TechLeague

    AWS

    AWS Cloud WAN vs Transit Gateway: La Comparación Honesta para Ingenieros en 2026

    TechLeague Editorial··14 min de lectura

    AWS Cloud WAN no es simplemente "Transit Gateway v2". Es un cambio arquitectónico fundamental de un modelo de enrutamiento imperativo y de alcance regional a un marco global, declarativo y basado en políticas para redes en la nube. Si bien AWS Transit Gateway (TGW) sigue siendo una herramienta potente y rentable para topologías hub-and-spoke regionales, Cloud WAN es la respuesta estratégica de AWS a la agonía operativa de gestionar redes multi-regionales a gran escala. Para cualquier organización que gestione más de un puñado de VPCs en múltiples continentes, comprender las ventajas y desventajas entre estos dos servicios ya no es un ejercicio académico, es una decisión de diseño crítica con implicaciones duraderas para el costo, la agilidad y la seguridad en 2026 y más allá.

    Primitivas Arquitectónicas: Hub-and-Spoke vs. Malla Global

    Un AWS Transit Gateway es un recurso regional. Funciona como un router clásico tipo hub-and-spoke, conectando VPCs, VPNs y Direct Connect Gateways (DXGW) dentro de una única región de AWS. Su modelo mental es familiar para cualquier ingeniero de red: tiene attachments y tablas de rutas. Se define de forma imperativa cómo fluye el tráfico asociando attachments con tablas de rutas específicas y creando rutas estáticas o propagadas. Para construir una red global, se deben interconectar manualmente los TGWs en diferentes regiones, formando una malla completa de conexiones que uno es responsable de gestionar. Este proceso, aunque funcional, crea una sobrecarga operativa significativa y escala mal. Cada interconexión es un punto de fallo, una carga de configuración y un ítem de costo de transferencia de datos independiente.

    Cloud WAN abstrae esta complejidad. Su primitiva central es la Core Network, un objeto único y global que representa toda la columna vertebral de su red. Dentro de esta Core Network, se implementan Core Network Edges (CNEs) en las regiones de AWS deseadas. Estos CNEs son los puntos de presencia regionales para su red global. Las VPCs, VPNs y DXGWs se conectan a su CNE local. Crucialmente, el enrutamiento entre CNEs a través de la red troncal global de AWS es automático y gestionado por AWS. No se configura el BGP peering interregional; simplemente se declara qué partes de su red pueden comunicarse entre sí, y Cloud WAN maneja la lógica subyacente de enrutamiento y pathing. Transforma la red de una colección de hubs discretos y conectados manualmente a una única malla lógica y global.

    Enrutamiento y Segmentación: Tablas de Rutas de TGW vs. Core Network Policy

    Esta es la diferencia más crítica. Con Transit Gateway, el enrutamiento es granular e imperativo. Se pueden tener una docena de tablas de rutas por TGW: una para VPCs de producción, otra para desarrollo, una para servicios compartidos, una para la VPC de inspección, otra para el tráfico de salida, y así sucesivamente. Propagar rutas de 100 VPCs a las tablas correctas y asegurar un enrutamiento simétrico a través de un appliance de firewall con estado como un PA-5440 requiere una configuración meticulosa y propensa a errores. Un administrador debe comprender las implicaciones de cada ruta estática y configuración de propagación. Ofrece el máximo control, pero a costa de una alta carga cognitiva.

    Cloud WAN reemplaza esto con una Core Network Policy (CNP). La CNP es un único documento JSON que define la intención de su red de forma declarativa. Las dos principales construcciones dentro de la política son Segments y Attachment Policies.

    Core Network Segments

    Un Segment es una partición de red lógica, análoga a una instancia de VRF (Virtual Routing and Forwarding) en un router tradicional como un Catalyst 9500-48UXM. Los Segment se utilizan comúnmente en las redes de producción (production), desarrollo (development), servicios compartidos (shared_services) y redes on-premise (onprem). Por defecto, los Segment son dominios de enrutamiento completamente aislados. Una VPC en el Segment production no puede enrutar a una VPC en el Segment development, incluso si están en la misma región. Esto proporciona un aislamiento potente y de alto nivel sin necesidad de tocar una sola tabla de enrutamiento.

