la adyacencia está completamente formada), 'show ip ospf database' (muestra la base de datos de LSAs) y 'show ip route ospf' (muestra las rutas aprendidas por OSPF instaladas en la tabla de routing, marcadas con 'O' para rutas intra-área y 'O IA' para inter-área).

Fundamentos de BGP: el protocolo de la Internet

BGP es un protocolo de routing de vector de ruta (path-vector). A diferencia de OSPF, que calcula caminos óptimos basándose en métricas de coste, BGP toma decisiones de routing basadas en políticas: atributos configurables que permiten a los operadores controlar exactamente qué rutas se prefieren, qué rutas se anuncian a qué vecinos y cómo se manejan las rutas recibidas. Esta flexibilidad es lo que hace a BGP el protocolo adecuado para la interconexión de sistemas autónomos (AS) en Internet, donde cada operador tiene sus propias políticas de routing.

BGP opera entre sistemas autónomos (eBGP, External BGP) o dentro de un mismo sistema autónomo (iBGP, Internal BGP). Un sistema autónomo (AS) es un conjunto de redes bajo el control de una misma organización con una política de routing coherente. En Internet, cada operador de telecomunicaciones, empresa grande o proveedor cloud tiene su propio número de AS (ASN). En entornos empresariales, iBGP se usa para distribuir rutas dentro de grandes redes corporativas o para redistribuir la información de routing entre diferentes IGPs.

Atributos BGP: cómo se toman las decisiones de routing

BGP tiene un proceso de selección de la mejor ruta basado en una secuencia de atributos, evaluados en orden de prioridad. Los más relevantes en entornos empresariales son:

1. Weight (propietario Cisco, local al router): mayor weight es preferido. Se usa para preferir una ruta saliente sobre otra en el mismo router.
2. Local Preference (LOCAL_PREF): se propaga a todos los routers iBGP del mismo AS. Mayor valor es preferido. Determina por qué enlace sale el tráfico de la red cuando hay múltiples conexiones a Internet.
3. AS_PATH: número de sistemas autónomos que la ruta ha atravesado. Menor longitud es preferida. También se usa para políticas: se puede alagar artificialmente el AS_PATH (AS path prepending) para hacer una ruta menos atractiva.
4. MED (Multi-Exit Discriminator): sugerencia al AS vecino sobre qué enlace usar para entrar en nuestra red (influencia en el tráfico entrante).
5. eBGP sobre iBGP: rutas aprendidas de un vecino externo (eBGP) se prefieren sobre las aprendidas de un vecino interno (iBGP).

Cuándo usar OSPF y cuándo usar BGP en una empresa

La regla general es clara: OSPF para el routing interno (entre sedes propias, entre switches de distribución y routers de la LAN) y BGP para el routing externo (con el ISP, con otros AS en Internet, en entornos multicloud). Esta separación de responsabilidades es la arquitectura más común y operativamente más limpia. OSPF es fácil de configurar, converge rápido y gestiona automáticamente los cambios de topología interna. BGP es el único protocolo que ofrece el control de políticas necesario para gestionar múltiples uplinks a Internet de forma sofisticada.

Sin embargo, hay escenarios donde BGP se usa también internamente. Las grandes multinacionales con decenas de sedes conectadas a través de MPLS/SD-WAN suelen usar iBGP como protocolo de distribución de rutas a escala, ya que OSPF no escala bien a miles de prefijos. Los entornos cloud (AWS, Azure, GCP) usan BGP para los peerings con redes on-premise a través de Direct Connect o ExpressRoute. Y en arquitecturas de data center modernas (basadas en CLOS fabric), BGP se usa como protocolo de routing incluso dentro del data center.

Redistribución entre OSPF y BGP

En muchos entornos reales, OSPF y BGP coexisten en los mismos routers de borde, que deben redistribuir información entre ambos protocolos. Por ejemplo, el router de borde aprende las rutas de los ISPs por BGP y las redistribuye (al menos una ruta por defecto) hacia OSPF para que todos los routers internos sepan cómo salir a Internet. En la dirección contraria, las redes internas de la empresa se redistribuyen desde OSPF hacia BGP para anunciarlas al ISP. La redistribución debe hacerse con cuidado para evitar bucles de routing: es imprescindible usar route maps para filtrar qué rutas se redistribuyen y en qué dirección.

