Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CCNP ONT
ndice
Tema 1. Requisitos para la Conectividad de Red Convergente .................................................... 9 1.1 La evolucin de la telefona empresarial .................................................................... 9 1.1.1 El sistema telefnico Bsico....................................................................................... 9 1.1.2 Compaas de servicios telefnicos tradicionales ....................................................... 9 1.1.3 Tecnologas telefnicas digitales ................................................................................ 9 1.1.4 Servicios telefnicos digitales .................................................................................. 10 1.1.5 Servicios PBX y Centrex ........................................................................................... 10 1.1.6 Servicios de Larga Distancia ..................................................................................... 10 1.1.7 El concepto de Convergencia ................................................................................... 11 1.2 Descripcin de los Requisitos de las Redes Convergentes......................................... 11 1.2.1 Modelo de Red Jerrquico ........................................................................................ 11 1.2.2 Arquitectura Empresarial de Cisco ........................................................................... 11 1.2.3 Condiciones de trfico en una Red Convergente ...................................................... 12 1.2.4 IIN (Red de Informacin Inteligente) ........................................................................ 12 1.2.5 Marco Cisco SONA .................................................................................................... 13 Tema 2. Implementaciones VoIP de Cisco ................................................................................ 14 2.1 Introduccin a las redes VoIP ......................................................................................... 14 2.1.1 Beneficios de las redes VoIP .................................................................................... 14 2.1.2 Componentes de una red VoIP................................................................................. 14 2.1.3 Interfaces analgicas heredadas en redes VoIP ........................................................ 15 2.1.4 Interfaces digitales .................................................................................................. 15 2.1.5 Fases para completar una llamada telefnica VoIP................................................... 15 2.1.6 Control de Llamada Distribuido ................................................................................ 16 2.1.7 Control de Llamada Centralizado ............................................................................. 17 2.2 Digitalizacin y Empaquetado de la Voz ......................................................................... 17 2.2.1 Codificacin bsica de la voz: Convertir seales analgicas a seales digitales ........ 17 2.2.2 Codificacin bsica de la voz: Convertir seales digitales a seales analgicas ........ 18 2.2.3 Muestreo (Sampling) ............................................................................................... 18 2.2.4 Cuantizacin............................................................................................................ 18 2.2.5 Codificacin de la Voz Digital ................................................................................... 19 2.2.6 Companding (Compressing and Expanding) ............................................................. 19 2.2.7 Caractersticas de Cdecs de voz comunes .............................................................. 19 2.2.8 Seleccin de un Cdec usando un indicador de opiniones ....................................... 19 2.2.9 Vista del DSP con ms detalle.................................................................................. 20 2.3 Encapsular paquetes de voz para el transporte .............................................................. 20 2.3.1 Transporte de voz en redes conmutadas por circuitos ............................................. 20 2.3.2 Transporte de voz en redes IP ................................................................................. 20
CCNP ONT
2.3.3 Protocolos usados en la encapsulacin de voz......................................................... 21 2.3.4 Cdecs de encapsulacin de voz ............................................................................. 21 2.3.5 Reduccin de la carga con cRTP ............................................................................... 22 2.3.6 Cuando usar compresin de cabeceras RTP ............................................................. 22 2.4 Clculo de los requisitos de ancho de banda para VoIP .................................................. 22 2.4.1 Impacto del tamao de las muestras y del tamao del paquete en el ancho de banda ....................................................................................................................................... 22 2.4.2 Perodo empaquetado ............................................................................................. 23 2.4.3 Carga de Enlace de datos ........................................................................................ 24 2.4.4 Carga de Seguridad y de Tunneling .......................................................................... 24 2.4.5 Cabeceras Extra de Protocolos de Seguridad y Tunneling ......................................... 24 2.4.6 Clculo del ancho de banda total para una llamada VoIP ......................................... 24 2.4.7 Clculo de ancho de banda rpido........................................................................... 25 2.4.8 Efectos de VAD en el ancho de banda...................................................................... 26 2.5 Implementacin de VoIP en una red empresarial ........................................................... 26 2.5.1 Implementaciones empresariales de Voz ................................................................. 26 2.5.2 Despliegue de CAC ................................................................................................... 27 2.5.3 Funciones del Gateway de Voz en un router Cisco ................................................... 27 2.5.4 Funciones de Cisco Unified CallManager .................................................................. 27 2.5.5 Modelos de despliegue de telefona IP empresariales .............................................. 28 2.5.6 Configuracin Cisco IOS para VoIP ............................................................................ 29 Tema 3. Introduccin a QoS IP ................................................................................................. 31 3.1 Introduccin a QoS ......................................................................................................... 31 3.1.1 Tareas de calidad en redes convergentes................................................................. 31 3.1.2 Tareas de calidad en redes convergentes................................................................. 31 3.1.3 Medida del ancho de banda disponible ................................................................... 31 3.1.4 Incremento del ancho de banda disponible ............................................................. 32 3.1.5 Efectos del retardo de extremo a extremo y del Jitter .............................................. 32 3.1.6 Reduccin del Impacto del retardo en la calidad...................................................... 33 3.1.7 Prdida de Paquetes................................................................................................ 33 3.1.8 Gestin de la congestin. Formas de prevenir el borrado de paquetes ..................... 33 3.2 Implementando QoS Cisco IOS ........................................................................................ 34 3.2.1 Qu es QoS? ........................................................................................................... 34 3.2.2 Herramientas de gestin de congestin ................................................................... 35 3.2.3 Gestin de Colas (Herramientas de prevencin de congestin) ................................ 35 3.2.4 Preparacin para implementar QoS .......................................................................... 36 3.2.5 Paso 1: Identificar tipos de trfico y sus requisitos .................................................. 36 3.2.6 Paso 2: Definir clases de trfico ............................................................................... 36
CCNP ONT
3.2.7 Paso 3: Definir una poltica QoS ............................................................................... 37 3.3 Seleccin de un modelo de Poltica QoS apropiado ......................................................... 37 3.3.1 Los 3 modelos QoS .................................................................................................. 37 3.3.2 Modelo Best-Effort ................................................................................................... 37 3.3.3 Modelo IntServ ........................................................................................................ 37 3.3.4 RSVP y el modelo QoS IntServ .................................................................................. 39 3.3.5 Operacin de RSVP .................................................................................................. 39 3.3.6 El modelo DiffServ ................................................................................................... 40 3.4 Uso de MQC (CLI Modular QoS) para implementar QoS ................................................... 41 3.4.1 Mtodos de implementacin de Polticas QoS .......................................................... 41 3.4.2 Configuracin QoS con la CLI .................................................................................... 41 3.4.3 QoS CLI Modular ...................................................................................................... 42 3.4.4 Paso 1 QoS CLI Modular: Configurar los Class Maps .................................................. 42 3.4.5 Paso 2: Configurar Policy Maps ................................................................................ 43 3.4.6 Paso 3: Asociar la poltica a las interfaces................................................................ 44 3.4.7 Class Maps Anidados ............................................................................................... 44 3.4.8 Ejemplo MQC ........................................................................................................... 45 3.4.9 Comandos de verificacin bsica de MQC ................................................................ 45 3.5 Implementar QoS con SDM QoS Wizard ........................................................................... 45 3.5.1 Configurar QoS con Cisco SDM QoS Wizard ............................................................... 45 3.5.2 Creacin de la Poltica QoS ...................................................................................... 45 3.5.3 Monitoreo del Estado de QoS ................................................................................... 46 Tema 4. Implementando el modelo QoS DiffServ ...................................................................... 47 4.1 Introduccin a la clasificacin y marcado ....................................................................... 47 4.1.1 Clasificacin ............................................................................................................ 47 4.1.2 Marcado .................................................................................................................. 47 4.1.3 Clasificacin y marcado en la capa de enlace de datos ............................................ 47 4.1.4 Modelo DiffServ ....................................................................................................... 48 4.1.5 Procedencia IP y compatibilidad DSCP...................................................................... 49 4.1.6 Comportamientos por Salto ..................................................................................... 49 4.1.7 Grupos PHB Estndar ............................................................................................... 50 4.1.8 Mapeo del CoS al QoS de la capa de Red ................................................................. 51 4.1.9 Clase de servicio QoS definida ................................................................................. 51 4.1.10 Implementar una poltica QoS usando una clase de servicio QoS ............................ 51 4.1.11 Lmites de Confianza.............................................................................................. 52 4.2 Uso de NBAR para la clasificacin ................................................................................... 53 4.2.1 Reconocimiento de aplicacin basado en red (NBAR) ............................................... 53 4.2.2 Soporte de aplicacin NBAR ..................................................................................... 54
CCNP ONT
4.2.3 PDLM ....................................................................................................................... 54 4.2.4 Descubrimiento de Protocolos ................................................................................. 54 4.2.5 Configurar y monitorear el descubrimiento de protocolos NBAR ............................... 54 4.2.6 Configuracin de NBAR para protocolos estticos ..................................................... 55 4.2.7 Configuracin de NBAR stateful para protocolos dinmicos ...................................... 55 4.3 Introduccin a implementaciones de Colas..................................................................... 56 4.3.1 Congestin y colas................................................................................................... 56 4.3.2 Gestin de Congestin: algoritmos de colas ............................................................. 57 4.3.3 FIFO ......................................................................................................................... 58 4.3.4 Prioridad de colas (PQ) ............................................................................................ 58 4.3.5 Round Robin............................................................................................................ 58 4.3.6 Componentes de colas de router ............................................................................. 59 4.4 Configuracin WFQ ......................................................................................................... 59 4.4.1 Weighted Fair Queuing ............................................................................................. 59 4.4.2 Arquitectura WFQ y beneficios ................................................................................. 60 4.4.3 Clasificacin WFQ ..................................................................................................... 60 4.4.4 Insercin WFQ y poltica de borrado ......................................................................... 61 4.4.5 Ventajas y desventajas de WFQ................................................................................ 61 4.4.6 Configuracin de WFQ .............................................................................................. 61 4.4.7 Monitoreo de WFQ ................................................................................................... 61 4.5 Configurando CBWFQ y LLQ ............................................................................................. 62 4.5.1 Combinacin de mtodos de colas .......................................................................... 62 4.5.2 CBWFQ (Class-Based Weighted Fair Queuing) ............................................................ 62 4.5.3 Arquitectura CBWFQ, Clasificacin y Programacin ................................................... 63 4.5.4 Configuracin y Monitoreo de CBWFQ....................................................................... 64 4.5.5 LLQ (Cola de Baja Latencia) ...................................................................................... 64 4.5.6 Arquitectura LLQ y Beneficios ................................................................................... 65 4.5.7 Configuracin y Monitoreo de LLQ ............................................................................ 65 4.6 Prevencin de Congestin .............................................................................................. 66 4.6.1 Gestin de la congestin en Interfaces con Tail Drop ............................................... 66 4.6.2 Limitaciones de Tail-Drop ......................................................................................... 67 4.6.3 Uso de RED (Rando Early Detection) ........................................................................ 67 4.6.4 WRED (Weighted Random Early Detection) ............................................................... 68 4.6.5 Perfiles de borrado WRED ........................................................................................ 69 4.6.6 Configuracin de CBWRED ........................................................................................ 69 4.6.7 Perfiles WRED: WRED basado en DSCP (AF) ............................................................... 70 4.6.8 Monitoreo de CBWRED ............................................................................................. 71 4.7 Introduccin a las Polticas de Trfico y Modelado (Shaping) .......................................... 71
CCNP ONT
4.7.1 Vistazo a las Polticas de Trfico y Modelado (Shaping) ........................................... 71 4.7.2 Por qu usar condicionantes de trfico? ................................................................. 72 4.7.3 Policing vs. Shaping ................................................................................................. 73 4.7.4 Medida de cantidad de trfico con Tokens ............................................................... 73 4.7.5 Poltica basada en clases de cubo de tokens simple ................................................ 73 4.7.6 Mecanismos Cisco IOS de Policing y Shaping............................................................ 74 4.7.7 Aplicar polticas de trfico ....................................................................................... 74 4.8 Comprensin de los Mecanismos de eficiencia de los enlaces WAN ................................ 74 4.8.1 Mecanismos de eficiencia de enlaces ...................................................................... 74 4.8.2 Vistazo a la compresin........................................................................................... 75 4.8.3 Compresin del payload de Capa 2 .......................................................................... 76 4.8.4 Compresin de cabecera.......................................................................................... 76 4.8.5 Exclusin de paquetes grandes de voz en enlaces WAN lentos ................................ 77 4.8.6 Fragmentacin de enlace e Intercalado .................................................................... 77 4.8.7 Aplicando mecanismos de Eficiencia de Enlaces ...................................................... 78 4.9 Implementar Ple-clasificacin QoS .................................................................................. 78 4.9.1 Redes Privadas Virtuales (VPN) ................................................................................ 78 4.9.2 Implementar QoS con Pre-clasificacin ..................................................................... 78 4.9.3 Aplicaciones de Pre-clasificacin QoS ....................................................................... 78 4.9.4 Opciones de despliegue de pre-clasificacin QoS ..................................................... 79 4.10 Despliegue QoS extremo a extremo .............................................................................. 80 4.10.1 SLAs QoS (Acuerdos de Nivel de Servicio QoS) ........................................................ 80 4.10.2 Requisitos SLA tpicos de Voz ................................................................................. 81 4.10.3 Despliegue QoS extremo a extremo ........................................................................ 81 4.10.4 Implementaciones QoS en el Campus Empresarial.................................................. 82 4.10.5 Implementaciones QoS en el borde WAN ................................................................ 83 4.10.6 Diseo del Borde WAN ........................................................................................... 84 4.10.7 Control Plane Policing (CoPP) ................................................................................. 85 5. Implementar AutoQoS Cisco ................................................................................................. 87 5.1 Introduccin a AutoQoS .................................................................................................. 87 5.1.1 AutoQoS Cisco.......................................................................................................... 87 5.1.2 Evolucin AutoQoS ................................................................................................... 88 5.1.3 Despliegue de AutoQoS en switches......................................................................... 88 5.1.4 Cisco AutoQoS Empresarial: Restricciones de despliegue .......................................... 89 5.1.5 Consideraciones de Diseo ...................................................................................... 89 5.1.6 Pre requisitos del router .......................................................................................... 90 5.1.7 Despliegue de AutoQoS Empresarial en routers: Un enfoque de 2 pasos .................. 90 5.1.8 Verificacin de Cisco AutoQoS .................................................................................. 91
CCNP ONT
5.2 Tareas Comunes Cisco AutoQoS ...................................................................................... 93 5.2.1 Automatizacin con Cisco AutoQoS .......................................................................... 93 5.2.2 Mecanismos DiffServ habilitados por AutoQoS.......................................................... 93 5.2.3 Aprovisionamiento automtico para clases DiffServ con AutoQoS ............................. 95 5.2.4 Tareas comunes con AutoQoS .................................................................................. 95 5.2.5 Interpretar las configuraciones AutoQoS ................................................................... 95 5.2.6 Modificar la configuracin AutoQoS activa con la MQC ............................................. 96 5.2.7 Modificar la poltica AutoQoS generada con la MQC.................................................. 97 Tema 6. Implementar Escalabilidad Wireless ............................................................................ 98 6.1 Implementar QoS WLAN .................................................................................................. 98 6.1.1 Un estndar para el QoS WLAN ................................................................................. 98 6.1.2 Descripcin del QoS para WLAN ................................................................................ 98 6.1.3 Tiempo de Backoff en WLAN QoS RF ......................................................................... 98 6.1.4 Lightweight AP Arquitectura MAC partida............................................................... 99 6.1.5 Desafos WLAN QoS .................................................................................................. 99 6.1.6 Implementacin QoS en WLAN ................................................................................. 99 6.1.7 Etiquetado de Paquetes ......................................................................................... 100 6.1.8 Configuracin QoS WLAN ........................................................................................ 101 6.2 Introduccin a la seguridad Wireless ............................................................................ 102 6.2.1 La necesidad de seguridad WLAN ........................................................................... 102 6.2.2 WEP 802.11 ............................................................................................................ 102 6.2.3 Seguridad WEP Cisco 802.11 mejorada.................................................................... 103 6.2.4 Vistazo a 802.1x..................................................................................................... 103 6.2.5 LEAP ...................................................................................................................... 103 6.2.6 EAP-FAST................................................................................................................ 104 6.2.7 EAP-TLS .................................................................................................................. 105 6.2.8 PEAP...................................................................................................................... 105 6.2.9 Acceso Protegido Wi-Fi ........................................................................................... 106 6.2.10 Tareas WPA .......................................................................................................... 107 6.3 Gestin de WLANs ........................................................................................................ 108 6.3.1 Red Cisco Unified Wireless ..................................................................................... 108 6.3.2 Componentes e implementacin de WLAN Cisco .................................................... 109 6.3.3 CiscoWorks WLSE para la solucin WLAN autnoma ................................................ 109 6.3.4 Configuracin simplificada de CiscoWorks WLSE Express ........................................ 111 6.3.5 Cisco WCS para la solucin LWLAN ......................................................................... 111 6.3.6 Prestaciones del software WCS .............................................................................. 112 6.3.7 Interfaz de usuario WCS ......................................................................................... 113 6.3.9 Dispositivo Cisco Wireless Location ........................................................................ 114
CCNP ONT
6.4 Desplegando Cisco WCS ................................................................................................ 115 6.4.1 Ejemplo de configuracin del WCS ......................................................................... 115 6.4.2 Aadir un controlador WLAN al WCS ....................................................................... 115 6.4.3 Configurar un Punto de Acceso .............................................................................. 116 6.4.4 Agregar un mapa del campus a la base de datos del WCS...................................... 116 6.4.5 Deteccin de Puntos de acceso fakes .................................................................... 117 6.4.6 Localizacin de los AP rogues ................................................................................ 117 6.5 Configurar Cifrado y Autenticacin el Puntos de Acceso Lightweight ............................. 118 6.5.1 Configurar Autenticacin Abierta ............................................................................ 118 6.5.2 Configuracin de autenticacin con clave WEP esttica .......................................... 118 6.5.3 Configurar WPA con claves pre-compartidas........................................................... 119 6.5.4 Configurar autenticacin Web ................................................................................ 119 6.5.5 Personalizar la pantalla de login Web .................................................................... 119 6.5.6 Configurar autenticacin 802.1x ............................................................................. 120 6.5.7 Configurar WPA con 802.1x..................................................................................... 121 6.5.8 WPA2 ..................................................................................................................... 121
CCNP ONT
CCNP ONT
o RDSI requiere adaptadores en ambos finales de la transmisin (instalaciones del cliente y instalacin del SP). En muchos lugares donde los SP ofrecen lneas DSL y cable mdem, RDSI con es una opcin popular. o Existen 2 niveles de servicios RDSI. Ambos incluyen un nmero de canales B y un canal D. Cada canal B porta datos, voz y otros servicios a una velocidad de 64 Kbps. Cada canal D porta informacin de control y de sealizacin. BRI: Se usa para hogares y pequeas empresas. Contiene 2 canales B y un canal D. PRI: Se usa para usuarios mayores. Incluye 23 canales B en Norte Amrica y Japn y 30 en Europa, y un canal D. o RDSI se populariz como una tecnologa de red inteligente que aadira nuevos servicios a la PSTN dando a los usuarios acceso directo a circuitos end-to-end digitales. o PRI es usado comnmente en estudios de grabacin donde los actores de doblaje estn en un estudio mientras que el director y el productor estn en un estudio en otra parte. RDSI se usa ya que garantiza un servicio en tiempo real mucho ms fiable que a travs de Internet. Algunas compaas realizan llamadas de videoconferencia combinando 3 lneas BRI para crear una buena calidad de imagen.