    Attachment Policies y Segment Actions

    Una Attachment Policy mapea los attachments a los Segment basándose en etiquetas. Por ejemplo, se puede definir una regla: "Cualquier attachment de VPC con la etiqueta network-segment: prod se mapea automáticamente al Segment production." Esto es policy-as-code para la incorporación a la red. Cuando se crea una nueva VPC de producción con la etiqueta correcta, Cloud WAN la coloca automáticamente en el dominio de enrutamiento adecuado.

    Para habilitar la comunicación entre Segment, se utilizan Segment Actions dentro de la CNP. Por ejemplo, para permitir que el Segment production acceda al Segment shared_services, se definiría una acción create-route en el Segment production que apunte al Segment shared_services. También se pueden definir blackhole routes o static routes a attachments específicos, como un appliance de seguridad para la inspección del tráfico. Este modelo declarativo (definir *qué* debe conectarse, no *cómo*) es la esencia del poder de Cloud WAN.

    Dimensionamiento y Análisis de Costos en la Vida Real (Precios de 2026)

    Modelemos un escenario tangible: una empresa con 50 VPCs en us-east-1 y 50 en eu-west-1. Tienen un Direct Connect de 10 Gbps en cada región, conectando a sus data centers. El total de datos procesados a través de la Core Network es de 20 TB por mes por región, con 10 TB de ese tráfico fluyendo entre las regiones de EE. UU. y la UE.

    Modelo de Costo 1: Dual Transit Gateways con Peering

    • Horas de Instancia de TGW: 2 TGWs * $0.05/hr * 730 hrs/mes = $73.00
    • Horas de Attachment: 102 attachments (100 VPCs + 2 DXGWs) * $0.05/attachment-hr * 730 hrs/mes = $3,723.00
    • Procesamiento de Datos Regionales: 30 TB (20 TB VPC->VPC in-region + 10 TB para enviar cross-region) * 2 regiones * $0.02/GB = $1,228.80 (aprox., ya que parte del tráfico se procesa dos veces)
    • Transferencia de Datos Interregional: Este es el costo principal. 10 TB de datos enviados a través del TGW peering de us-east-1 a eu-west-1 incurren en una tarifa de transferencia. 10,240 GB * $0.02/GB = $204.80.
    • Total Mensual Estimado: ~$5,230

    Modelo de Costo 2: Cloud WAN Global

    • Horas de Core Network Edge: 2 CNEs (1 por región) * $0.299/hr * 730 hrs/mes = $436.54
    • Horas de Attachment: 102 attachments * $0.05/attachment-hr * 730 hrs/mes = $3,723.00
    • Procesamiento de Datos de Cloud WAN: 40 TB de datos procesados en total * $0.03/GB = $1,228.80 (Nota: Cloud WAN tiene una tarifa de procesamiento de datos por niveles, utilizamos una tarifa combinada para este ejemplo).
    • Transferencia de Datos Interregional: Este es un beneficio clave. Cloud WAN no tiene un cargo de transferencia de datos interregional separado. El tráfico está cubierto por la tarifa de procesamiento de datos estándar, ya que fluye a través de la AWS Global Backbone gestionada por el servicio.
    • Total Mensual Estimado: ~$5,388

    A primera vista, los costos parecen similares. Sin embargo, el modelo de Cloud WAN simplifica la facturación y elimina el oneroso impuesto de transferencia de datos interregional. A medida que el número de regiones crece, el costo y la complejidad de un modelo de TGW peering de malla completa escalan de manera no lineal, mientras que el modelo de Cloud WAN escala de manera más predecible. La ligera prima de costo para Cloud WAN ofrece una inmensa simplicidad operativa y un modelo de política global unificado.