OSPF en entornos multiarea: diseño escalable

Para redes con más de 50-100 routers, el área única OSPF (todo en el área 0) puede generar problemas de escalabilidad: una inestabilidad en un enlace causa una inundación de LSAs y un recálculo SPF en todos los routers de la red, lo que consume CPU y puede afectar al rendimiento del routing. La solución es dividir la red en múltiples áreas OSPF. Las áreas stub y totally-stub reducen aún más el tamaño de las tablas de routing en las áreas periféricas: en un área stub, los routers solo reciben una ruta por defecto hacia el área backbone en lugar de todas las rutas externas; en un área totally-stub, tampoco reciben las rutas inter-área.

Seguridad en OSPF y BGP

Ambos protocolos soportan autenticación de vecinos para evitar que dispositivos no autorizados inyecten rutas falsas en la red. En OSPF, la autenticación MD5 se configura por interfaz con 'ip ospf authentication message-digest' y 'ip ospf message-digest-key 1 md5 <contraseña>'. En BGP, la autenticación MD5 se configura por sesión con 'neighbor <IP> password <contraseña>'. Aunque MD5 tiene debilidades conocidas como algoritmo de hash, su uso en OSPF y BGP previene ataques de routing básicos en redes internas. Para entornos de alta seguridad, hay propuestas de autenticación más moderna (como TCP-AO para BGP), aunque su adopción es todavía limitada.

En BGP, además de la autenticación, el filtrado de prefijos es fundamental. Un router BGP que acepta cualquier ruta de cualquier vecino sin filtrar es vulnerable a ataques de secuestro de rutas (BGP hijacking). La práctica recomendada es configurar prefix-lists o route maps que solo acepten los prefijos esperados de cada vecino, y usar ROA (Route Origin Authorization) mediante RPKI (Resource Public Key Infrastructure) para validar que los prefijos anunciados por Internet pertenecen realmente al AS que los anuncia.

Convergencia: tiempos y optimización

La convergencia es el tiempo que tarda la red en adaptarse a un cambio de topología (un enlace que cae, un router que se reinicia). OSPF converge típicamente en segundos gracias a los mecanismos de detección de fallos (BFD, Bidirectional Forwarding Detection, puede detectar un fallo en menos de 1 segundo) y a los timers de LSA configurables. BGP tiene tiempos de convergencia nativamente más largos (el Minimum Route Advertisement Interval predeterminado es de 30 segundos para eBGP), lo que puede ser un problema en entornos donde la disponibilidad de los uplinks a Internet es crítica. La solución habitual es combinar BFD con BGP para detectar fallos en el enlace físico casi instantáneamente y notificarlos a BGP sin esperar los timers de keepalive.

OSPF te da la velocidad y la automatización para gestionar la topología interna; BGP te da el control fino que necesitas para gestionar tu relación con el mundo exterior. Usarlos juntos, cada uno en su dominio, es la arquitectura de routing que escala desde cien nodos hasta un millón.

OSPF vs BGP: resumen de cuándo usar cada uno

• Usa OSPF para el routing interior de tu red corporativa, entre sedes conectadas por MPLS privado o entre routers de distribución y núcleo.
• Usa BGP cuando te conectas a uno o varios ISPs y quieres control sobre cómo se usa cada enlace (multihoming).
• Usa BGP en entornos multicloud para las conexiones dedicadas (AWS Direct Connect, Azure ExpressRoute, Google Cloud Interconnect).
• Usa iBGP en redes corporativas muy grandes donde OSPF no escala, o donde necesitas control de políticas también para el routing interno.
• Combina ambos en el router de borde: OSPF para la red interna y BGP para los ISPs, con redistribución controlada entre ambos.

Conclusión

OSPF y BGP son herramientas complementarias, no alternativas. Dominar ambos es una competencia esencial para cualquier ingeniero de redes empresariales o de operadores. OSPF proporciona la automatización y la velocidad necesarias para gestionar la topología interna de la red sin intervención manual; BGP proporciona el control de políticas necesario para gestionar las conexiones externas con toda la flexibilidad que los entornos modernos exigen. Invertir tiempo en entender el proceso de selección de rutas de BGP, el diseño de áreas OSPF y la redistribución entre ambos protocolos es uno de los mejores retornos de inversión que un profesional de redes puede obtener en su formación técnica.