10
CCNP ONT
una PBX. Siguiente la poltica de la compaa, los emisores solicitaban a la operadora de la compaa conectarse a una lnea OUT-WATS tendida a un sistema de larga distancia. Sin embargo, a medida que se redujeron los costes de las llamadas a larga distancia, la intervencin de la operadora fue desapareciendo. Los usuarios que quieren realizar una llamada desde dentro de una PBX normalmente slo necesitan aadir un prefijo para obtener acceso a nmero de larga distancia. - IN-WATS: Los suscriptores tienen un nmero de telfono libre de cuotas. El servicio IN-WATS reduce el tiempo que el operador gasta en procesar llamadas. Los cdigos de rea IN-WATS en Norte Amrica son 800, 888, 877 y 866, pero estn reservados ms de 800 para el futuro. Los usuarios dentro de un rea designada pueden llamar al telfono IN-WATS de una organizacin sin tener que pagar. Muchos negocios tienen nmero 800 gratuitos que pueden reenviar a mltiples call-centers.
11
CCNP ONT
/ DATA CENTER: Es una arquitectura de red unificada y adaptativa. Soporta consolidacin, continuidad en el
negocio y seguridad. Al mismo tiempo, habilita arquitecturas emergentes orientadas a servicios, virtualizacin y computacin bajo demanda. El departamento de IT provee un acceso seguro a las aplicaciones y recursos. Esta estructura simplifica la gestin y reduce de forma significativa la carga. Los centros de datos redundantes proveen copias de seguridad usando replicaciones. La red y los dispositivos de red ofrecen balanceo de carga de servidor y de aplicacin para maximizar el funcionamiento. Esta solucin permite a la empresa escalar sin realizar cambios mayores en la infraestructura. / BRANCH: Permite a las empresas extender las aplicaciones y servicios de la oficina central, como seguridad, comunicaciones IP y aplicaciones avanzadas a miles de localizaciones remotas y usuarios, o a un pequeo grupo de sucursales. Integra seguridad, conmutacin, anlisis de red y voz convergente dentro de routers ISR (integrated services routers) en la sucursal. Con esta integracin, las empresas pueden desplegar nuevos servicios sin necesidad de comprar nuevos equipos. Esta solucin provee acceso de voz seguro y transmisiones de datos crticos y aplicaciones de vdeo en cualquier lugar a cualquier hora. Se provee una arquitectura robusta con altos niveles de flexibilidad para todas las sucursales, mediante un enrutamiento avanzado, VPNs, enlaces WAN redundantes y procesamiento de llamadas telefnicas locales IP. / TELETRABAJADOR: Permite a las empresas entregar servicios de voz y datos seguros a oficinas hogareas pequeas (SOHOS) sobre un servicio de acceso de banda ancha (como DSL y cable mdem). La gestin centralizada minimiza el costo de soporte. / WAN: Provee servicios de voz, vdeo y datos sobre una red de comunicaciones IP nica. QoS, niveles de servicio granulares y un cifrado comprensivo ayudan a asegurar la seguridad entregando recursos de vdeo, voz y datos de alta calidad a todos los sitios corporativos. La seguridad se provee con VPNs multiservicio (IPsec y MPLS) sobre WANs de capa 2 o de capa 3, topologas hub-and-spoke o malla completa.
12
CCNP ONT
- TRANSPORTE INTEGRADO: IIN consolida datos, voz y video en una red IP para una convergencia segura. Integrando el transporte de estos 3 componentes en una red nica, basada en estndares y modular, las organizaciones pueden simplificar la gestin de la red y reducir costes de infraestructura. - SERVICIOS INTEGRADOS: Cuando se completa la convergencia, la red une y comparte, o virtualiza, recursos para lograr alcanzar las necesidades de la organizacin de forma ms flexible. Los servicios integrados unifican elementos comunes incluyendo almacenamiento y capacidad de servidor de centro de datos. - APLICACIONES INTEGRADAS: La tercera fase es una red orientada a aplicaciones (AON). AON se centra en hacer a la red consciente de las aplicaciones para que pueda optimizar el funcionamiento de las mismas y entregar aplicaciones de red a los usuarios de forma ms eficiente. Adems, ofrece funciones de balanceo de carga y seguridad a nivel de aplicacin.
13
CCNP ONT
14
CAS y CCS son mtodos de sealizacin para T1/E1. BRI siempre usa CCS.
15
CCNP ONT
o El formato (por ejemplo, el algoritmo de compresin) usado por la voz digitalizada. - MANTENIMIENTO DE LLAMADA: El mantenimiento de llamada genera contadores de paquetes, perdida de paquetes, jitter y retardos durante la llamada. La informacin se pasa los dispositivos habilitados para voz para determinar si la calidad de la conexin es buena o esta tan deteriorada que el gateway deba cerrar la conexin. - CALL TEARDOWN (TIRAR ABAJO LA LLAMADA): Notifica a los dispositivos habilitados para voz que dejen recursos disponibles para otras llamadas cuando una lado termina una llamada.
16
detectar una solicitud de servicio (el usuario descuelga el telfono), R1 informa al call agent de la solicitud. 2/ El call agent le dice a R1 que mande un tono de marcado y R1 recibe los dgitos que marca el usuario. 3/ R1 pasa cada dgito recibido (uno a uno) al call agent 4/ El call agent busca el nmero marcad en la tabla de enrutamiento de llamadas del agente. De acuerdo a la misma, el nmero de telfono solicitado se alcanza usando el segundo gateway (R2). El call agent tambin controla a R2 y, por tanto, sabe que nmeros de telfono puede alcanzar R2. Por ello, el call agent sabe a qu puerto de R2 debe enrutarse la llamada. 5/ El call agen enva un mensaje a R2 solicitando que pase la llamada a dicho puerto, que ser aquel que conecta al nmero de telfono de destino. Esto es un ejemplo de un modelo centralizado, donde toda la inteligencia de enrutamiento de llamada (en este caso, el call setup) se realiza en el call agent. El call agent instruye a los gateways en la forma de manipular la llamada, por lo que slo el call agent tiene una tabla de enrutamiento de llamadas. SUPERVISAR LA LLAMADA: Durante la llamada, R1 y R2 monitorean la calidad de la misma. En el modelo centralizado, si uno de los gateways detecta que la calidad no es la adecuada, pasa la informacin al call agent. El call agent ser el encargado de terminar la llamada. TERMINAR LA LLAMADA: Si el llamante que conecta a R1 finaliza la llamada, R1 informa al call agent de la terminacin. El call agent notifica a ambos gateways de la terminacin de la llamada VoIP y libera los recursos que estaban siendo usados por la llamada. El modelo centralizado permite a un dispositivo externo (el call agent) manipular la sealizacin y el procesamiento de llamada, dejando a los gateways traducir las seales de audio a paquetes de voz despus de cada call setup. Despus que se configura la llamada, la voz fluye directamente entre los dos gateways sin pasar por el call agent.
17
CCNP ONT 2.2.2 Codificacin bsica de la voz: Convertir seales digitales a seales analgicas
Cuando un router recibe entradas de voz en formato digital, convierte de vuelta estas seales a forma analgico antes de enviarla a las interfaces de voz analgicas. El proceso de digital a analgico es lo contrario del proceso de analgico a digital. Los DSP en las tarjetas de voz convierten las seales digitales a seales analgicas, siguiendo los siguientes pasos: 1/ DECOMPRESIN: Cualquier muestreo de voz comprimido primero se descomprime. 2/ DECODIFICACIN: El DSP decodifica las muestras de voz digital a los valres de amplitud de las muestras y reconstruye una seal PAM de la amplitud original. 3/ RECONSTRUCCIN DE LA SEAL ANALGICA: El DSP para la seal PAM a travs de un filtro correctamente diseado que produce una seal espejo analgica igual a la digitalizada anteriormente.
2.2.4 Cuantizacin
Las aplicaciones telefnicas usan una frecuencia de muestreo de 8000 MHz para convertir una seal analgica a un formato digital. El DSP debe redondear el valor de cada muestra al nmero ms cercano en una escala que vara de acuerdo a la resolucin de la seal. El DSP convierte estos nmeros a binarios. La cuantizacin es el proceso de seleccionar nmeros binarios para representar el nivel de voltaje de cada muestra (la amplitud de la modulacin PAM). Los DSP usan la cuantizacin para aproximar los sonidos analgicos al valor binario ms cercano disponible. El DSP debe seleccionar el nmero binario que ms se aproxime al nivel de la seal de la muestra. La diferencia entre la seal analgica original y el nivel de cuantizacin asignado se conoce como error de cuantizacin o ruido de cuantizacin. Esta diferencia es el origen de la distorsin en la transmisin de sistemas digitales. El ruido y la distorsin son 2 fenmenos distintos. La distorsin es cualquier cambio en la seal que resulta en un resultado diferente al original. El ruido es informacin/seales adicionales aadidas a la original. Las aplicaciones telefnicas usan normalmente cuantizaciones de 8 bits. Los DSP representan todos los valores posibles de la forma de onda analgica con 256 valores de voltaje distintos, cada uno representado en un nmero binario de 8 bits. Estas aproximaciones no son exactas totalmente y contienen errores de cuantizacin (ruido), pero el resultado es ms que adecuado para representar la voz humana en aplicaciones telefnicas. En comparacin, los compact discs usan cuantizaciones de 16 bits, que permiten definir 65.536 niveles de voltaje diferentes. En la figura se presenta el ruido o error de cuantizacin. Las muestras tomadas que no se representan justo en la lnea que le corresponde representan un ligero cambio en la seal original cuantizada, puesto que no estn ubicndose en la posicin exacta en la que se crearon en el origen.
18
19
Un DSP permite a los participantes de la conferencia utilizar cdecs diferentes (conferencia en modo mixto). Un DSP que se usa para conferencias en modo nico soporta slo un cdec que todos los participantes deben utilizar.
20
CCNP ONT
individuales no usan TDM en circuitos separados sino que simplemente son circuitos de alto ancho de banda, portando paquetes IP desde varios dispositivos. Como se muestra en la figura, los paquetes de voz y datos comparten la misma ruta y los mismos enlaces. Los paquetes de voz entran a la red de forma peridica. Sin embargo, los paquetes pueden llegar a su destino a tiempos diferentes. Cada paquete encuentra diferentes retrasos en la ruta al destino, y los paquetes pueden tomar diferentes rutas al mismo destino. La condicin donde la llegada de los paquetes vara, a tasas impredecibles es conocida como jitter. Para que la voz pueda escucharse correctamente, se deben reinsertar los intervalos de tiempo correctos y asegurarse que los paquetes llegan en orden. Cuando se completa la llamada, el gateway que finaliza la misma (el que primero cuelgue) cierra de forma lgica la llamada y detiene el envo de paquetes de voz dentro de la red.
21
22
CCNP ONT
- CARGA DE TUNNELING: Especifica el nmero de bytes aadidos por cualquier protocolo de seguridad o de tunneling, como IPsec, GRE o MPLS. Esta carga debe considerarse en todos los enlaces entre el origen y el destino. - CODECS: en la siguiente figura vemos el ancho de banda utilizado por cada cdec, lo cual es otro factor a tener en cuenta a la hora de decidir que cdec de audio utilizar en la organizacin.
En la figura se contrastan 2 escenarios con diferentes perodos de empaquetado. En el primero, se empaquetan porciones de 20 ms de voz (160 muestras PCM). Si el empaquetado se realiza cada 20 ms es igual que se generan 50 paquetes por segundo. Para un total de 60 ms de voz, se necesitan 3 paquetes, cada uno con 20 ms de voz. Por ello, el empaquetado de estos 60 ms de voz incluye una carga adicional de 3 cabeceras IP, UDP y RTP. En el segundo escenario, se empaquetan partes de 30 ms de voz (240 muestras PCM). Este empaquetado resulta en una tasa menor de paquete de 33.3 paquetes por segundo (pps). Para cada 60 ms. De voz, slo se generan 2 paquetes, por lo que la carga IP se redunde en una tercera parte en comparacin con el primer escenario. El valor por defecto de empaquetado es la mayora de los dispositivos VoIP Cisco es de 20 ms. Este valor es el valor ptimo por defecto para la mayora de los escenarios. Si consideramos aumentar este valor para beneficiarnos de una carga IP menor, debemos considerar que un perodo de empaquetado mayor causar un mayor retardo. Este retardo extra se introduce durante el empaquetado ya que se tiene que recolectar ms informacin de voz antes de que el paquete se genere y se enve. En la figura se muestran ejemplos de encapsulaciones VoIP con los cdecs utilizados y los perodos de empaquetado. Como podemos ver, un perodo de empaquetado mayor incrementa el tamao del paquete IP mientras reduce la cantidad de paquetes. En la tabla, la carga IP se asume como de 40 bytes. Este valor es el valor normal de paquetes VoIP compuestos por 20 bytes de la cabecera IP, 8 bytes de la cabecera UDP y 12 bytes de la cabecera RTP. Si se usa cRTP la carga IP disminuye. Nota: Aparte, habra que sumarle la carga de la capa de enlace de datos que aqu no se incluye.
23
2.4.6 Clculo del ancho de banda total para una llamada VoIP
Cuando se disean redes para VoIP, es crucial saber el ancho de banda total de una llamada VoIP necesita utilizar. Esta informacin se necesita para determinar la capacidad del los enlaces fsicos y desplegar un QoS y un CAC correcto. CAC limita el nmero de llamadas simultneas de voz. Este lmite previene la saturacin del enlace, causando degradacin de la calidad de las llamadas. QoS entrega prioridad a los paquetes de voz, previendo que se forme colas con altos retardos, lo cual afectara a la calidad de la voz. Para calcular el ancho de banda total de una llamada VoIP, seguiremos los siguientes pasos: - PASO1: Almacenar la informacin de empaquetado requerida. Primero, debemos determinar el ancho de banda del cdec que se usa para digitalizar las seales analgicas. El ancho de banda del cdec se especifica en Kbps y est normalmente en el rango de 8 a 64 Kbps. Necesitaremos tambin el perodo de empaquetado (en ms) o el tamao de empaquetado (en bytes). Si tenemos el ancho de banda del coden y uno de estos otros 2 valores, podemos calcular el valor restante. - PASO2: Almacenar la informacin del enlace requerida. La carga total que ser aadida por paquete en cada enlace es la siguiente parte de informacin necesaria. Esta carga depende de si se usa o no cRTP, del protocolo de capa 2 en uso, y de la carga de cada protocolo de capa 2 por paquete. IP, UDP y RTP tienen una carga de 40 bytes, sin el uso de cRTP. Con cRTP, la carga es de 2 a 4 bytes. Debemos asegurarnos de incluir la carga en bytes del protocolo de capa 2 en uso. Finalmente, debemos saber si existen otras prestaciones que causen una carga adicional y cuanta carga supone la misma. Como prestaciones adicionales tenemos seguridad, como VLANs, IPsec o aplicaciones de tunneling. - PASO3: Calcular el tamao de empaquetado o el perodo. Dependiendo del dispositivo de voz, debemos saber el perodo de empaquetado o el tamao de empaquetado (determinado en el paso 1). Calcular la informacin perdida basndonos en el valor conocido ms el ancho de banda del cdec, tambin obtenido en el paso 1. El tamao de empaquetado se expresa en bytes y el perodo de empaquetado en ms. - PASO4: Aadir juntos el tamao de empaquetado y todos las cabeceras y trailers. Aadir la carga IP, UDP y RTP (o cRTP), protocolo de capa 2, y cualquier otro protocolo que anotramos en el paso 2 al payload de la voz (tamao de empaquetado). Todos los valores deben ser en bytes. - PASO5: Calcular la cantidad de paquetes. Calcular cuntos paquetes sern enviados por segundo usando la multiplicacin inversa del perodo de empaquetado. Debido a que la tasa de paquetes se
24
CCNP ONT
especifica en paquetes por segundo, debemos asegurarnos de convertir el valor en ms al perodo de empaquetado por segundos. - PASO6: Calcular el ancho de banda total. Multiplicar el tamao total de paquete o trama por la tasa de paquete para calcular el ancho de banda. Debido a que el tamao de paquete se expresa en bytes y el ancho de banda en kpbs, necesitamos convertir bytes a kilobits. Basndonos en este procedimiento, podemos calcular el ancho de banda usado por una llamada VoIP en un enlace especfico. Para el planteamiento de los enlaces fsicos, consideraremos el nmero mximo de llamadas que se supone podra realizarse y el ancho de banda necesario para otras aplicaciones diferentes a VoIP. A su vez, debemos asegurarnos que exista suficiente ancho de banda para las seales de call setup y call teardown. Siguiendo los pasos del procedimiento de clculo del ancho de banda, usaremos la siguiente frmula:
BANDWIDTH [EN KBPS] = (TAMAO PAQUETE TOTAL [EN BYTES POR PAQUETE] * 8/1000)*TASA DE PAQUETE [EN PPS]. [EN BYTES POR PAQUETE] = CARGA DE CAPA 2 [EN BYTES POR PAQUETE] + OTRA CARGA [EN BYTES POR PAQUETE] + CARGA IP [EN BYTES POR PAQUETE] + TAMAO DE EMPAQUETADO [EN BYTES POR PAQUETE].Si no conociramos el tamao de empaquetado, usaramos la siguiente frmula: TAMAO DE EMPAQUETADO [EN BYTES POR PAQUETE] = (PERODO DE EMPAQUETADO [EN MS POR PAQUETE] / 1000) * ANCHO DE BANDA DEL CDEC [EN KBPS]*1000/8. Debido a que el tamao de empaquetado
Multiplicamos el tamao de paquete total x 8 y /1000 para convertir los bytes a Kbps. - CLCULO DEL TAMAO DE PAQUETE TOTAL: Usaremos la siguiente frmula: TAMAO DE PAQUETE TOTAL
est en bytes y el ancho de banda del cdec est en kilobits por segundo, convertimos el ancho de banda del cdec multiplicndolo por 1000 y dividindolo entre 8. Adems, debido a que las unidades en el ancho de banda del cdec (Kbps) y el perodo de empaquetado (ms por paquete) no son las mismas, el perodo de empaquetado tiene que convertirse multiplicando al mismo por 1000. - CLCULO DE LA TASA DE PAQUETE: La tasa de paquetes, especificada en pps, es la multiplicacin inversa del perodo de empaquetado, el cual se especifica en ms por paquete. Por ello, debemos convertir de ms a segundos para obtener un valor recproco: TASA DE PAQUETES [EN PPS] = 1 / (PERODO DE EMPAQUETADO [EN MS PP] / 1000). En ocasiones, no sabremos el perodo de empaquetado (ms pp), sino el tamao de empaquetado. En algunos dispositivos, se configura el tamao en lugar el perodo. Cuando esto suceda, calcularemos el perodo de empaquetado primero usando las siguiente frmula: PERODO DE EMPAQUETADO [EN MS PP] = (TAMAO DE EMPAQUETADO [EN BYTES PP]*8/1000) / (ANCHO DE BANDA DEL CDEC [EN KBPS] / 1000). Sumario: Asumiendo que conocemos el perodo de empaquetado (en ms pp), las frmulas para calcular el ancho de banda total se simplifican en:
ANCHO DE BANDA [EN KBPS] = (8 * (CARGA CAPA 2 [EN BYTES PP] + OTRAS CARGAS [EN BYTES PP] + CARGA IP [EN BYTES PP] + PERODO DE EMPAQUETADO [EN MS PP] * ANCHO DE BANDA DEL CDEC [EN KBPS])/ PERODO DE EMPAQUETADO [EN MS PP].