    Seguridad y Patrones de Inspección

    Insertar un firewall, como un FortiGate 1800F o un Palo Alto Networks VM-Series ejecutando PAN-OS 11.2, es un requisito estándar. Con TGW, esto típicamente implica una "inspection VPC" dedicada. Se manipulan las tablas de rutas para forzar el tráfico desde una VPC de red spoke al TGW, luego al ENI de la inspection VPC, luego de vuelta al TGW, y finalmente a su destino. Esto se denomina "hairpinning" y requiere una gestión cuidadosa de múltiples tablas de rutas para asegurar la simetría.

    Cloud WAN simplifica esto con el Appliance Mode para attachments de VPC. Cuando se habilita en el attachment de la inspection VPC, Cloud WAN se asegura automáticamente de que el tráfico que fluye entre diferentes Segment (por ejemplo, de producción a on-premise) se dirija a la misma Availability Zone en la inspection VPC tanto para la entrada como para la salida. Dentro de su Core Network Policy, simplemente se define una static route en su Segment production para 0.0.0.0/0 que apunte al attachment de la inspection VPC. Este único cambio de política dirige el tráfico para su inspección sin la compleja manipulación de tablas de rutas requerida por TGW.

    Error Común: Políticas de Segment demasiado Permisivas

    El poder declarativo de la Core Network Policy es un arma de doble filo. Un error común es crear reglas de compartición amplias y permisivas al principio de un despliegue. Por ejemplo, un administrador de red que intenta habilitar rápidamente la conectividad podría crear una regla que comparte todas las rutas de todos los Segment con todos los demás Segment. Esta acción aplana efectivamente la red, negando por completo los beneficios de aislamiento de la segmentación y recreando el problema de la "red plana grande" que los Segment estaban diseñados para resolver. Es el equivalente en Cloud WAN de colocar todos los attachments de sus VPC en una sola tabla de rutas de TGW. La CNP debe tratarse como una pieza crítica de infraestructura-as-code, sujeta a un riguroso control de cambios, linting y auditoría.

    ¿Cuándo NO usar Cloud WAN (El Punto Óptimo de TGW)?

    A pesar de sus ventajas, Cloud WAN no es un reemplazo universal para TGW. Transit Gateway mantiene su posición en varios escenarios clave:

    • Despliegues de una Sola Región: Si toda su infraestructura en la nube existe dentro de una región de AWS y no tiene planes de expandirse, Cloud WAN es excesivo. El modelo regional, hub-and-spoke de TGW es una opción perfecta y más rentable, ya que evita el costo por hora más alto de un Core Network Edge.
    • Sensibilidad Extrema a los Costos: Para proyectos a pequeña escala o proofs-of-concept con tráfico mínimo, el costo base de los attachments y el procesamiento de TGW es menor que el punto de entrada para un Cloud WAN multi-regional. Si cada dólar se escudriña y la simplicidad operativa es una prioridad menor, TGW prevalece.
    • Control BGP Granular: Escenarios de enrutamiento avanzado que dependen de la manipulación de atributos BGP como AS_PATH prepending o local preference para influir en el pathing entre múltiples conexiones on-premise (por ejemplo, Direct Connects principal/backup) pueden controlarse de manera más directa en TGW. Aunque Cloud WAN soporta BGP, su modelo de política abstrae algunos de los ajustes de bajo nivel que un ingeniero de red experimentado podría querer manipular en dispositivos como un Juniper SRX5800 o un Cisco ASR.

    El Veredicto de 2026: Del Hub Regional a la Fabric Global

    Transit Gateway democratizó el networking en la nube, proporcionando el primer modelo escalable tipo hub-and-spoke nativo de AWS. Sigue siendo una opción excelente y rentable para arquitecturas regionales. Sin embargo, Cloud WAN es la dirección estratégica clara para cualquier empresa que opere a escala global. Intercambia el control granular e imperativo de TGW por un modelo declarativo y basado en políticas que simplifica drásticamente la gestión de la conectividad multi-regional, la segmentación y la inspección de seguridad. Al abstraer la complejidad subyacente del enrutamiento en una única Core Network Policy, Cloud WAN permite a los ingenieros gestionar la red basándose en la intención, no en los detalles de implementación. Para las organizaciones que construyen una columna vertebral estratégica en la nube para la próxima década, la conversación está cambiando de "¿Deberíamos usar un Transit Gateway?" a "¿En qué momento nuestra escala justifica una migración a Cloud WAN?"