Si, en lugar del perodo de empaquetado se conoce el tamao de empaquetado (en bytes pp), usaremos la siguiente frmula:
ANCHO DE BANDA (EN KBPS) = (ANCHO DE BANDA DEL CDEC [EN KBPS] / TAMAO DE EMPAQUETADO [EN BYTES PP])*(TAMAO DE EMPAQUETADO [EN BYTES PP] + CARGA CAPA 2 [EN BYTES PP] + OTRAS CARGAS [EN BYTES PP] + CARGA IP [EN BYTES PP]).
25
Como media, VAD permite el ahorro de alrededor a un 35 % del ancho de banda. En la figura se muestra una estadstica segn varios factores.
26
27
CCNP ONT
- PROGRAMACIN DE INTERFAZ PARA APLICACIONES EXTERNAS: A travs de una interfaz programada, las aplicaciones externas pueden integrarse con la solucin telefnica del Cisco Unified CallManager. Ejemplos de ello son la aplicacin de PC Cisco IP Communicator, Cisco IP Interactive Voice Response (IVR), Cisco Personal Assistant, y la consola Cisco Unified CallManager Attendant. El Cisco IP Communicator es un telfono virtual, representado por una pantalla interactiva en un PC. En la figura se muestra una compaa utilizando Cisco Unified CallManager. La compaa tiene 2 sitios: HQ y una oficina. Un clster Cisco Unified CallManager se localiza en el HQ. Cada sitio tiene un gateway de voz para el acceso a la PSTN. En el ejemplo, un usuario en la oficina branch quiere hacer una llamada a un usuario localizado en HQ. El proceso de la llamada sera el siguiente: - PASO1: Cuando el usuario de la sucursal marca el nmero de telfono, el telfono IP enva un mensaje de sealizacin a un miembro del clster Cisco Unified CallManager. - PASO2: El servidor Cisco Unified procesa la llamada buscando el nmero marcado en la tabla de enrutamiento de llamadas Cisco Unified CallManager. - PASO3: Cuando el servidor Cisco Unified CallManager determina la direccin IP del telfono de destino, enva un mensaje de sealizacin al telfono de destino. El telfono de destino comienza a sonar, y el usuario al que se est llamando puede aceptar la llamada. - PASO4: Una vez aceptada, el telfono comienza a enviar y recibir paquetes RCP que portan seales de aucio.
SITIO NICO: Una empresa puede desplegar una solucin VoIP en un nico sitio. En este caso, hay un cluster Cisco Unified que sirve slo a telfonos locales.
28
CCNP ONT
CLUSTERS SOBRE WAN: Una empresa puede desplegar una solucin VoIP en mltiples sitios. En este despliegue, los servidores Cisco Unified se localizan en ms de un sitio. Sin embargo, todos los servidores pertenecen a un clster nico. Los miembros de este clster se separan por una WAN IP. Los telfonos IP normalmente usan el servidor local como su agente de llamada. En este modelo se requiere que exista un retardo no mayor a 40 ms entre cada pareja de servidores.
En la figura, el primer router tiene estas configuraciones: Nombre R1 // IP: 10.1.1.1/24 // Interfaz IP: Fa 0/0 // Puerto de voz: 1/0/0 // Extensin del telfono conectado al puerto de voz: 1111. En el segundo router, las configuraciones son similares: Nombre R2 // IP: 10.2.2.2/24 // Interfaz IP: FA 0/0 // Puerto de voz: 1/0/0 // Extensin del telfono conectado al puerto de voz: 2222. Un dial-peer describe donde encontrar un nmero de telfono, y la coleccin de dial peers forma la tabla de enrutamiento de llamadas de un gateway de voz. Dos tipos de dial peers se muestran en este ejemplo: pares de llamada POTS y pares de llamada VoIP. POTS indica que el nmero de telfono especificado en el dial-peer se encuentra en un puerto fsico. Un dial peer VoIP se refiere a la IP del dispositivo VoIP. Comando Descripcin Dial-peer voice <etiqueta> <tipo> Ingresamos al modo de subconfiguracin de dial peer. El valor de etiqueta es un nmero que ha de ser nico para todos los dial peers dentro del mismo gateway. El valor del tipo indica el tipo de dial peer (POTS o VoIP). Destination-pattern <n telfono> Ingresado en el submodo dial peer, define el nmero de telfono que se le aplica al dial peer. Una llamada enviada a este nmero se enruta de acuerdo al tipo de configuracin y de puerto (en el caso de un dial peer tipo POTS) o sesin objetivo (en el caso de un dial peer del tipo VoIP) del dial peer. Nmero de Puerto El comando port, ingresado en el submodo POTS del submodo dial peer define el nmero de puerto que se aplica al dial peer. Las llamadas que se enrutan usando este dial peer se envan al puerto especificado. Este comando se usa slo en dial peers POTS. Session target ipv4: <direccin IP> Ingresado en el modo de subconfiguracin de dial peer en VoIP, defina la IP del dispositivo VoIP
29
CCNP ONT
objetivo que se aplica al dial peer. Las llamadas que se enrutan usando este dial peer se envan a la direccin IP especificada. Este comando slo puede configurarse en dial peers de VoIP.
30
CCNP ONT
31
CCNP ONT
mltiples flujos, usaremos la siguiente frmula para calcular la media de ancho de banda disponible por flujo: ANBANDADISPONIBLE = ANBANDAMAX/FLUJOS. Un ancho de banda inadecuado puede tener impactos en el funcionamiento de las aplicaciones de red, especialmente en aquellas que son sensibles al tiempo (como la voz), o que consumen mucho ancho de banda (como la videoconferencia).
32
CCNP ONT
El ITU considera los retardos de red para aplicaciones de voz en el apartado de recomendaciones G.114. Estas recomendaciones definen tres bandas de retardos de una va, como vemos en la figura.
33
CCNP ONT
- POLTICA DE CORTA DURACIN (SHAPING): A diferencia de la anterior, se retiene el trfico de paquetes excedidos en una cola y se programa el exceso para una transmisin posterior. El resultado es un radio de salida liso. El shaping implica la existencia de una cola y de suficiente memoria para almacenar paquetes retrasados, mientras que el policing no. La cola es concepto de salida: los paquetes van a una interfaz saliente y pueden colocarse en una cola. En la figura se muestra las diferencias entre policing y shaping. Las tcnicas de prevencin de congestin monitorean la carga de trfico de red en un esfuerzo de anticiparse y prevenir la congestin antes de que la misma sea un problema. Estas tcnicas proveen un tratamiento preferente al trfico Premium cuando existe congestin, mientras que maximiza la capacidad de la red con una prdida de paquetes y un retardo mnimos. El algoritmo WRED permite prevencin de congestin en interfaces de red proveyendo gestin del buffer y permitiendo al trfico TCP decrecer, antes que los buffer se saturen.
34
35
CCNP ONT
pero los paquetes de la segunda permanecern en la cola. Si el tamao de la cola aumenta y excede 22, los paquetes con la procedencia IP 20 tambin sern borrados.
36
CCNP ONT
SCAVENGER: El trfico sin especificar se considera como menor a mejore esfuerzo. Aplicaciones como BitTorrent y otras son servidas por esta clase.
37
CCNP ONT
El modelo IntServ hereda el enfoque orientado a conexin del diseo de red telefnico. Cada comunicacin individual debe especificar explcitamente su descripcin de trfico y los recursos solicitados a la red. El router borde realiza un control de admisin para asegurarse que los recursos disponibles son suficientes. El estndar IntServ asume que los routers a lo largo del camino configuran y mantienen el estado de cada comunicacin individual. En este modelo, la aplicacin solicita un tipo de servicio especfico desde la red antes de enviar datos. La aplicacin informa a la red del perfil de su trfico y solicita un tipo particular de servicio que cumpla sus requisitos de ancho de banda y retardo. La aplicacin enva datos slo despus de recibir una confirmacin de los requisitos solicitados. La red realiza un control de admisin basado en la informacin recibida desde la aplicacin y los recursos de red disponibles. La red cumple su compromiso manteniendo un estado por flujo y realizando entonces clasificacin de paquetes, polticas y colas inteligentes basadas en el estado. La prestacin QoS configurada en Cisco IOS incluye estas prestaciones: - RSVP: puede usarse por aplicaciones para sealizar sus requisitos QoS al router. - MECANISMOS DE COLAS INTELIGENTES: pueden usarse con RSVP para proveer los siguientes niveles de servicio QoS: o RADIO GARANTIZADO: Permite a las aplicaciones reservar ancho de banda para cumplir sus requisitos. Por ejemplo, una aplicacin VoIP puede reservar 32 Mbps de ancho de banda de extremo a extremo usando este servicio. El Cisco IOS QoS usa LLQ con RSVP para proveer un tipo de servicio garantizado. o CARGA CONTROLADA: Permite a las aplicaciones tener un retardo pequeo y un alto rendimiento, incluso en perodos de congestin. Por ejemplo, las aplicaciones adaptadas a tiempo real, como una videoconferencia, pueden usar este servicio. El Cisco IOS QoS usa RSVP con WRED para proveer un control de carga. Funciones IntServ Junto con la sealizacin de extremo a extremo, IntServ requiere varias funciones para estar disponible en routers y switches a lo largo de la ruta. Estas funciones incluyen las siguientes: - CONTROL DE ADMISIN: Determina si un nuevo flujo solicitado por los usuarios y sistemas puede ser garantizado sin afectar a las reservas existentes. El control de admisin se asegura que los recursos estn disponibles antes de permitir una reserva. - CLASIFICACIN: Implica el uso de un descriptor de trfico para categorizar paquetes dentro de un grupo especfico, para definir el paquete y hacer posible su manipulacin QoS en la red. La clasificacin es crucial para tcnicas de polticas que seleccionan paquetes de distintos tipos de servicios QoS. - POLTICAS: Toma acciones, incluyendo la posibilidad de borrar paquetes, cuando el trfico no cumple con sus caractersticas especificadas. - COLAS: Acomodan la congestin temporalmente en una interfaz de un dispositivo de red almacenando los paquetes excedentes en buffers hasta que el acceso al ancho de banda vuelva a estar disponible. - PROGRAMACIN: Un componente QoS, el calendario QoS, negocia solicitudes simultneas de acceso de red y determina que cola recibe prioridad. IntServ usa una programacin round robin. Este es un enfoque en el cual el programa le da un pedazo de tiempo pequeo a cada trabajo antes de moverse al siguiente trabajo, realizando cada tarea de esta forma. El modelo IntServ cuenta con varios y beneficios y algunas desventajas, como vemos a continuacin: - BENEFICIOS: Soporta control de admisin que permite a la red rechazar nuevas sesiones RSVP si una de las interfaces de la ruta alcanza su lmite (esto es, si todo el ancho de banda que puede reservar est utilizado. - RSVP sealiza las solicitudes QoS para cada flujo individual. En la solicitud, el usuario autorizado (objeto de autorizacin) y la poltica de trfico necesario (objeto de poltica) se envan. La red puede proveer garantas entonces a flujos individuales. - RSVP informa a los dispositivos de red de los parmetros del flujo (direcciones IP y nmeros de puerto). Algunas aplicaciones usan nmeros de puerto dinmicos, como las basadas en H.323, el cual es difcil de reconocer por dispositivos de red. NBAR (Network-Based Application Recognition) es un mecanismo que complementa a RSVP para aplicaciones que usan nmeros de puertos dinmicos y no usan RSVP. - DESVENTAJAS: Existe una sealizacin continua ya que la arquitectura con conexin de RSVP aade una sobrecarga al ancho de banda. RSVP contina sealizando durante la duracin entera del flujo. Si la red cambia, o un enlace falla, la red no es capaz de soportar la reserva realiza en un primer momento. - El enfoque basado en flujo no es escalable en implementaciones mayores, como la Internet pblica, ya que RSVP tiene que hacer seguimiento de cada flujo individual. Esta circunstancia hace la sealizacin de extremo a extremo difcil. Una solucin posible es combinar IntServ con elementos del modelo DiffServ para proveer la escalabilidad necesaria.
38
Cada nodo que usa RSVP tiene 2 mdulos de decisiones locales: - CONTROL DE ADMISIN: Mantiene el seguimiento de los recursos del sistema y determina si el nodo tiene suficientes recursos para proveer el QoS solicitado. El daemon RSVP monitorea ambas acciones. Si cualquiera de ellas falla, el programa RSVP devuelve un mensaje de error a la aplicacin que origin la solicitud. Si ambas son satisfactorias, el daemon RSVP configura parmetros en el clasificador de paquetes y los paquetes son programados para obtener el QoS solicitado. - CONTROL DE POLTICA: El control de poltica determina si el usuario tiene permisos administrativos para realizar la reserva. Si se satisfacen el control de admisin y de poltica, el daemon configura parmetros en 2 entidades, el clasificador de paquetes y el programador de paquetes: - CLASIFICADOR DE PAQUETES (PACKET CLASSIFIER): Determina la ruta y la clase QoS para cada paquete. - PROGRAMADOR DE PAQUETES (PACKET SCHEDULER): Ordena la transmisin de paquetes para lograr el QoS prometido a cada stream. - PROCESAMIENTO DE RUTA (ROUTING PROCESS): El daemon RSVP se comunica con el proceso de enrutamiento para determinar la ruta por la que se enviar su solicitud de reserva y para manipular los cambios de membresa y de rutas. Cada router participa en la reserva de rutas pasando los paquetes de datos entrantes al clasificador de paquetes y poniendo en cola los paquetes si es necesario en un programador de paquetes. Una vez que el clasificador de paquetes determina la ruta y la clase QoS de cada paquete, y el programador localiza recursos para la transmisin, RSVP pasa la solicitud a todos los nodos (routers y
39
CCNP ONT
host) a lo largo de la ruta de datos inversa a los orgenes de la transmisin. En cada nodo, el programa RSVP aplica una decisin local llamado Control de Admisin para determinar si ese nodo puede proveer el QoS solicitado. Si el control de admisin pasa en la provisin del QoS requerido, el programa RSVP configura los parmetros del clasificador de paquetes y se programa para obtener el QoS deseado. Si el control de admisin falla en algn nodo, el programa RSVP devuelve una indicacin de error a la aplicacin que origin la solicitud.
COMBINACIN DE LA RESERVA
Cuando un receptor potencial inicia una solicitud de reserva, la solicitud no necesita viajar por toda la ruta al origen del emisor. En su lugar, esta viaja corriente arriba hasta encontrar otra solicitud de reserva para el mismo stream de origen. La solicitud entonces se combina con esa reserva. La combinacin de reserva gua la primera ventaja de RSVP, la escalabilidad. Esto permite que un amplio nmero de usuarios participen en un grupo multicast sin incrementar significativamente el trfico de datos. RSVP escala a grandes grupos multicast. La carga media del protocolo decrece a medida que el nmero de participantes se incrementa. Como ejemplo, en la figura se muestran los principios bsicos de cmo RSVP realiza CAC y reserva de ancho de banda en una red. En este ejemplo, RSVP est habilitado en cada interfaz de cada router. Una WAN habilitada para IntServ conecta 3 telfonos IP y un CallManager 5.0. Debido a que el ancho de banda est limitado en los enlaces WAN, RSVP determina si el ancho de banda solicitado para una llamada satisfactoria est disponible. Para ello, el CallManager usar RSVP. Una aplicacin de voz habilitada para RSVP quiere reservar 20 Kbps de ancho de banda para un stream de datos desde telfono IP 1 al telfono IP 2. RSVP usa los protocolos de enrutamiento subyacentes para determinar donde llevar las solicitudes de reserva. Como el enrutamiento cambia rutas para adaptarse a cambios en la topologa, RSVP adapta reservas a las nuevas rutas si existen reservas en ese momento. El protocolo RSVP intenta establecer una reserva de extremo a extremo comprobando los recursos de ancho de banda disponibles en todos los routers habilitados para RSVP a lo largo de la ruta desde IPPhone 1 a IP-Phone 2. A medida que los mensajes RSVP progresan a lo largo de la red desde el router R1, va R2 a R3, el ancho de banda RSVP disponible decrece en 20 Kbps en las interfaces del router. Para las llamadas de voz, la reserva debe realizarse en ambas direcciones. El ancho de banda disponible en todas las interfaces es suficiente para aceptar el nuevo stream de datos, por lo que la reserva es satisfactoria y se le notifica a la aplicacin para que comience a enviar los datos.
40
CCNP ONT
DiffServ trabaja como un servicio de entrega de paquetes. Tu solicitas (y pagas) un nivel de servicio cuando envas tus paquetes. A travs de la red por paquetes, el nivel de servicio es reconocido y los paquetes tienen un servicio preferencial o normal, dependiendo de la solicitud. Sus beneficios son una muy alta escalabilidad y la provisin de muchos niveles distintos de calidad. Las desventajas son que no hay una garanta absoluta de calidad de servicio y que se requiere un conjunto de mecanismos complejos para trabajar en concierto a travs de la red.
41
CCNP ONT
Dependiendo del tipo de trfico de la red, debemos escoger la cola apropiada y los mecanismos de compresin. En el ejemplo, la estrategia utilizada es CQ y compresin de cabecera TCP. Cada prestacin QoS necesita una lnea separada. CQ necesita 2 lneas, una lnea que configura la primera lista de la cola (en el ejemplo para el trfico telnet), y una segunda lnea que ata a la lista de cola a una interfaz y activa la lista. La configuracin PPP multienlace necesita 4 lneas y otra lnea ms para la compresin de cabecera TCP.
En la figura tenemos un ejemplo del proceso. El paso de clasificacin es modular e independiente de qu sucede una vez que el paquete es clasificado.
42
CCNP ONT
Existen 2 formas de procesar condiciones cuando hay ms de una condicin en un class map: - MATCH ALL: Se deben cumplir todas las condiciones para atar el paquete a la clase. - MATCH ANY: Con cumplir una sola condicin se atar el paquete a la clase. La estrategia por defecto de los class map es match all. El comando MATCH especifica varios criterios para la clasificacin de paquetes. Los paquetes son examinados para determinar si estos coinciden con los criterios especificados en los comandos match. Si un paquete coincide con el criterio especificado el paquete es considerado un miembro de la clase y se enva de acuerdo a las especificaciones QoS configuradas en la poltica de trfico. Los paquetes que no cumplen con ninguna clase se clasifican como miembros de la clase de trfico por defecto. El comando MATCH NOT invierte la condicin especificada. Especifica un criterio de coincidencia que previene que los paquetes sean clasificados como miembros de la clase de trfico especificada. El comando DESCRIPTION se usa para documentar la funcin del class map. Existen muchas formas de clasificar trfico cuando configuramos class maps. El comando de la figura permite usar una ACL como criterio de coincidencia para la clasificacin de trfico.
EJEMPLO: COMANDO MATCH NOT El comando MATCH NOT se usa para especificar un valor de poltica QoS especfico que no se usa como
criterio de coincidencia. Cuando usamos este comando, todos los dems valores de la poltica QoS llegarn a ser satisfactorios como criterios de coincidencia. Por ejemplo, si se usa el comando MATCH NOT QOS-GROUP 4 en el modo de configuracin de class map, la clase especificada aceptar todos los valores de grupo QoS excepto el 4 como criterios de coincidencias. En la siguiente clase de trfico, se considerarn correctos todos los protocolos excepto IP: Router(config)# class-map noip Router(config-cmap)# match not protocol ip Router(config-cmap)# exit
En el siguiente ejemplo se define la poltica de trfico llamada policy1 que contiene especificaciones de polticas para 2 clases: class1 y class2. Los criterios de coincidencia fueron definidos anteriormente. Para la class1, la poltica incluye una solicitud de reserva de ancho de banda y un contador lmite de paquetes mximo para la cola reservado a la clase. Para la class2, la poltica especifica slo una solicitud de reserva de ancho de banda. Router(config)# policy-map policy1 Router(config-pmap)# exit Router(config-pmap)# class class1 Router(config-pmap)# class class2 Router(config-pmap-c)# bandwidth Router(config-pmap-c)# bandwidth 3000 2000 Router(config-pmap-c)# queue-limit Router(config-pmap)# exit 30
43
EJEMPLO DE CONFIGURACIN DE CLASS-MAP MATCH ANY Y CLASS-MAP MATCH-ALL Las opciones MATCH-ANY y MATCH-ALL determinan como se evaluarn los paquetes cuando existen
mltiples criterios de coincidencia. Los paquetes deben cumplir todos los criterios de un match-all y uno o ms criterios de un match-any para que se les considere miembros de la clase de trfico. Router(config)# class-map match-all cisco1 Router(config-cmap)# match protocol ip Router(config-cmap)# match qos-group 4 Router(config-cmap)# match access-group 101 Si un paquete llega a un router con trfico clasificado como cisco1 configurado en la interfaz, el router evala el paquete para determinar si cumple ser un paquete IP, un grupo QoS 4 y la lista de acceso 101. Si es as, el paquete se le considera miembro de esta clase.
En el ejemplo se muestra el uso de un policy map para separar el trfico HTTP de otros tipos de trfico. El trfico HTTP tiene un ancho de banda garantizado de 2 Mbps. Todo el dems trfico pertenece a la clase por defecto y tiene garantizado 6 Mbps de ancho de banda.
CCNP ONT
Router(config)# class-map match-any class2 Router(config-cmap)# match protocol ip Router(config-cmap)# match qos-group 3 Router(config-cmap)# match access-group 2 Router(config-cmap)# exit Router(config)# class-map match-all class1 Router(config-cmap)# match class-map class2 Router(config-cmap)# match destination-address mac 1.1.1 Router(config-cmap)# exit
En la figura se muestra un ejemplo de las tareas complicadas de configuracin envueltas en el uso de MQC en el router Office.
1: Pulsar botn de configuracin en la ventana SDM. 2: Pulsar Calidad de Servicio en la barra de tareas en la parte izquierda de la ventana. 3: Click en la pestaa Crear Poltica QoS. 4: Pulsamos ejecutar el asistente.
45
CCNP ONT
- PASO 5: El asistente QoS SDM informa que configurar 2 clases: real-time y crtico de negocio. Le damos a siguiente. - PASO 6: Seleccionamos una interfaz. Pulsamos siguiente. - PASO 7: Nos aparecer una pantalla de Generacin de Poltica QoS solicitndonos el ingreso de los porcentajes para cada clase. Despus de ingresar los nmeros, el SDM automticamente calcular las clases de mejor esfuerzo y los requisitos de ancho de banda para cada clase. Pulsamos siguiente y nos aparecer un sumario de la configuracin.
Entramos al modo monitor, y hacemos click en el botn QoS Status. Aparecen 3 estadsticas de trfico en la barra.
46
CCNP ONT
4.1.2 Marcado
El marcado se refiere a la clasificacin. El marcado permite a los dispositivos de red clasificar un paquete o una trama basndose en el descriptor de trfico especificado. Las herramientas de clasificacin QoS categorizan paquetes examinando los contenidos de la trama, celda y cabeceras de paquete. Para colocar a la voz y a los datos en colas separadas, por ejemplo, debemos usar alguna forma de clasificacin para diferenciar los 2 tipos de trfico y colocar cada trfico identificado en la cola correcta. El marcado permite a las herramientas QoS cambiar bits de la cabecera del paquete para indicar el nivel de servicio que el paquete debe recibir. Sin el marcado, la trama, el paquete o la celda permanece sin cambios. El marcado utiliza un valor dentro de un pequeo nmero de campos bien definidos diseados especficamente para el marcado QoS. Aunque las herramientas de clasificacin o marcado no afectan directamente al ancho de banda, retardo, jitter o prdidas, son los pilares de todas las dems herramientas QoS. Con el marcado y la clasificacin, todo el trfico de la red se identifica para que la siguiente herramienta QoS haga su funcin. Los descriptores de trfico que se usan habitualmente incluyen: - CAPA DE ENLACE DE DATOS: CoS (ISL, 802.1P) // bits EXP MPLS // Frame Relay - CAPA DE RED: DSCP // Procedencia IP.
47
CCNP ONT
CLASIFICACIN Y MARCADO EN LA EMPRESA
Antes que el IETF definiera mtodos QoS en la capa de red, el ITU-T y el Foro Frame Relay (FRF) ya realizaron estndares QoS para la capa de enlace de datos en las redes Frame Relay. Frame Relay provee un conjunto simple de mecanismos QoS para asegurar una CIR (Velocidad contratada asegurada). Un componente del QoS Frame Relay es el descarte de paquetes cuando existe congestin en la red. Frame Relay permitir que se enve trfico a velocidades superiores al CIR. Las tramas que excedan la velocidad del CIR pueden marcarse como elegibles para el descarte (DE a 1) en el switch Frame Relay de entrada. Si existe congestin en la red, las tramas marcadas con el bit DE sern descartadas dando preferencia a las no marcadas. Los bits FECN y BECN informan de la existencia de congestin hacia delante y hacia atrs para que los switches borren del buffer las tramas que tengan con el bit DE que pudieran seguir saturando el enlace.
MARCADO EN MPLS
Cuando un cliente transmite paquetes IP de un sitio a otro, el campo de procedencia IP (los primeros 3 bits del campo DSCP de la cabecera del paquete IP [ToS]) especifican el CoS. Basndose en el marcado de procedencia IP, al paquete se le da el tratamiento deseado, como ancho de banda garantizado o latencia. Los bits experimentales MPLS (EXP) se componen de un campo de 3 bits que podemos usar para mapear la procedencia IP (ToS) a la etiqueta MPLS. Esto permite que routers habilitados para MPLS puedan realizar labores QoS basndose en el campo de procedencia IP original dentro del paquete IP encapsulado por MPLS, sin necesidad de gastar recursos en buscar dentro de la cabecera IP y examinar el campo ToS. El campo MPLS EXP permite al SP proveer QoS sin sobreescribir el valor de procedencia IP del cliente. La cabecera IP se mantiene disponible para el cliente, y el paquete marcado IP del paquete no se cambia mientras el mismo atraviesa la red MPLS. MPLS usa un etiqueta de 32 bits (cabecera shim), la cual es insertada entre las cabeceras de capa 2 y de capa 3 (en el modo trama). El campo MPLS EXP soporta hasta 8 CoS. Por defecto, el software Cisco copia los 3 bits ms significantes del DSCP de la cabecera IP al campo EXP. Los bits EXP se conservan a travs de la cabecera MPLS.
48
CCNP ONT
La idea es que la red reconozca una clase sin tener que recibir solicitudes especficas desde las aplicaciones. Esto permite que los mecanismos QoS se apliquen a otras aplicaciones que no tienen funcionalidades RSVP (Protocolo de Reserva de Recursos), lo cual es el caso del 99% de las aplicaciones que usan IP.
49
CCNP ONT
- SELECTOR DE CASE PHB: Usado para compatibilidad retrospectiva con dispositivos no habilitados para DiffServ (RFC 1812, bits 2 a 4 del DSCP = 000).
EF PHB
En la figura se aporta una vista detallada de EF PHB usado por DSCP. El PHB EF se identifica basndose en lo siguiente: - EL PHB EF ASEGURA UNA CANTIDAD MNIMA DE PARTIDA: Provee el retardo ms baja posible a aplicaciones sensibles a demoras. - EL PHB EF GARANTIZA ANCHO DE BANDA: Previene la saturacin de un enlace si existen mltiples aplicaciones usando PHB EF. - PHB EF DESCARTA CUANDO EXISTE CONGESTIN: El EF PHB previene la inanicin de otras aplicaciones o clases que no estn usando este PHB. Los paquetes que requieren EF deben marcarse con un DSCP de 101110 (46 o CX2E). Los dispositivos que no estn habilitados para DiffServ consideran un valor 101110 como valor de procedencia IP de 5 (101). Esta procedencia es el valor mayor definible de procedencia IP para estos dispositivos, y es tpicamente usado para trfico sensible a demoras (como VoIP).
AF PHB
El AF PHB se identifica basndose en lo siguiente: - El AF PHB garantiza una cierta cantidad de ancho de banda a una clase AF. - El AF PHB permite acceder a ancho de banda extra, si existe disponible. Los paquetes que requieren AF PHB deben marcarse con un valor DSCP de aaadd0, donde aaa es el nmero de la case y dd es la probabilidad de borrado (como se ve en la figura). Existen 4 clases estndar de AF definidas: AF1, AF2, AF3 y AF4. Cada clase debe tratarse de forma independiente y debera tener su ancho de banda localizado basndose en la poltica QoS.
DSCP
001 001 001 010 010 010 01 10 11 01 10 11 0 0 0 0 0 0
DSCP
011 011 011 100 100 100 01 10 11 01 10 11 0 0 0 0 0 0
50
CCNP ONT
4.1.10 Implementar una poltica QoS usando una clase de servicio QoS
Especificar una poltica administrativa QoS requiere que un conjunto de clases de servicio especficas se definan. Los mecanismos QoS se aplican de forma uniforme a estas clases de servicio individuales para cumplir los requisitos de la poltica. El primer paso es identificar el trfico de la red y los requisitos QoS para cada trfico. Entonces, el trfico puede ser agrupado dentro de un conjunto de clases de servicio para un tratamiento diferenciado QoS en la red. Aunque existen muchas variaciones, en la figura se muestra un modelo de cliente que define varias clases de servicio tpicas: LA CLASE DE VOZ: entrega servicios de voz con baja lantencia. LA CLASE MISIN-CRTICA: Garantiza latencia y entrega para el transporte de aplicaciones crticas para el negocio. LA CLASE TRANSACCIONAL garantiza entrega y se usa para aplicaciones generales que no son sensibles a demoras en comparacin con las
51
CCNP ONT
misin-critica.
LA CLASE DE MEJOR ESFUERZO usada para dar soporte a correos electrnicos y otras aplicaciones de mejore esfuerzo. Una poltica administrativa debe ser proactiva y requiere cuantas menos clases de servicio mejor. Una buena regla es limitar el nmero de clases de servicio a no ms de cuatro o cinco. Un elemento clave a la hora de definir clases de servicio QoS es comprender las necesidades de calidad bsicas de las aplicaciones de red. Es esencial que las aplicaciones reciban un tratamiento QoS acorde a sus necesidades. EJEMPLO: CLASES DE SERVICIO DE APLICACIN
Aunque existen documentos para usar como guas para determinar una poltica QoS, ninguno de ellos puede determinar de forma exacta cual es el correcto para una red especfica. Para implementar correctamente el QoS, se deben declarar metas medibles, y entonces se debe formular e implementar un plan para logar estas metas. QoS debe ser implementado de forma consistente a lo largo de la red entera. En este ejemplo, se desplegar una poltica QoS y se definirn varias clases de servicio para los flujos. Como vemos en la figura, los flujos de trfico pueden ser clasificados con una procedencia IP de 5, PHB EF, o un DSCP de 46. Dependiendo del diseo QoS de la red, los valores de clasificacin se mapean en los bits MPLS, por ejemplo.
52
CCNP ONT
telefona IP es la simplicidad y ahorro en costes es aadir, mover o cambiar a un usuario. Para mover un usuario, este simplemente coge el telfono IP y lo coloca en su nueva localizacin. Los telfonos IP son dispositivos de confianza, mientras que los PC no. Esto puede ser un problema cuando se aprovisiona lmites a un entorno mvil. Por ejemplo, el puerto A se configura para confiar en el punto final conectado a l, el cual inicialmente es un telfono IP. El puerto B se configura para no confiar en el punto final conectado a l, el cual es inicialmente un PC. Debido al cambio, estos dispositivos se conectarn a los puertos opuestos. Este cambio provocar fallos en la calidad de las llamadas VoIP desde el telfono IP y abrir a la red a un abuso sin intencin o deliberado de aprovisionamiento QoS por el PC. Los switches Cisco con inteligencia QoS usan CDP para descubrir si el dispositivo que se conecta a su puerto puede ser de confianza. Si el dispositivo es de confianza (como un telfono IP9, el switch extiende el lmite hasta el mismo de forma dinmica. Si CDP determina que el dispositivo puede que no sea de confianza (como un PC), el switch no extiende el lmite de confianza hasta el dispositivo. Generalmente se recomienda que el trfico de PC de usuario final no sea de confianza. Sin embargo, algunos PC ejecutan aplicaciones crticas que requieren un tratamiento QoS. Un ejemplo clsico es un PC que ejecuta el Cisco Ip Communicator. En este caso, la aplicacin necesita identificarse usando una ACL y marcando o re-marcando en el borde de acceso. Si el switch de la capa de acceso no es capaz de marcar trfico, deber ser la capa de distribucin la que realice la labor.
PRESTACIONES DE CLASIFICACIN
NBAR introduce varias prestaciones nuevas de clasificacin que identifican aplicaciones y protocolos desde la capa 4 hasta la 7: - Nmeros de puerto TCP y UDP asignados de forma esttica. - Protocolos no UDP o TCP. - Nmeros de puerto TCP y UDP asignados de dinmicamente. La clasificacin de estas aplicaciones requiere una inspeccin stateful, esto es, la habilidad de descubrir conexiones de datos para ser clasificadas analizando las conexiones donde la asignacin de puertos se ha realizado. - Clasificacin de sub-puerto o clasificacin basada en una inspeccin profunda, esto es, clasificacin mirando profundamente dentro del paquete. NBAR puede clasificar puertos de protocolo estticos. Aunque las ACL tambin pueden usarse para este propsito, NBAR es ms fcil de configurar y puede proveer estadsticas de clasificacin que no estn disponibles con las ACL.
DESCUBRIMIENTO DE PROTOCOLOS
NBAR incluye una prestacin de descubrimiento de protocolo que provee una forma sencilla de descubrir protocolos de aplicacin que estn atravesando una interfaz. El descubrimiento de protocolos mantiene las siguientes estadsticas por protocolo en interfaces habilitadas para su uso: - Nmero total de paquetes de entrada y salida y bytes. - Cantidad de bits de entrada y salida.
Se pueden aadir nuevas aplicaciones a NBAR usando un PDLM (Mdulo de descripcin del lenguaje del paquete) que puede cargarse para extender la lista de protocolos reconocidos por NBAR. Esta funcin permite a NBAR reconocer nuevos protocolos sin necesidad de tener que utilizar una nueva imagen IOS.
RESTRICCIONES
Se debe habilitar CEF antes de configurar NBAR. NBAR no soporta lo siguiente: - Ms de 24 coincidencias simultneas de URLs, hosts o Extensiones de correo multipropsito (MIME). - Coincidencias posteriores a los primeros 400 bytes del payload. - Modos de conmutacin y multicast distintos a CEF. - Paquetes fragmentados.
53
CCNP ONT
- Clasificacin de URL, hosts o MIMEs con HTTPS. - Paquetes originados desde o hacia el router que ejecuta NBAR. NBAR no es soportado en Fast EtherChannel, pero s lo es en interfaces Gigabit Ethernet. Las interfaces configuradas en modo tnel o con cifrado no soportan NBAR. NBAR no puede usarse para clasificar trfico de salida en un enlace WAN donde se usa tunneling o cifrado. Por tanto, NBAR debe configurarse en otras interfaces del router (como un enlace LAN) para realizar la clasificacin de entrada antes de que el trfico se conmute al enlace WAN de salida. Sin embargo, el descubrimiento de protocolos NBAR si es soportado en interfaces tnel o donde se usa cifrado. Podemos habilitar NBAR directamente en el tnel o en la interfaz donde se realiza el cifrado para obtener estadsticas clave acerca de las aplicaciones diferentes que atraviesan la interfaz. Las estadsticas de entrada muestran el total de paquetes tuneleados o cifrados recibidos.