    ¿Listo para diseñar una red global que escale con su negocio? Los ingenieros expertos de techleague.io se especializan en diseñar e implementar soluciones de networking AWS robustas, seguras y rentables. Podemos ayudarlo a navegar las complejidades de la política de Cloud WAN, optimizar sus implementaciones de TGW y construir una infraestructura en la nube lista para el futuro. Explore nuestras publicaciones relacionadas sobre Direct Connect SiteLink vs. DXGW para Conectividad On-Premise y nuestra inmersión profunda en la implementación de firewalls Palo Alto VM-Series en AWS.

    Preguntas frecuentes

    ¿Puedo migrar de una configuración existente de Transit Gateway a AWS Cloud WAN?+

    Sí, una migración por fases es el enfoque recomendado. Puede adjuntar su Transit Gateway existente a un Core Network Edge de Cloud WAN. El TGW se convierte efectivamente en solo otro 'spoke' en la red global, lo que le permite migrar VPCs del TGW a attachments directos de Cloud WAN de forma incremental con un tiempo de inactividad mínimo.

    ¿Cloud WAN reemplaza la necesidad de un Direct Connect Gateway (DXGW)?+

    No, el Direct Connect Gateway sigue siendo necesario. Un DXGW es el recurso que termina sus circuitos Direct Connect o conexiones SiteLink. Luego, adjunta el DXGW a su Cloud WAN Core Network Edge, de manera similar a como lo habría adjuntado a un TGW o Virtual Private Gateway en el pasado.

    ¿Cuáles son los límites de rutas en Cloud WAN vs. TGW?+

    Una tabla de rutas estándar de Transit Gateway soporta un máximo de 10,000 rutas. Una Core Network de Cloud WAN tiene un límite predeterminado significativamente mayor de 100,000 rutas, que se comparten entre todos los Segment. Este aumento de 10x es una gran ventaja para grandes empresas con extensas redes on-premise y numerosas VPCs.

    ¿Cómo maneja Cloud WAN los bloques CIDR superpuestos?+

    Cloud WAN maneja los CIDR superpuestos de manera elegante a través de la segmentación. Dado que cada Segment es un dominio de enrutamiento aislado por defecto (como un VRF), dos VPCs con el mismo bloque CIDR pueden coexistir sin conflicto siempre que se coloquen en Segment diferentes. Lograr esto con TGW requiere una configuración manual más compleja utilizando tablas de rutas separadas para cada entorno superpuesto.

    ¿La Cloud WAN Core Network Policy es solo un tipo diferente de plantilla de CloudFormation?+

    Aunque se utilizan herramientas de IaC como CloudFormation o Terraform para gestionar el documento JSON de la Core Network Policy, la política en sí representa un nivel de abstracción más alto. Es un modelo de red basado en la intención. Usted declara el estado deseado (por ejemplo, 'el Segment A puede hablar con el Segment B'), y el servicio Cloud WAN determina las modificaciones y propagaciones de tablas de enrutamiento subyacentes para que esto suceda, en lugar de que usted defina esos pasos de bajo nivel.

    ¿Puedo usar mis appliances SD-WAN de terceros existentes con Cloud WAN?+

    Sí, Cloud WAN es totalmente compatible con Network Virtual Appliances (NVAs) de terceros y soluciones SD-WAN de proveedores como Cisco, Palo Alto Networks, Fortinet y Versa. El appliance SD-WAN se implementa típicamente en una VPC dedicada que luego se adjunta al Core Network Edge. Se establece una sesión BGP a través de este attachment para intercambiar información de enrutamiento entre su fabric SD-WAN y la red global de Cloud WAN.

    ¿El tráfico entre regiones está cifrado con Cloud WAN?+

    Sí. Todo el tráfico que atraviesa la AWS Global Backbone entre los Core Network Edges de Cloud WAN en diferentes regiones se cifra automáticamente por defecto. Esto proporciona el mismo nivel de seguridad para los datos en tránsito que el TGW inter-region BGP peering, sin necesidad de configuración adicional.