4.2.3 PDLM
NBAR soporta actualizaciones dinmicas sin tener que cambiar de versin de IOS o reiniciar el router. Los PDLM contienen las reglas usadas por NBAR para reconocer una aplicacin coincidiendo patrones de texto en los paquetes de datos. Se puede cargar un PDLM externo para extender la lista de protocolos reconocidos por NBAR. Para extender la lista de protocolos reconocidos por NBAR a travs de un PDLM provisto por Cisco, usaremos el comando (config)#ip nbar pdlm <nombre-pdlm>. El parmetro nombre-pdlm debe estar en un formato URL, puede apuntar a la flash donde se almacena el cisco IOS (por ejemplo: flash://citrix.pdlm). El fichero tambin puede localizarse en un servidor TFTP. Para configurar NBAR para buscar un protocolo que usa un nmero de puerto diferente a los bien conocidos, usaremos el comando (config)#ip nbar port-map <nombre-protocolo> [tcp | udp ] <puerto>. Con el comando show de la figura mostramos los mapeos puertoprotocolo en uso por NBAR.
54
CCNP ONT
El descubrimiento de protocolos NBAR puede monitorear trficos de entrada y salid. Esta prestacin almacena estadsticas de paquetes conmutados a interfaces de salida. Estas estadsticas no son necesariamente paquetes salientes de la interfaz del router, ya que algunos de estos habrn sido borrados por varias razones (polticas de la interfaz de salida, ACL o colas de borrado).
El siguiente ejemplo clasifica, dentro del class-map llamado class1, paquetes HTTP basados en cualquier URL que contenga la cadena whatsnew/latest seguida de cero o ms caracteres. class-map class1 match protocol http url whatsnew/latest* El siguiente ejemplo clasifica, dentro del class-map llamado class2, paquetes basados en cualquier nombre de host que contenga la cadena cisco seguido de cero o ms caracteres: class-map class2 match protocol http host cisco* El siguiente ejemplo clasifica, dentro del class map llamado class3, paquetes basados en el tipo JPEG: class-map class3 match protocol http mime *jpeg Una expresin regular se usa para identificar trfico FastTrack especfico. Aplicaciones que usan el protocolo punto a punto FastTrack son por ejemplo el KazaA, Grokster y Morpheus. Para especificar que todo el trfico FastTrack sea identificado por la clase de trfico, usamos la expresin regular *. En el siguiente comando se muestra como hacer coincidir todo el trfico FastTrack: match protocol fasttrack file-transfer * En el siguiente ejemplo, todos los ficheros FastTrack que tengan la extensin .mpeg sern clasificados dentro del class-map nbar: class-map match-all nbar match protocol fasttrack file-transfer *.mpeg En el siguiente ejemplo se configure NBAR para coincidir el trfico FastTrack que contenga la cadena cisco. match protocol fasttrack file-transfer *cisco*
55
CCNP ONT
El protocolo RTP consiste en una parte de datos y otra de control. La parte de control se la conoce como RTCP. Es importante anotar que la clasificacin NBAR del payload RTP no identifica paquetes RTCP y que los paquetes RTCP ejecutan puertos raros, mientras que los paquetes RCP ejecutan puertos uniformes. La parte de datos de RTP es un protocolo delgado que provee soporte a aplicaciones con propiedades de tiempo-real (como un audio-vdeo continuo), el cual incluye reconstruccin de tiempo, deteccin de prdida, identificacin de contenido y seguridad. El tipo de payload RTP son los datos transportados por RTP en un paquete, por ejemplo muestras de audio y datos de vdeo comprimidos. La clasificacin del payload RTP por NBAR no slo permite identificar de forma stateful trfico de audio y vdeo a tiempo real, si no tambin diferenciar en base a los cdecs de vdeo y audio para proveer un QoS ms granular.
56
CCNP ONT
La gestin de la congestin controla la congestin cuando la misma se produce. Una forma de que los elementos de red manipulen una sobrecarga de trfico es usar un algoritmo de colas que clasifique el trfico y determine algunos mtodos de prioridad en el enlace de salida. Cada algoritmo de colas fue diseado para resolver un trfico de red especfico y tiene un efecto particular en el funcionamiento.
COLAS Y CONGESTIN
Las colas complejas ocurren generalmente en interfaces salientes solo. Durante perodos con carga de trfico bajas, donde no existe congestin, los paquetes dejan la interfaz tan pronto como llegan a la misma. Durante perodos de congestin en la interfaz saliente, los paquetes llegan ms rpido de lo que la interfaz puede re-enviarlos. Cuando se usan prestaciones de gestin de congestin, los paquetes acumulados en una interfaz se colocan en colas de software de acuerdo a su prioridad asignada y el mecanismo de colas configurado en la interfaz. Estos son entonces programados para una transmisin cuando el bfer del hardware de la interfaz est libre para enviarlos. Los algoritmos de colas principales son FIFO, PQ (Priority Queuing), Round Robin y WRR (Weigthed Round Robin).
57
58
UNA COLA DE HARDWARE: Que usa una estrategia FIFO (siempre) para transmitir paquetes uno por uno. La cola de hardware es a menudo referida como cola de transmisin.
UNA COLA DE SOFTWARE O SISTEMA: Que programa paquetes dentro de la cola de hardware basndose en los requisitos QoS.
A continuacin se describen las acciones que deben producirse antes de transmitir un paquete: - La mayora de los mecanismos de colas incluyen la clasificacin de paquetes. - Despus que un paquete es clasificado, un router tiene que determinar si puede colocar al mismo en la cola o borrarlo. La mayora de los mecanismos de colas borrar un paquete slo si la cola correspondiente est llena (tail drop). - Si el paquete tiene permitido entrar a la cola, se coloca en la cola FIFO para su clase particular. - Los paquetes son entonces tomados de las colas individuales por clase y colocadas en la cola de hardware.
LA COLA DE SOFTWARE
La implementacin de colas de software se optimiza para periodos donde la interfaz no est congestionada. El sistema de cola de software se pasa por alto si no hay paquetes en la cola de software y hay sitio en la cola de hardware. La cola de software se activa slo cuando los datos deben esperar para ser colocados dentro de la cola de hardware.
LA COLA DE HARDWARE
Si la cola de hardware es muy grande, contendr un gran nmero de paquetes programados de una forma FIFO. La cola de hardware es cola FIFO de la interfaz final que guarda tramas para ser inmediatamente transmitidas por la interfaz fsica. Cada vez que un paquete se transmite el driver de la interfaz interrumpe a la CPU y solicita ms paquetes para ser entregados a la cola de hardware. Algunos mecanismos de colas tienen programaciones complejas que toman cierto tiempo en entregar paquetes. La interfaz no enviar nada durante este tiempo. La CPU programa paquetes uno por uno, en lugar de muchos a la vez. Este proceso incrementa el uso de la CPU. El tamao de la cola de transmisin depende del hardware, software, medios de capa 2 y algoritmo de cola configurado en la interfaz. Algunas plataformas y mecanismos QoS ajustan el tamao de la cola de transmisin a un valor apropiado. Las interfaces rpidas tienen colas de hardware ms pequeas y producen menos retardo. Las interfaces ms lentas tienen colas de hardware ms pequeas para prevenir demasiado retardo en el peor caso en el cual la cola de hardware est llena. El comando #show controllers serial se usa para ver el tamao de la cola de transmisin. En la figura se muestra la salida de este comando. En el ejemplo, el tamao de la cola de hardware definida por la sentencia tx_limited es igual a 2 paquetes.
59
CCNP ONT
- Moldea con justicia el ancho de banda para todos los flujos previniendo que los flujos de alto volumen monopolicen la interfaz de salida. La base de WFQ es tener una cola dedicada para cada flujo sin retrasos o jitters dentro de la cola. WFQ hace uso de los bits de la procedencia IP como peso cuando localiza ancho de banda. Los streams de trfico de bajo volumen, los cuales componen la mayor parte del trfico, reciben un servicio preferente. Los streams de alto volumen comparten la capacidad restante de forma proporcional entre ellos.
Como vemos en la figura, WFQ permite dar al trfico de bajo volumen, como sesiones Telnet, prioridad sobre otros trficos de alto volumen, como sesiones FTP. WFQ provee la solucin para situaciones en las cuales se desea proveer tiempos de respuesta consistentes tanto a usuarios pesados como ligeros, sin necesidad de aadir un ancho de banda excesivo. Adems, WFQ puede gestionar flujos de datos dplex, como aquellos producidos entre un par de aplicaciones, y flujos de datos simples, como la voz o el vdeo. Aunque WFQ se adapta de forma automtica a las condiciones del trfico de red cambiante, no ofrece el grado de precisin de control sobre la localizacin de ancho de banda que CQ (Custom Queuing) y que CBWFQ. La limitacin ms significativa de WFQ es que no soporta tneles ni cifrados, ya que estas prestaciones modifican la informacin contenida en el paquete, requerida para la clasificacin de WFQ.
60
CCNP ONT
61
CCNP ONT
nmero de borrados debidos al lmite CDT. Los tail drops representan el nmero de borrados debidos al lmite hold-queue.
62
CLASIFICACIN
Podemos usar cualquier opcin de clasificacin para CBWFQ, dependiendo de la disponibilidad de la versin IOS que estemos utilizando. Los siguientes ejemplos ilustran algunas de las limitaciones relativas a las opciones de clasificacin: - Coincidencias en bits DE Frame Relay pueden ser usadas slo en interfaces con encapsulacin Frame Relay. - Coincidencias en los bits EXP de MPLS no tienen efecto si MPLS no est habilitado. - Coincidencias en los bits de prioridad ISL no tienen efecto si ISL no est en uso. CBWFQ se configura usando MQC (CLI QoS Modular). Las clasificaciones que pueden configurarse dependen de la versin IOS y el tipo de interfaz que se configure.
MECANISMOS DE PROGRAMACIN
El mecanismo CBWFQ calcula pesos basndose en el ancho de banda disponible. Estos pesos son usados por el mecanismo de programacin CBWFQ para despachar los paquetes. Podemos configurar garantas de ancho de banda usando uno de los siguientes comandos: - El comando bandwidth localiza una cantidad fija de ancho de banda especificando el total en Kbps. El ancho de banda reservado es restado al ancho de banda disponible de la interfaz donde se usa la poltica de servicio. - El comando bandwidth percent puede usarse para localizar un porcentaje del total de ancho de banda disponible en una interfaz. El ancho de banda total se define usando el comando bandwidth interface. Se recomienda que este comando refleje la velocidad real del enlace. El ancho de banda localizado se resta del ancho de banda disponible de la interfaz donde se usa la poltica. - El comando bandwidth remaining percent se usa para localizar el total de ancho de banda garantizado basado en un porcentaje relativo del ancho de banda disponible. Cuando se configura este comando, slo se asegura un ancho de banda relativo por clase. Esto quiere decir que los anchos de banda de clase son siempre proporcionales a los porcentajes especificados en el ancho de banda de la interfaz. Cuando el ancho de banda de la interfaz es fijo, la clase garantiza una proporcin de los porcentajes configurados. Si el ancho de banda es desconocido o variable, el ancho de banda de la clase en Kbps no puede computarse.
El aprovisionamiento correcto de ancho de banda es un componente esencial de un diseo de red satisfactorio. Podemos calcular el ancho de banda requerido aadiendo los requisitos de ancho de banda de cada aplicacin mayor (ejemplo: voz, vdeo y datos). La suma resultante representa los requisitos de ancho de banda mnimos para un enlace dado, y no deben exceer el 75% del ancho de banda total disponible del enlace. El 25% restante se usa para otras cargas, incluyendo carga de capa 2 (ej: keepalives), trfico de enrutamiento, y trfico de mejor esfuerzo. Sin embargo, bajo circunstancias agresivas en las cuales queramos configurar ms del 75% del ancho de banda de la interfaz a clases, podemos sobreescribir el mximo del 75% usando el comando max-reserved-bandwidth.
63
Este ejemplo muestra la configuracin de una cola FIFO para la clase por defecto. Esta clase tendr garantizado 1 Mbps de ancho de banda, y el tamao mximo de cola se limita a 40 paquetes.
policy-map A class A bandwidth 1000 class class-default bandwidth 1000 queue-limit 40 EJEMPLO: CONFIGURACIN DE UNA COLA WFQ PARA LA CLASE POR DEFECTO
En este ejemplo, el nmero de colas dinmicas se configura a 1024, y el umbral de descarte se configura a 50.
policy-map A class A bandwidth 1000 class class-default fair-queue 1024 queue-limit 50 EJEMPLO: USAR CBWFQ PARA GARANTIZAR ANCHO DE BANDA Y MONITOREO
En el ejemplo se muestra como WFQ garantiza un ancho de banda a cada una de las clases. El comando show policy-map interfaz muestra todas las polticas de servicio aplicadas a la interfaz.
64
CCNP ONT
Con CBWFQ, el peso de un paquete que pertenece a una clase especfica se deriva desde el ancho de banda que se asigna a la clase donde colocamos a ese paquete. Por ello, el ancho de banda asignado a los paquetes de una clase determina el orden en el cual los paquetes son enviados. Todos los paquetes se sirven de forma equitativa basndose en su peso interno. Ninguna clase de paquetes tiene garantizada una prioridad estricta. Este esquema plantea un problema al trfico de voz, el cual es muy intolerante a retardos, especialmente tambin a la variacin en los retardos. Para el trfico de voz, las variaciones en el retardo introducen irregularidades en la transmisin del audio y jitter (prdida de sincronizacin) en la conversacin. LLQ reduce el jitter en conversaciones de voz. Para poner en cola al trfico en tiempo real a una cola de prioridad estricta, configuramos el comando priority para la clase despus de especificar el nombre de la clase dentro de un policy map. Dentro de un policy map, podemos dar a una o ms clases el estado de prioridad. Cuando mltiples clases dentro de un nico policy map se configuran como prioritarias, todo el trfico de estas clases se coloca en la misma cola nica de prioridad estricta.
BENEFICIOS LLQ
Usando LLQ como el criterio de entrada para una clase puede ser tan granular como queramos ya que definimos el mismo mediante una ACL. El trfico VoIP usa un rango de puertos UDP bien conocidos (16384-32767). Mientras que los puertos actuales usados son negociados dinmicamente entre los dispositivos finales o gateways, todos los productos Cisco VoIP usan el mismo rango de puertos.
65
CCNP ONT
En la figura se muestra un ejemplo donde la clase de trfico voip, clasificada basndose en la procedencia IP de 5, se pone en la cola LLQ prioritaria. La clase prioritaria est garantizada pero se limita al 10% del ancho de banda de la interfaz.
MONITOREO DE LLQ
El comando show policy-map interface muestra estadsticas de paquetes para todas las clases configuradas para polticas de servicio en la interfaz especificada. Los campos claves de este comando describen algunos de los siguientes parmetros: CLASS-MAP: clase de trfico que est siendo mostrado. OFFERED RATE: Cantidad, en Kbps, de paquetes entrando a la clase. DROP RATE: Cantidad, en Kbps, a la cual los paquetes son borrados de la clase. Este valor se calcula eliminando el nmero de paquetes transmitidos satisfactoriamente desde la cantidad ofrecida. MATCH: Criterio de coincidencia especificado para la clase de trfico. PKTS MATCHED/BYTES MATCHED: Nmero de paquetes (en bytes) que han coincidido con esta clase y que han sido colocados en la cola. DEPTH/TOTAL DROPS/NO-BUFFER DROPS: Nmero de paquetes, en bytes, descartados para esta clase. Nobuffer indica que no existe un servicio de buffer para estos paquetes.
66
SINCRONIZACIN TCP
Un router puede manipular mltiples sesiones TCP simultneamente. Sin embargo, las oleadas de trfico de red podran causar que un router falle si el trfico excede el lmite de la cola. Si el router receptor borra todo el trfico que excede el lmite de la cola (por defecto, con tail drop), muchas sesiones TCP cierran por prdida de ACK y se reinician automticamente, sincronizndose todas a la vez. A esto se le conoce como sincronizacin global.
Las colas se llenan durante periodos de congestin. Cuando la cola de salida est llena, tail drop borra paquetes para eliminarla. Esto causa retardos. Adems, las colas introducen retardos desiguales para paquetes pertenecientes al mismo flujo, resultando en el jitter. En la figura se ilustra este hecho. Otro fenmeno relativo a TCP que reduce el uso ptimo de las aplicaciones de red es la inanicin TCP. Cuando mltiples flujos estn siendo transmitidos a travs de un router, algunos de estos pueden ser mucho ms agresivos que otros. Por ejemplo, cuando el tamao de ventana TCP se incrementa para aplicaciones de transferencia de ficheros, la sesin TCP puede enviar un gran nmero de paquetes a su destino. Estos paquetes inmediatamente llenan la cola en el router, y otros, menos agresivos, pueden ser descartados ya que no hay un tratamiento especial indicando que paquetes son los que deben borrarse. Como resultado, los flujos menos agresivos son borrados en la interfaz de salida. Tail drop no es el mecanismo ptimo de prevencin de congestin y no debe utilizarse. En su lugar, existen mecanismos de prevencin de congestin ms inteligentes.
67
CCNP ONT
MARCA DENOMINADORA DE PROBABILIDAD: Este nmero es la fraccin de paquetes que son eliminados
cuando la profundidad media de la cola est en el umbral mximo. Por ejemplo, si el denominador es de 512, uno de cada 512 paquetes es eliminado cuando la media de la cola llega al umbral mximo. El umbral mnimo debe ser lo suficientemente grande para maximizar el uso del enlace. Si el umbral mnimo es muy pequeo, los paquetes pueden ser eliminados de forma innecesaria, y el enlace de transmisin no ser utilizado por completo. La diferencia entre los umbrales mnimo y mximo debe ser lo suficientemente grande para prevenir la sincronizacin global de TCP. Si la diferencia es pequea, pueden borrarse muchos paquetes a la vez, volviendo al problema de la sincronizacin global. - Cuando el tamao medio de la cola est entre 0 y el umbral mnimo, no ocurren borrados y todos los paquetes son puestos en cola. - Cuando el tamao medio de la cola est entre el umbral mnimo y el umbral mximo, se producen borrados aleatorios, lo cual es proporcional al denominador y al tamao medio de la cola. - Cuando el tamao medio de la cola est cerca o es mayor al umbral mximo, RED realiza un borrado total de la cola. Esta situacin es poco probable, ya que RED debe eliminar trficos TCP antes de la congestin.
MODOS RED
En la figura se muestra como implementar WRED y los parmetros usados por WRED para influenciar las decisiones de borrado de paquetes. El router constantemente actualiza el algoritmo WRED con el tamao de cola medio calculado, el cual se basa en el historial reciente de tamaos de cola. Los perfiles de trfico configurados son los parmetros que definen las caractersticas de borrado usadas por WRED (umbral mnimo, mximo y marca denominadora de probabilidad). Cuando un paquete llega a la cola de salida, se usa el valor de procedencia IP o DSCP para seleccionar el perfil WRED correcto para el paquete. El paquete es entonces pasado a WRED para su procesamiento. Basndose en el perfil de trfico seleccionado y en el tamao medio de la cola, WRED calcula la probabilidad de borrado del paquete actual y, o lo borra, o lo pasa a la cola de salida.
68
CCNP ONT
Si la cola ya est llena, el paquete es eliminado. Si no, el paquete es transmitido eventualmente por la interfaz de salida. Si el tamao medio de la cola es mayor que el umbral mnimo, pero menor que el mximo, basndonos en la probabilidad de borrado, WRED coloca el paquete en la cola o bien realiza un borrado aleatorio.
WRED BASADO EN DSCP (EXPEDITED FORWARDING) EF PHB (Expedited Forwarding Per Hop Behavior) es sugerido para aplicaciones que requieren una fuerte
garanta de retardo y jitter. Tpicamente, las aplicaciones de misin crtica requeriran este servicio y tendran localizado un pequeo porcentaje de la capacidad total de la red. En DSCP, el EF PHB se identifica basndose en estos parmetros: - Una cantidad de partida pequea est asegurada para proveer un bajo retardo a aplicaciones sensibles al mismo. - El ancho de banda est garantizado para prevenir la inanicin de la aplicacin si existen mltiples aplicaciones usando EF PHB. - El ancho de banda se une a una poltica para prevenir la inanicin de otras aplicaciones o clases que no estn usando PHB. - Los paquetes que requieren EF deberan ser marcados con el valor binario DSCP 101110 (46). Para la clase de trfico EF DiffServ, WRED se configura a s mismo por defecto de forma que el umbral mnimo es muy alto, incrementando la posibilidad de que no se borren paquetes que pertenezcan a esta clase. Se espera que el trfico EF se borre muy tarde, comparado a otras clases, y el trfico EF es por tanto priorizado en caso de congestin.
MINIMUN THRESHOLD: Cuando la profundidad media de la cola est cerca de este umbral, WRED
comienza a borrar paquetes. La cantidad de paquetes borrados se incrementa linealmente a medida que el tamao medio de la cola crece, y hasta que el tamao de la cola alcanza el umbral mximo, momento en el cual se borran todos los paquetes. El tamao del contenedor es equivalente al nmero de paquetes que pueden ser almacenados sin una cola. MAXIMUM THRESHOLD: Cuando el tamao de la cola medio est cerca de este umbral, todos los paquetes son eliminados.
69
CCNP ONT
-
Este ejemplo de CBWFQ con WRED se centra en una red que provee los siguientes 3 tipos de niveles de servicio diferentes para 3 clases de trfico: - Clase misin crtica: Esta clase viene marcada con los valores de procedencia IP de 3 y 4 (3 es usado para un servidor de borrado alto y 4 para un servicio de borrado bajo dentro de la clase de servicio) y debera obtener el 30% del ancho de banda de la interfaz. - Clase Oleadas (Bulk): Esta clase se marca con los valores de procedencia IP de 1 y 2 (con el mismo motivo del anterior) y debera obtener el 20% del ancho de banda de la interfaz. - Clase de mejor esfuerzo: Esta clase debera obtener el ancho de banda restante compartido y debe ser puesta en cola de forma equitativa. Para reforzar esta poltica, un router usa CBWFQ para realizar la comparticin del ancho de banda y WRED dentro de las clases de servicio para realizar un borrado diferenciado.
70
CCNP ONT
Las polticas de trfico se usan normalmente para satisfacer uno de los siguientes requisitos: - Limitar la cantidad de acceso a una interfaz cuando la infraestructura fsica de alta velocidad se usa en el transporte. Es normalmente utilizado por SPs para ofrecer a los clientes un acceso por debajo de lo normal. Por ejemplo, un cliente puede tener una conexin OC-3 al SP pero pagar slo una cantidad de acceso T1. - Modelar el ancho de banda para que la cantidad de trfico de ciertas aplicaciones o clases de trfico siga una poltica de cantidad de trfico especificada. Por ejemplo, el trfico desde aplicaciones de comparticin de ficheros puede limitarse a un mximo de 64 Kbps. - Re-marcar el trfico excedente con una prioridad menor en la capa 2 o 3 (o ambas) antes de enviarlo hacia fuera. Por ejemplo, el trfico en exceso puede ser re-marcado a un DSCP inferior y adems tener el bit DE en Frame Relay marcado cuando se enva hacia fuera.
71
CCNP ONT
El shaping es un intento de controlar el trfico en redes ATM, Frame Relay o Metro Ethernet para optimizar o garantizar el funcionamiento, baja latencia y ancho de banda. Provee un mecanismo de control del volumen de trfico enviado dentro de una red (estrangulacin del ancho de banda, o bandwidth throttling) impidiendo al trfico en oleadas superar la cantidad suscrita. Tambin es necesario identificar el trfico con una granularidad que permita al mecanismo de control de modelado separar el trfico en flujos individuales y diferenciar los mismos
72
CCNP ONT
paquetes excedentes pueden ser configurados para enviarse con una prioridad disminuida y cules que violan la configuracin han de eliminarse directamente. Por ejemplo, los paquetes con una procedencia IP de 4 que no excedan 128 Kbps pueden ser transmitidos.
73
CCNP ONT
de vuelta al cubo de tokens. El nmero de tokens aadidos de vuelta al cubo se calcula con la siguiente frmula: N TOKENS = (TIEMPO DE LLEGADA DE PQT ACTUAL TIEMPO DE LLEGADA DE PQT ANTERIOR) * CIR. Una cantidad (Bc) de tokens es enviada sin limitacin en cada intervalo de tiempo (Tc). Por ejemplo, si 8000 bits (Bc) vlidos de tokens se colocan en el cubo cada 250 ms (Tc), el router puede transmitir sin cesar 8000 bits cada 250 ms si el trfico llega con esta frecuencia al router. La frmula sera: CIR = 80000 / 0.25 = 32 Kbps. Cuando se configura la poltica de trfico basada en clases en el IOS se recomienda que permitamos al IOS calcular automticamente los valores de Bc y Tc automticamente basndose en el CIR configurado.
74
CCNP ONT
- COMPRESIN DEL PAYLOAD: La compresin del payload si que crea ancho de banda adicional, ya que comprime el payload del paquete, y por tanto incrementa la cantidad de datos que pueden ser enviados a travs de un recurso de transmisin en un periodo de tiempo dado. Esta compresin se realiza mayormente en tramas de capa 2, que como resultado, comprimen el paquete entero de capa 3. - COMPRESIN DE LA CABECERA: La base de la compresin de cabecera, como otros mtodos de compresin, es la eliminacin de redundancias. Esto se aplica especialmente a otras cabeceras de protocolos. La informacin de cabecera de los paquetes del mismo flujo no cambia mucho durante el tiempo que dura dicho flujo. La compresin de cabecera lee la informacin de cabecera slo al principio del flujo y posteriormente almacena esta informacin en un diccionario para una referencia posterior a travs de un ndice corto del diccionario. - LFI: LFI es una tcnica de capa 2 en la cual las tramas grandes se rompen en pequeos fragmentos, del mismo tamao y se transmiten sobre el enlace de una forma intercalada. Usando LFI, las tramas pequeas son priorizadas, y una mezcla de fragmentos se enva sobre el enlace. LFI reduce el retardo de cola, ya que las tramas pequeas se envan casi inmediatamente. Los 3 mecanismos de LFI primarios usados por cisco son: o MLP (MULTILINK PPP): Usado en enlaces PPP. o FRF.12: Usado en enlaces de VoIP sobre Frame Relay (VoIPovFR). o FRF.11 ANEXO C: Usando en enlaces de Voz sobre Frame Relay (VoFR).
75
CCNP ONT
subsecuentes mediante un pequeo ndice en el diccionario. Los mtodos de compresin de cabecera incluyen: TCP // RTP // TCP BASADO EN CLASES // RTP BASADO EN CLASES.
Si no se usa compresin, el ancho de banda est limitado por el ancho de banda del enlace, y la media de retardo se ve influenciada por el retardo de envo o de buffer, la serializacin y el retardo de propagacin. Si se habilita la compresin, el retardo de compresindescompresin incrementa la latencia total entre 2 saltos. El ancho de banda percibido es generalmente incrementado ya que el tamao del payload de capa 2 se reduce, permitiendo ms tramas de capa 2 ser enviadas a travs de un recurso de transmisin en un perodo dado. Si se usa una compresin por hardware del payload de capa 2, los retardos de compresin o descompresin pueden llegar a ser insignificantes comparados a los de envo y serializacin, y la latencia general decrece.
76
CCNP ONT
constantes de las cabeceras se envan junto con el ndice de sesin. El paquete es enviado a la cola de salida y transmitido al par remoto. Cuando el par remoto recibe el paquete, la cabecera es descomprimida usando la tabla de sesin local y pasada al proceso de envo. Por ejemplo, sin la compresin de cabecera RTP, la carga IP, UDP y RTP del paquete de voz es de aproximadamente el 67%. Con la compresin RTP, se puede reducir de un 9 a un 17%.
Si la compresin no est en uso, el ancho de banda se limita al ancho de banda del enlace, y la media de retardo se ve influenciada slo por el envo o el retardo del bfer, serializacin y retardo de propagacin. Con la compresin de cabecera habilitada, comprimir las cabeceras del protocolo provoca que el paquete sea ms pequeo, permitiendo a ms paquetes ser enviados a travs de un recurso de transmisin en un perodo de tiempo dado, incrementando la capacidad. Debido a que el paquete es ms pequeo, el retardo de serializacin tambin es menor, reduciendo el retardo general. La compresin de cabecera tiene un retardo de compresin bajo, y una carga sobre la CPU relativamente pequeo, por lo que siempre se recomienda en enlaces ms lentos a 2 Mbps.
77
CCNP ONT
La solucin es fragmentar los paquetes grandes de forma que no causen que un paquete VoIP tenga que esperar ms del tiempo predefinido. El paquete VoIP debe tambin tener permitido transmitirse entre fragmentos de los paquetes grandes (intercalado interleaving -). Cuando configuramos el tamao de fragmento correcto a usar en un enlace, una meta tpica es tener un retardo de serializacin de alrededor de 10 a 15 segundos. Dependiendo de los mecanismos LFI configurados, el tamao del fragmento puede configurarse en bytes o en milisegundos.
TIPOS DE VPN
Existen 2 tipos de VPN de acceso remoto: - INICIADAS POR EL CLIENTE: Los usuarios remotos establecen un tnel seguro a travs de una conexin a Internet a la empresa. - INICIADAS POR EL NAS (NETWORK ACCESS SERVER): Los usuarios remotos marcan el nmero de telfono en un ISP. El NAS establece un tnel seguro a la red privada de la empresa que soporta mltiples conexiones sesiones iniciadas por el usuario. Las VPN sitio a sitio incluyen 2 tipos principales: - VPN INTRANET: Conecta centrales corporativas, oficinas remotas y sucursales sobre una infraestructura pblica. - VPN EXTRANET: Enlaza clientes, proveedores, partners o comunidades de inters a una intranet corporativa sobre una infraestructura pblica.
PROTOCOLOS VPN - L2TP: Acta como un protocolo de la capa de enlace de datos para tunelear trfico de red entre 2
pares sobre una red existente (normalmente Internet). L2TP es en efecto un protocolo de sesin de capa 5, y usa el puerto UDP registrado 1701. El paquete completo L2TP, incluyendo el payload y la cabecera L2TP, se enva dentro de un datagrama UDP. - GRE: Este protocolo encapsula IP y cualquier otro paquete dentro de tneles IP. Con GRE, un router Cisco de cada sitio encapsula paquetes especficos en una cabecera IP, creando un enlace virtual punto a punto a routers Cisco en los otros extremo de una nube IP donde la cabecera IP adicional es eliminada. No provee cifrado y puede ser monitoreado con un analizador de protocolos. - IPSEC: Es la mejor eleccin para asegurar VPN corporativas. Es un marco abierto de estndares que provee confidencialidad de datos, integridad y autenticacin entre pares participantes.
TNELES GRE
Los tneles GRE permiten que cualquier protocolo sea tuneleado en un paquete IP. Cisco ofrece soporte de encapsulacin de datos usando IPsec o GRE. En cualquiera de los escenarios, el IOS copia los valores ToS de la cabecera del paquete en la cabecera del tnel. Esta prestacin permite que los bits ToS sean copiados a la nueva cabecera cuando el router encapsula el paquete. En la figura de la pgina siguiente se muestra un ejemplo grfico.
78
CCNP ONT
IPSEC AH
IPsec no define algoritmos de seguridad especficos a usar. En su lugar, provee un marco abierto de algoritmos estndares de la industria. AH, un protocolo clave de la arquitectura IPsec, provee integridad no orientada a conexin y autenticacin del origen de datos para datagramas IP, y provee proteccin contra replays. Tambin provee servicios de no repudiacin. IANA ha asignado el nmero de protocolo IP 51 a AH. Por tanto, en la presencia de una cabecera AH, la cabecera IP usa un valor 51 en el campo protocolo. En la figura se muestra como el ToS se usa con el protocolo AH, mantenindose los bits ToS de la cabecera original.
IPSEC ESP
ESP es un protocolo clave en la arquitectura IPsec. Puede proveer cifrado y autenticacin. La cabecera ESP es de al menos 8 bytes. IANA ha asignado el nmero de protocolo IP 50 a ESP. Con el modo tnel, los bytes ToS se copian automticamente de la cabecera IP original a la cabecera tnel.
79
CCNP ONT
En la interfaz serial 0/0 del router branch, hay una poltica de servicio que configura el ancho de banda de la interfaz a 256 Kbps y ejecuta polticas a una cantidad de 512 Kbps. Esta poltica se aplica a cualquier criterio que coincida con el class map branch 110. Se ha construido un tnel de trfico en la interfaz serial 0/0 (cuyo destino es el hq de esta sucursal). Es en este trfico donde la pre-clasificacin QoS ha sido configurada. El ejemplo muestra como la pre-clasificacin QoS ha sido configurada correctamente en el criptomap llamado vpn. Este crytpo map ha sido aplicado tambin a la interfaz serial 0/0. Si la pre-clasificacin QoS se habilita slo en el crypto map y no en la interfaz tnel, el router ver un flujo solamente, el tnel GRE (protocolo 47), en lugar de los mltiples flujos que requieren los beneficios del QoS los cuales estn dentro del tnel GRE.
En la figura se muestra un ejemplo de un SP que provee slo servicios de capa 2 al cliente. Los routers CE de varios sitios cliente estn interconectados por circuitos Frame Relay. Estos VC pueden ser malla completa, parcial o hub and spokes, dependiendo de los requisitos del cliente. En este entorno, el SP es responsable slo de las conexiones de extremo a extremo de capa 2. El SP provee slo una garanta SLA punto a punto para cada conexin PVC y no est relacionado con el QoS IP del cliente. Para proveer QoS IP para voz, vdeo y datos sobre los PVC de Frame Relay, el cliente debe configurar los mecanismos QoS correctos, como modelado de trfico, LLQ, FRF.12 y compresin RTP (cRTP) en los routers CE, ya que el enlace WAN Frame Relay es probable que quede congestionado.
En este ejemplo, otro SP ofrece servicios de capa 3 a los clientes. Los routers CE de varios sitios de cliente se conectan a un router PE del SP. Desde la perspectiva particular de un sitio cliente, cada direccin IP que no se localiza en un sitio es alcanzable a travs de la red backbone IP del SP. En este entorno, el SP puede proveer servicios IP de valor aadido al cliente, proveyendo SLAs para conformar el trfico del cliente.
80
CCNP ONT
Una SLA puede, por ejemplo, dividir el trfico del cliente en el borde de la red con clases de latencia controlada, carga controlada 1 y carga controlada 2, para proveer seguros QoS IP a cada clase de trfico conforme a la cantidad contractual sobre un backbone IP DiffServ. Para todo el trfico no conforme, el SP puede re-marcar y entregar este trfico con un servicio de mejor esfuerzo.
81
CCNP ONT
El proveedor debe ahora garantizar la transferencia correcta sobre el ncleo a la sucursal. El trfico llega a la misma con las mismas marcas que salieron desde la oficina central, permitiendo de nuevo la clasificacin necesaria para realizar un QoS de extremo a extremo. Para proveer QoS de extremo a extremo, tanto la empresa como el SP deben implementar mecanismos QoS correctos para asegurarse de una correcta conducta por salto (PHB) para cada clase de trfico a lo largo de la red. En el pasado, el QoS IP no se tena en cuenta en la red de campus, donde el ancho de banda era ms que suficiente. A medida que surgieron nuevas aplicaciones con mayor demanda de ancho de banda, tambin se ve implementado dentro del campus. En la siguiente figura se alista algunos de los requisitos dentro de los building blocks que constituyen la red de extremo a extremo. QoS en la capa de acceso se centra en las configuraciones de velocidad y dplex, clasificacin, requisitos de hardware y de colas. QoS en la capa de distribucin del campus, se centra en polticas, marcados, y prevencin de congestin. Las configuraciones QoS ms complejas ocurren normalmente en el borde WAN. En el ncleo IP (Nube SP), slo estn operativos mecanismos de gestin de congestin y de prevencin de congestin. Los mecanismos QoS clave usados en un ncleo IP incluyen LLQ y WRED.
82
CCNP ONT
Podemos por tanto aplicar polticas QoS complejas en lneas de velocidad Gigabit y 10 Gigabit en estos switches. - ESTABLECER LMITES DE CONFIANZA CORRECTOS: Por ejemplo, en los switches de la capa de acceso, confiar slo en los el marcado CoS de los telfonos IP, y no en el de los PC. - CLASIFICAR VOZ EN TIEMPO REAL Y VIDEO COMO TRFICO DE ALTA PRIORIDAD. - USAR MLTIPLES COLAS EN LAS INTERFACES DE TRANSMISIN: Minimizamos con ello el borrado potencial o trfico retrasado causado por la congestin del buffer de transmisin.
En la figura se ilustran 2 posibilidades, un CE gestionado y un CE no gestionado. Para el trfico que deja la red empresarial por el router CE movindose hacia el PE, en la figura se muestran los requisitos QoS generales en los routers CE y PE.
En este ejemplo, el SP est implementado un backbone IP DiffServ ofreciente 3 clases de trfico con diferentes SLA para cada una:
83
CCNP ONT
- CLASE TIEMPO REAL: Que incluye VoIP, vdeo y sealizacin de llamadas. LLQ con un ancho de banda mximo garantizado del 35% del ancho de banda del enlace. - DATOS CRTICOS (ENRUTAMIENTO, MISIN CRTICA, DATOS TRANSACCIONALES Y GESTIN DE RED): Puede tener un ancho de banda mnimo garantizado del 40% del ancho de banda del enlace despus que LLQ este servido. - MEJOR ESFUERZO: Puede tener un ancho de banda mnimo del 25% del enlace.
84
CCNP ONT
slo permitir valores Bc que resulten en un Tc entre 10 ms. y 125 ms. El valor recomendado es de 10 ms. Para obtener un Tc de 10 ms., el Bc debe configurarse a 1/100 del CIR. Se requiere el parmetro mincir, ya que el IOS slo permitir el 75% del mincir para reservarlo a la poltica QoS aplicada a la clase FRTS. Si no se configura, tendr por defecto el 50% del valor del CIR, lo cual normalmente no es lo deseado. La fragmentacin FRF.12 y el intercalado, junto con cRTP tambin se habilitan dentro del class map Frame Relay. El tamao del fragmento en bytes se configura para derivar en un retardo mximo de 10 ms. a 15 ms. El tamao de fragmento ha de ser igual en ambos extremos. Finalmente, la poltica OUT-POLICY es aplicada dentro del class map Frame Relay.
La salida de la figura muestra las configuraciones QoS de entrada. La interfaz entrante del router PE implementa la poltica QoS requerida para cada una de las 3 clases de trfico del SP. En el PE, una poltica llamada IN-POLICY se configura para proveer la poltica basada en clases requerida. Para la clase premium", la velocidad lmite se configura a un 25% del ancho de banda del enlace. Todo el trfico premium excedente es eliminado. Para la clase business, la velocidad lmite se configura al 38% del ancho de banda del enlace. Todo el trfico que excede y viola la clase business es re-marcado con una probabilidad de borrado mayor, y despus es enviado. La clase por defecto no tiene polticas. La poltica de trfico se aplica dentro del class map Frame Relay.
Un router tiene 4 componentes funcionales bsicos (conocidos como planes): El data plane // El management plane // el control plane // el services plane. La mayor parte del trfico atravesado por el router va a travs del data plane. Sin embargo, el procesador de rutas debe manipular ciertos paquetes, como actualizaciones de enrutamiento, keepalives y gestin de red, referidos como planos de trfico de control y gestin (magamentent y control planes). Debido a que el procesador de rutas es crtico para la operacin de la red, cualquier interrupcin al procesador de rutas o a los planos de control y gestin pueden acarrear problemas de impacto en el negocio con relacin a la red. Un ataque DoS con el procesador de ruta como objetivo, el cual puede realizarse de forma inadvertida (sin querer) o maliciosa, tpicamente recae en altas cuotas de trfico que resultan en un uso excesivo de la CPU en el mismo procesador de rutas. Este tipo de ataque, el cual puede devastar la estabilidad y disponibilidad de la red, puede presentar los siguientes sntomas: - Alto uso de la CPU (cerca al 100%) - Prdida de keepalives y actualizaciones de enrutamiento. - Respuesta lenta o no obtencin de respuesta de la CLI debido al alto uso de la CPU. - Procesador de rutas exhausto, como buffers de memoria no disponibles para paquetes IP legtimos. CoPP dirige la necesidad de proteger los planos de gestin y control, asegurando la estabilidad de rutas, disponibilidad, y entrega de paquetes. Usa una configuracin dedicada a travs de la MQC para proveer filtros y capacidades de control de paquetes.
85
CCNP ONT
DESPLIEGUE COPP
CoPP usa la MQC para definir criterios de clasificacin de trfico y especificar acciones de poltica configurables para el trfico clasificado. El trfico de inters debe ser identificado en primer lugar a travs de class maps, los cuales se usan para definir paquetes de una clase de trfico particular. Tras la clasificacin, se crean acciones de poltica reforzadas para el trfico identificado a travs de policy maps. El comando (config)#control-plane permite adjuntar polticas de servicio al control plane. Existen 4 pasos requeridos para configurar CoPP: 1/ Definir un criterio de clasificacin de paquetes. 2/ Definir una poltica de servicio. 3/ Ingresar al modo configuracin del control plane. 4/ Aplicar la poltica QoS.
La MQC provee una interfaz flexible para crear polticas de servicio. El trfico puede ser identificado a travs de un class-map y borrar o permitir su acceso al procesador de rutas. El MQC tambin permite mltiples criterios de coincidencia dentro de una configuracin class-map. El router necesita determinar cmo se evaluarn los paquetes cuando hay mltiples criterios de coincidencia dentro de una clase nica. Los paquetes deben o cumplir todos los criterios de coincidencia especificados (match all) o alguno de los criterios (match any) para ser considerados miembros de la clase.
86
CCNP ONT
ELEMENTOS CLAVE DEL DESPLIEGUE AUTOQOS - CLASIFICACIN DE APLICACIONES: Cisco AutoQoS usa clasificacin inteligente en routers, usando NBAR
para proveer una inspeccin de paquetes profunda y continua. Usa CDP para el reconocimiento de dispositivos, ayudando a asegurar que el dispositivo conectado a la LAN es realmente un telfono IP de Cisco. GENERACIN DE POLTICAS: Cisco AutoQoS evala el entorno de red y genera una poltica inicial. Automticamente determina las configuraciones WAN de fragmentacin, compresin, encapsulacin e internetworking de ATM y Frame Relay, eliminando la necesidad de comprender la teora y prcticas de diseo QoS en varios escenarios. Los clientes pueden modificar dicha poltica generada de forma automtica. CONFIGURACIN: Con un comando, AutoQoS configura la interfaz para priorizar trfico crtico. AutoQoS no slo detecta telfonos IP Cisco y habilita configuraciones QoS en el puerto del telfono, tambin deshabilita configuraciones QoS para prevenir actividad maliciosa cuando movemos o relocalizamos un telfono IP Cisco. MONITOREO Y REPORTES: AutoQoS provee visibilidad dentro de clases de servicio desplegadas usando loggings y alertas SNMP, con notificaciones de eventos anormales, como por ejemplo borrado de paquetes VoIP. El Cisco QoS Policy Manager (QPM) es la plataforma de monitoreo QoS, la cual usa la inteligencia de la red IP para proveer visibilidad dentro de la operacin de red. CONSISTENCIA: Las polticas Cisco AutoQoS trabajan juntas a lo largo de los dispositivos Cisco, ayudando a asegurar una configuracin QoS consistente de extremo a extremo. El QPM habilita a los usuarios a ver lo siguiente: o Estadsticas de coincidencia de polticas y filtros especficos, incluyendo los filtros de aplicaciones por NBAR. o Cantidad de trfico antes de cualquier accin de poltica QoS, trfico transmitido despus de las acciones de poltica QoS, y trfico borrad debido a las acciones de borrado de la poltica QoS. o Estadsticas de acciones QoS: WRED, policing, shaping y queuing.
En la figura se muestra una configuracin QoS manual y una configuracin AutoQoS. Un total de 34 lneas han sido eliminadas de la figura, para que quepa en la pgina.
87
Esta entrega de AutoQoS expande las capacidades a los requisitos QoS de una red empresarial convergente. Aade un paso importante: los usuarios pueden observar las aplicaciones descubiertas durante la fase de observacin (Auto Discovery) y revistar la poltica QoS que el AutoQoS sugiere sin desplegar esa poltica. Esta entrega mezcla el diseo y la implementacin de QoS, basado en la mayora de los escenarios empresariales comunes, en 2 pasos mayores: - Usando tcnicas de descubrimiento NBAR, AutoQoS descubre automticamente qu aplicaciones usa la red empresarial y genera una poltica optimizada. Este paso usa el mecanismo NBAR. - Posteriormente, AutoQoS implementa la poltica generada.
Para los switches basados en IOS, hay 2 comandos de configuracin AutoQoS VoIP. Un comando se usa para conexiones seguras a otros dispositivos de red, y el otro para conexiones a telfonos IP: El comando (config-if)#auto qos voip trust activa AutoQoS VoIP en un switch basado en IOS y configura la interfaz entrante para confiar en las marcas CoS QoS recibidas en los paquetes. El comando (config-ig)#auto qos voip cisco-phone habilita la prestacin de lmites de confianza. Esta prestacin usa CDP para detectar la presencia o ausencia de un telfono IP Cisco. Cuando AutoQoS detecta un telfono IP Cisco, la clasificacin de entrada de la interfaz se configura para confiar en las etiquetas QoS recibidas en los paquetes. Este comando extiende el lmite de confianza si se detecta un telfono IP. Cuando se habilita Cisco AutoQoS en la primera interfaz, QoS se habilita de forma global (se habilitara si no con el comando (config)#mls qos). En el ejemplo de la figura, se muestra como habilitar AutoQoS VoIP para confiar en las marcas QoS recibidas en los paquetes entrantes cuando el switch se conecta a un dispositivo de confianza (router) usando la interfaz Fast Ethernet 0/24. El ejemplo tambin puesta como habilitar AutoQoS para confiar en las marcas QoS recibidas en paquetes entrantes cuando el dispositivo conectado a la Fast Ethernet 0/11 se detecte como un telfono IP.
88
- REQUISITOS QOS GENERALES: Mtodos recomendados y valores configurados para cumplir los requisitos QoS para el trfico en tiempo real. AutoQoS tiene en cuenta el tipo de interfaz y el ancho de banda cuando implementa las siguientes prestaciones QoS o COLA DE BAJA LATENCIA (LLQ): LLQ (especficamente, la cola prioritaria) se aplica a los paquetes de voz para cumplir sus requisitos de latencia. LLQ da a los paquetes de voz RTP prioridad sobre cualquier otro tipo de trfico cuando se comparte un enlace de salida con voz. o CRTP (RTP COMPRIMIDO): Con cRTP, la cabecera IP de 40 bytes se reduce a 2 o 4 bytes. Este mecanismo es utilizado en seriales de baja velocidad para mejorar la eficiencia del enlace y disminuir la carga RTP en el paquete causada por las cabeceras de paquete extensivas de voz. Se debe aplicar cRTP a ambos lados del enlace. o LFI (FRAGMENTACIN E INTERCALADO): LFI reduce el jitter en los paquetes de voz previniendo que los paquetes de voz sean retardados por grandes paquetes de datos en una cola cuando la voz en tiempo real y el trfico de datos en oleadas comparten el mismo enlace de salida de baja velocidad. Se debe aplicar a ambos lados del enlace. - IMPLICACIONES DE ANCHO DE BANDA: El ancho de banda de la interfaz serial determina la velocidad del enlace. La velocidad del enlace, sin embargo, determina la configuracin generada por AutoQoS: o Cambiar el ancho de banda durante la configuracin de AutoQoS no es recomendable. o AutoQoS usa el ancho de banda localizado en el momento que se configura la prestacin. AutoQoS no responde a cambios realizados al bandwith despus de ser configurada la herramienta. - FRAGMENTACIN EN REDES FRAME RELAY: Para redes Frame Relay, la fragmentacin se configura basndose en el cdec G.729 usando un retardo de 10 ms. y un tamao mnimo de fragmento de 60 bytes. Esta configuracin asegura que los paquetes VoIP no son fragmentados. Sin embargo, cuando
89
CCNP ONT
usamos el cdec G.711 en enlaces de baja velocidad, el tamao de fragmento configurado por el AutoQoS puede ser menor que el tamao de un paquete G.711 VoIP. Para resolver este problema potencial, escogeremos una de las siguientes 2 opciones: o Cambiar el tamao de fragmento al valor requerido. o Cambiar el cdec G.711 con un cdec ms adecuado para los enlaces de bajo ancho de banda, como G.729.
90
CCNP ONT
La palabra opcional trust indica que las marcas DSCP de un paquete son de confianza para la clasificacin de voz, vdeo y trfico de datos. Si no la especificamos, AutoQoS clasifica la voz, el vdeo y el trfico de datos usando NBAR, y los paquetes se marcan con el valor DSCP apropiado. Si queremos detener Auto Discovery, usamos el comando (config-if)#no auto discovery qos. Este comando para la re-coleccin y remueve cualquier dato recolectado generando un reporte. Si queremos ver los resultados temporales de Auto Discovery mientras est en progreso, usamos el comando #show auto discovery qos. Este comando muestra el resultado de los datos recolectados durante la fase de descubrimiento automtico.
MONITOREO DE AUTOQOS EN ROUTERS CISCO - PASO 1: Mostrar los datos recolectados durante la fase de auto descubrimiento.
o o Usamos el comando #show auto discovery qos para mostrar los datos recolectados durante la fase de descubrimiento. La salida de la poltica propuesta permite tener una previsualizacin de los class maps y policy maps antes de ingresar el comando auto qos en la interfaz. Podemos continuar con la fase de Auto Descubrimiento para atesorar an ms datos, recomendndose hacerlo durante varios das. La palabra opcional interface indica que slo se muestran las configuraciones especficas de la interfaz descrita.
o o
- PASO 2: Examinar las plantillas AutoQoS y la configuracin inicial. o El comando #show auto qos se usa para mostrar las plantillas de interfaz AutoQoS, policy maps, class maps y ACLs. o Cuando se usa la palabra interfaz el comando muestra las configuraciones AutoQoS de la interfaz especificada. Si no se muestran todas las interfaces o PVCs donde est habilitado. o Se muestra el resultado obtenido en la pgina siguiente.
91
CCNP ONT
- PASO 3: Mostar los datos recolectados durante la fase de Auto Descubrimiento. o Para mostrar las estadsticas de todas las clases que estn configuradas para todas las polticas de servicio ya sea en una interfaz o subinterfaz o en PVC especfico de la interfaz, usamos el comando #show policy-map interface. o Los contadores mostrados despus de ingresar el comando se actualizan slo si hay congestin en la interfaz.
MONITOREO AUTOQOS EN SWITCHES - PASO 1: Examinar las plantillas AutoQoS y la configuracin inicial:
o Usar el comando #show auto qos para mostrar la configuracin AutoQoS VoIP inicial en el switch. En la salida del comando mostrada en la siguiente imagen, podemos ver que el switch tiene 4 colas de salida WRR disponibles, con pesos 20, 1, 80 y 0 para las colas 1, 2, 3 y 4 respectivamente. El comando wrr-queue cos muestra el mapeo CoS para cada cola (el primer nmero es el ID de cola, el segundo el ID de umbral y los dems los valores CoS). La cola 4 se usa para trfico de alta prioridad. La cola 3 no se usa. La cola 1 obtiene el 20% de cualquier ancho de banda que no est siendo usado por la cola 4, y provee CoS 0, 1, 2 y 4. La cola 3 obtiene el 80% de cualquier ancho de banda que no se est usando por la cola 4 y provee CoS 3, 6 y 7. El mapeo CoS a DSCP es mostrado.
- PASO 2: Explorar los parmetros QoS autogenerados a nivel de interfaz: o Usamos el comando #show mls qos interface para mostrar la informacin QoS a nivel de interfaz, incluyendo la configuracin de las colas de salida y los mapeos CoS-a-DSCP, las polticas configuradas y las estadsticas de ingreso y salida (incluyendo el nmero de bytes borrados).
92
CCNP ONT
- PASO 3: Examinar los mapas CoS-a-DSCP: o Usamos el comando #show mls qos maps, como se muestra en la siguiente figura, para mostrar los mapeos actuales de DSCP y CoS. Todos los mapas se definen de forma global. o La palabra cos-dscp presenta el mapeo CoS-a-DSCP por defecto. Los valores soportados son de 0 a 7. o La palabra dscp-cos, presenta los mapeos por defecto de DSCP-a-CoS. Los valores DSCP soportados son 0, 8, 10, 16, 18, 24, 26, 32, 34, 40, 46, 48 y 56. o Despus de aplicar un mapeo por defecto, podemos definir los mapeos CoS-a-DSCP y DSCP-a-CoS insertando comandos mls qos map.
93
CCNP ONT
- GESTIN DE CONGESTIN: Las herramientas de gestin de congestin asignan a un paquete o flujo una o varias colas, basadas en la clasificacin, para un tratamiento adecuado en la red. Cuando se colocan datos, voz y vdeo dentro de la misma cola, la prdida de paquetes y jitter es ms fcil de que se produzca. Podemos incrementar el comportamiento predecible de la red y la calidad de voz usando mltiples colas en interfaces de salida y colocando los paquetes de voz en una cola de prioridad estricta (LLQ) con ancho de banda garantizado, separada de la de los paquetes de datos. Para aliviar los efectos de la congestin y proveer aplicaciones empresariales con ancho de banda garantizado y la menor latencia posible, AutoQoS habilita las siguientes colas IOS: o LLQ para aplicaciones en tiempo real para experimentar la menor latencia en la cola de salida y asegurar suficiente ancho de banda en el enlace para un funcionamiento de la voz ptimo. LLQ procesa trfico clasificado dentro de la clase DiffServ de envo explcito (EF) (clase de voz) como de mayor prioridad y coloca ese trfico en una cola separada de prioridad estricta. o CBWFQ para aplicaciones de datos para proveer suficiente ancho de banda y reducir la interferencia entre aplicaciones de alta y baja prioridad durante periodos de congestin. CBWFQ procesa trfico clasificado dentro de clases DiffServ de envo asegurado (AF) (vdeo y datos clasificados) y una clase por defecto para el trfico sin clasificar (mejor esfuerzo). o WRR con cola prioritaria (PQ) en switches Catalyst procesa el trfico en los puertos de salida del switch usando DiffServ (DSCP se mapea al CoS en el puerto de ingreso automticamente), asegurando prioridad al trfico en tiempo real y un ancho de banda predecible para otros tipos de trfico. - SHAPING: El shaping es un mecanismo QoS usado para enviar trfico en pequeas oleadas a radios de transmisin configurados. Es usado comnmente en entornos Frame Relay donde el clock rate de la interfaz no tiene el mismo ancho de banda configurado o contratado (CIR). El shaping de trfico Frame Relay (FRTS) es la aplicacin ms comn de shaping de trfico en entornos VoIP. En los escenarios Frame Relay hub and spoke normalmente la velocidad del enlace hub es mayor que la de cualquiera de los dems enlaces remotos, lo cual causa el fenmeno de la oversubscription. Sin FRTS el hub intenta enviar datos a cantidades mayores que las que pueden ser recibidas por los enlaces remotos, causando que la red Frame Relay borre trfico de forma arbitraria. Sin embargo, los enlaces remotos podran enviar un agregado de trfico que podra ser mayor que el que el hub puede recibir, de nuevo causando borrados arbitrarios. Debido a que la red Frame Relay no tiene inteligencia de capa 3, puede borrar trfico VoIP si se viola el contrato. Por ello, se necesita controlar la tasa de transmisin en una nube Frame Relay para saber que paquetes son borrados y cuales obtienen un servicio de prioridad estricta. - PREVENCIN DE CONGESTION: Las tcnicas de prevencin de congestin monitorean la carga de trfico de red en un esfuerzo de anticipacin y prevencin de congestin en cuellos de botella de red comunes. El funcionamiento por defecto del router es el uso de un mecanismo de borrado de paquetes tosco llamado tail drop. Con tail drop, los paquetes se borran durante perodos de congestin si no caben dentro de la cola de salida, lo cual afecta de la misma forma a todos los tipos de trfico, incluyendo el de alta prioridad. Otro ejemplo del tail drop es la sincronizacin global y ocurre en olas pico de congestin. La sincronizacin global ocurre cuando mltiples sesiones TCP reducen su tasa de transmisin en respuesta al borrado de paquetes. Posteriormente, todos a la vez incrementan su tasa de transmisin cuando se reduce la congestin, volvindose a producir la misma. AutoQoS usa WRED para prevenir el borrado de paquetes de alta prioridad y la sincronizacin global. WRED incrementa la probabilidad de que la congestin se prevenga borrando paquetes de baja prioridad en lugar de paquetes de alta prioridad. - EFICIENCIA DEL ENLACE: Los enlaces de baja velocidad pueden degradar tremendamente la calidad de la voz. El trfico de voz puede sufrir grandes retardos antes de alcanzar la lnea de transmisin. Cuando AutoQoS detecta un enlace de baja velocidad, minimiza estos problemas habilitando 2 mecanismos de eficiencia de enlaces. LFI es el mtodo utilizado para mejorar el retardo de serializacin. An cuando las colas estn trabajando de la mejor forma y priorizando el trfico de voz, existen momentos en los que la cola est vaca y un paquete de otra clase es servido. Si un paquete VoIP llega a la cola de salida mientras que el paquete anterior est siendo servido, el paquete VoIP espera detrs del paquete de datos, pudiendo sufrir un retardo que cause una mala calidad de llamada VoIP. Como ejemplo, en una lnea de 64 Kbps, con un paquete delante de 1500 bytes el paquete VoIP tendra que esperar 187,5 ms, cuando lo normal es que los paquetes de voz se transmitan a intervalos de 20 ms. AutoQoS habilita 2 de los siguientes mecanismos LFI para fragmentar grandes paquetes para proteger a la voz, cuando se auto descubren enlaces de baja velocidad: o MLP con intercalado para enlaces PPP. o FRF.12 para PVCs Frame Relay. cRTP reduce 40 bytes de cabeceras a 2 o 4 bytes, reduciendo el ancho de banda requerido para una llamada de voz en enlaces punto a punto. Cisco AutoQoS habilita cRTP cuando la voz se transmite a travs de enlaces de baja velocidad.
94
CCNP ONT 5.2.3 Aprovisionamiento automtico para clases DiffServ con AutoQoS
La siguiente tabla alista el nombre de la clase, el tipo de trfico destinado a esa clase, y el valor DSCP para el tipo de trfico, si es aplicable.
En la figura de la pgina siguiente se muestra una salida de este comando. La informacin detallada del comando vara dependiendo de las condiciones de trfico descubiertas por AutoQoS, pero siempre tendr ciertos elementos comunes: - El comando muestra la poltica auto generada, aplicada en forma de policy maps. En esta seccin, los mecanismos de colas son evidentes (LLQ o CBWFQ), pero esta seccin tambin puede mostrar marcas basadas en clases, shaping basado en clases, prevencin de congestin (WRED) y mecanismos de eficiencia de enlaces (cRTP o LFI). Cada mecanismo QoS aparece en la salida generada de la misma forma que si hubiera sido configurado manualmente desde la MQC.
95
CCNP ONT
- Otra informacin importante del comando es la clasificacin, mostrada en forma de class maps MQC. El class map puede usar clasificacin NBAR o procedencia IP o DSCP cuando AutoQoS se ejecuta en modo confiable. En cualquier caso, el comando match se usa dentro de class maps individuales con los parmetros apropiados. - En algunas situaciones especiales, como en PVCs Frame Relay, AutoQoS puede construir 2 policy maps, uno anidado al otro. El propsito es usar shaping basado en clases para adecuar el trfico dentro de un PVC especfico mientras se gestiona la congestin usando tcnicas de colas correctas.
RMON
Los clientes tienen normalmente avalanchas de montaas de datos, pero muy poca informacin relevante que les ayude a identificar la raz de un problema. Obteniendo la informacin correcta puede ser bastante caro, y a menudo puede ser demasiado tarde para ser til. Un ejemplo clsico es encontrar quien (esto es, el usuario o direccin IP) est causando congestin o creando cargas anormales en un enlace. Sin automatizacin, puede llevar varios meses establecer un proceso de monitoreo correcto. AutoQoS provee visibilidad dentro de clases de servicio desplegadas a travs de loggings y alertas SNMP, con notificaciones de eventos anormales (como borrar paquetes VoIP). La salida del comando show auto qos muestra la informacin de que se envan alertas cuando se borra un paquete de voz. Esto es usado para monitoreo y solucin de problemas. En algunas situaciones, como se ve en la figura, AutoQoS tambin proyecta nuevos parmetros de trfico. En la figura, AutoQoS genera un nuevo class map Frame Relay, el cual se mapea a el DLCI especfico usando el nombre utilizado para el class map. Adems de los contenidos de las configuraciones de interfaz, podemos mostrar policy maps y class maps usando el comando show auto qos. Las ACL tambin se muestran dentro del mismo.
Comnmente, AutoQoS usa NBAR y ACL para la clasificacin de trfico. Sin embargo, cualquier mecanismo de clasificacin MQC puede suplir o reemplazar la configuracin generada.
96
CCNP ONT
Se necesitan habilidades significativas y conocimientos de MQC para realizar modificaciones, pero este procedimiento puede adaptar la clasificacin a reglas de clasificacin ms complejas. Hay varias formas de personalizar y modificar los class maps existentes: - Directamente desde la CLI usando MQC. - Usando QPM (Cisco QoS Policy Manager). Sin embargo, la forma ms fcil de personalizar un class map existente es copiar el mismo a un bloc de notas y modificar su configuracin fuera de lnea. Aadir la nueva clasificacin deseada y eliminar la indeseada existente. La MQC de Cisco ofrece un amplio rango de opciones de clasificacin para usar cuando se aaden reglas a un class map generado por AutoQoS.
97
CCNP ONT
98
99
CCNP ONT
PASO 1: DESDE EL SWITCH ETHERNET AL CONTROLADOR Y AL TNEL LWAPP
Cuando un controlador WLAN enva un paquete LWAPP a un punto de acceso, debe contener la informacin QoS del paquete Ethernet original que viene desde el switch Ethernet. El controlador coloca esta informacin en la cabecera externa del paquete LWAPP. Los paquetes de control LWAPP siempre se etiquetan con un valor 802.1p de 7, mientras que los paquetes de datos encapsulados por LWAPP se derivan del valor DSCP y 802.1p del paquete original.
100
CCNP ONT
o Un servidor AAA puede ser aplicado a clientes WLAN con IBNS. Los paquetes sin QoS recibidos desde la WLAN sern tratados con un servicio de mejor esfuerzo cuando se transmiten a travs del controlador a la LAN.
101
CCNP ONT
Nota: El WLAN ID es la asociacin desde el SSID a un nmero interno nico, el cual a su vez asocia polticas de seguridad y la interfaz Ethernet existente del controlador.
CRACKEAR WEP
La seguridad bsica 802.11 WEP se dise para salvaguardar la red contra amenazas de dispositivos no autorizados fuera de la LAN. Con la WEP, la red considera a cualquier dispositivo que conozca la misma como legtimo y autorizado. WEP cifra el cuerpo de cada trama usando el algoritmo RC4, el cual opera expandiendo una pequea clave en un stream de claves pseudo aleatorias. El emisor cifra los datos con la clave y el receptor usa una copia de la misma clave para descifrar los datos. Desafortunadamente, un hacker puede crakear cualquier WEP con softwares existentes en menos de 2 minutos. Aunque una clave WEP es mejor que nada, es una opcin inadecuada.
Para evitar cifrar 2 textos cifrados con la misma clave, WEP usa una vector de inicializacin (IV) que aumenta el la clave compartida secreta y produce una clave RC4 diferente para cada paquete. El IV se incluye en el paquete. Un IV pasivo o dbil es otro tipo de ataque. El mtodo de cambio de IV depende de la implementacin del vendedor. (Cisco Aironet cambia el IV en una base por paquete). Si el IV se transmite en texto plano, un atacante que esnifa la red puede ver el mismo. Usando este IV repetidamente con la misma clave WEP, el hacker puede capturar tramas y derivar informacin de datos de la trama y datos desde la red. Se deben configurar timeouts de claves WEP en el servidor de autenticacin para proveer proteccin extra. Esta prctica fuerza a los clientes wireless a reautenticarse, resultando en la generacin de una nueva clave WEP.
WEP
Aunque el centro de esta leccin se centra en LEAP y WPA2, vale la pena empezar con un repaso a WEP: - El estndar 802.11 define un tipo de seguridad en la cual 64 bits WEP especifican una clave secreta compartida para cifrar y descifrar datos. Originalmente, WEP usada una clave de 40 bits, la cual se concatena con un IV de 24 bits, para formar una clave de trfico RC4. El gobierno de los EE.UU. exporta restricciones en la tecnologa criptogrfica inicial. Por ello, la mayora de los fabricantes implementaron un protocolo WEP extendido de 128 bits usando una clave de 104 bits. Los AP Cisco Aironet soportan claves de 40 y 120 bits. Una vez que la clave WEP es revelada, un hacker puede transformar el texto cifrado en su valor original y entender el significado de los datos. Si se comprende el algoritmo, este hacker puede usar la clave WEP crakeada para modificar el texto cifrado y enviar el mensaje modificado al receptor. - WEP usa un cliente wireless y un AP que comparten claves WEP estticas. Esta clave se verifica durante el proceso de autenticacin. Si la clave del cliente no coincide con la del AP, el cliente no tiene permitido asociarse al mismo y no puede conectarse a la red. Desafortunadamente, no existen mecanismos de renovar la clave WEP almacenada. - WEP usa el algoritmo RC4, un strema de cifrado con vulnerabilidades conocidas. Ambos puntos finales deben compartir una clave. La prestacin de seguridad de Cisco Aironet mejor algunas de las debilidades mencionadas usando una tcnica de derivacin de claves ms segura y asignando claves WEP de forma dinmica: - DERIVACIN DE CLAVES SEGURAS: Usando la clave compartida inicial, la derivacin de clave segura construye respuestas a desafos mutuos. Hace que los ataques por repeticin sean imposibles. Los
102
CCNP ONT
valores de hash enviados a travs del cable son tiles para una sola vez en el proceso de autenticacin inicial, y nunca despus. - CLAVES WEP DINMICAS: Cada cliente wireless puede tener garantizada una clave WEP nueva, dinmica cada vez que accede a la red. Estas claves estn basadas en sesin, por lo que un intruso no puede aprender las mismas y usarlas para acceder a la WLAN. Las claves WEP usadas de esta forma se conocen como claves de sesin. Cada usuario tiene una nica clave WEP. El AP tiene todas las WEP para cada cliente asociado, permitiendo comunicarse con cada uno de ellos. Los dems usuarios que reciben la informacin no pueden descifrar el contenido de la misma.
Esta seguridad a travs de WPA o WPA2 incorpora autenticacin y cifrado mejorado al 802.11 bsico. La autenticacin en 802.11 desarrolla el estndar 802.1x del IEEE para autenticar usuarios y permitir asignacin de polticas basndose en dicha autenticacin. La autenticacin 802.1x tambin permite credenciales flexibles para usarse en la autenticacin del cliente. Contraseas, tokens de una vez, certificados PKI, o IDs de dispositivo pueden ser usadas para la autenticacin. El uso de 802.1x para la autenticacin tambin tiene la ventaja de permitir claves de cifrado dinmicas para distribuir a cada usuario cada vez que este se autentica en la red.
WPA Y WPA2
WPA resuelve debilidades de WEP y provee una forma de asegurar la integridad de los mensajes usando TKIP un cifrado de datos mejorado. Resuelve problemas como el ya publicado AirSnort, el cual es una herramienta que recupera claves de cifrado desde las cuales puede sacar la clave original. WPA2 se sobrepone a algunas debilidades encontradas en WPA. WPA2 usa el algoritmo AES, el cual es ms seguro que RC4 usado por WPA, con la desventaja que hace un mayor uso de la CPU.
Los componentes requeridos para una autenticacin 802.1x son los mostrados en la figura.
6.2.5 LEAP
LEAP provee algunas capacidades nicas que son difciles de obtener con otros esquemas de autenticacin, las cuales se indican a continuacin: - Roaming seguro y rpido con clientes Cisco y compatibles. - Un rango amplio de sistemas operativos y dispositivos, incluyendo Mac, Linux y DOS. - Login con un Directorio Activo o dominio NT usando credenciales de Microsoft. Si se usa una base de datos Microsoft, y queremos usar el sistema operativo nativo para el soporte de la autenticacin, podemos usar Microsoft PEAP (PEAP [EAP-MSCHAPv2]) o EAP-TLS. El login puede realizarse con estas soluciones.
AUTENTICACIN LEAP
Como vimos en el punto anterior, el proceso de autenticacin requiere 3 componentes; el cliente (suplicante), el punto de acceso (autenticador) y el servidor RADIUS (servidor de autenticacin). En la figura de la pgina siguiente se muestran los pasos del proceso de autenticacin usando LEAP: * La autenticacin puede comenzar de 2 formas: solicitada por el cliente (mensaje start) o por el punto de acceso (mensaje de solicitud de indentidad).
103
CCNP ONT
* En ambos casos, el cliente responde al punto de acceso con un nombre de usuario. * El punto de acceso encapsula esta respuesta en un mensaje RADIUS Access-request y se lo enva al servidor RADIUS en cuestin. * El servidor RADIUS entonces comienza el proceso de respuesta de desafo con el cliente. * Tras comprobar que la autenticacin es correcta, se enva un mensaje success al punto de acceso, indicando que el cliente ha sido autenticado. * El cliente necesita validar que el AP y el RADIUS con los que habla son de confianza. Este proceso es la funcin de autenticacin mutua LEAP. * El cliente enva un desafo al AP y este lo reenva al RADIUS. * El RADIUS debe responder de forma correcta al mismo para validar la red. * Tras una autenticacin satisfactoria, se genera una clave maestra por par (PKM) en ambos, cliente y servidor RADIUS. * El servidor RADIUS enva esta PKM al AP para que la instale para el cliente especfico. El AP y el cliente realizan entonces finalmente un saludo de 4 vas.
6.2.6 EAP-FAST
EAP-FAST consiste en una fase 0 opcional, seguida de las fases 1 y 2: - FASE 0: Existente slo en EAP-FAST, esta fase es un medio de tnel seguro que provee un cliente EAP-FAST con una PAC (Credencial de Acceso Protegido) para las solicitud de acceso a la red por parte del mismo. Esta fase es opcional, y las PACs pueden ser provistas de forma manual a clientes finales. Una PAC es una credencial digital que se distribuye a usuarios para la autenticacin. Una PAC siempre consiste en una parte secreta y una parte opaca. La parte secreta es una clave secreta que puede usarse en transacciones posteriores. La clave opaca se presenta cuando el cliente quiere obtener acceso a los recursos de red. Esta parte ayuda al servidor a determinar si el cliente posee la parte secreta. Cada PAC tiene un ID de usuario especfico y un ID de autoridad asociado a la misma. - FASE 1: En la fase 1 el servidor RADIUS y el cliente usan la PAC para autenticarse mutuamente y establecer un tnel seguro. Como con PEAP, EAP-FAST usa TLS para verificar la identidad del servidor AAA y establecer un tnel seguro entre el cliente y el servidor AAA. La PAC reemplaza el certificado digital usado por PEAP y elimina la necesidad de una infraestructura PKI para gestionar los certificados. - FASE 2: En esta fase, el servidor RADIUS autentica las credenciales de usuario con EAP-GTC, el cual se protege por el tnel TLS creado en la fase 1.
AUTENTICACIN EAP-FAST
En la figura se muestran los pasos del proceso de autenticacin usando EAP-FAST: * El punto de acceso restringe todo el trfico desde el cliente hasta que el mismo sea autenticado por el servidor RADIUS. * El cliente enva una trama EAPOL (EAP over LAN) al punto de acceso. * El AP devuelve una solicitud de identidad al cliente. * El cliente enva un NAI (Identificador de Acceso a la Red) en formato de direccin de correo al AP, el cual pasa el NAI al RADIUS. * El servidor RADIUS y el cliente se autentican mutuamente usando las fases 1 y 2 del proceso EAP-FAST.
104
CCNP ONT
* El RADIUS enva una clave de sesin al AP en un paquete success. El RADIUS y el cliente negocian y derivan la clave de cifrado de sesin. Este proceso vara basndose en si el cliente est usando WEP u 802.11i (WPA). * El cliente y el AP usan las claves durante la sesin. * Al final de la sesin, el cliente enva un paquete EAPOL-Logout, y el AP vuelve al estado de preautenticacin (filtrado todo excepto el trfico EAPOL).
6.2.7 EAP-TLS
TLS se usa en diferentes entornos, y se pretende que sea una versin alternativa estandarizada del mecanismo de cifrado SSL ampliamente extendido. EAP-TLS usa un cdigo de mensaje de autenticacin derivado de un certificado para autenticar a un usuario. Los certificados son expedidos a los usuarios y a las mquinas por una CA (Autoridad de Certificados) y se usan para validar identidades. El mantenimiento del CA (lo cual es parte de un PKI Infraestructura de Clave Pblica) puede ser una barrera para el despliegue EAP-TLS para algunos clientes. Todos los clientes (usuarios) deben tener su propio certificado personal expedido e instalado en sus mquinas para realizar autenticacin TLS. Cada servidor AAA, a su vez, debe tener certificados nicos. EAP-TLS tiene soporte nativo en Windows 2000, XP y Vista. Con la implementacin Cisco y Microsoft de EAP-TLS, se puede vincular las credenciales Microsoft de los usuarios con el certificado del usuario en una base de datos Microsoft, la cual permite un login de una vez en un dominio Microsoft.
AUTENTICACIN EAP-TLS
En la figura se muestran los pasos del proceso de autenticacin usando EAP-TLS: * El cliente wireless se asocia con el AP usando autenticacin abierta. * El AP restringe todo el trfico desde el cliente hasta que este haya sido autenticado por el RADIUS. * El cliente enva una trama EAPOL-start al AP. * El AP contesta con una solicitud de identidad. * El cliente enva un NAI (en formato de correo) al AP, el cual pasa la direccin al RADIUS. * El servidor y el cliente se autentican mutuamente usando un certificado digital externo. * El RADIUS enva la clave de sesin al AP en un paquete Success. El RADIUS y el cliente negocian y derivan la clave de cifrado de sesin. Este proceso vara basndose en si el cliente usa WEP u 802.11i. * El cliente y el AP usan las claves durante la sesin. * Al final de la sesin, el cliente enva un paquete EAPOL-Logout, y el AP vuelve al estado de preautenticacin (filtrado todo excepto el trfico EAPOL).
6.2.8 PEAP
PEAP es un protocolo de autenticacin que fue propuesto en comn por Cisco, Microsoft y RSA Security. Su propsito es proteger las transacciones de autenticacin con una conexin TLS segura, tanto como si asegurramos una conexin a un sitio web con e-commerce cuando se realiza una transaccin online. Existen 2 implementaciones de PEAP: PEAP-GTC // PEAP MSCHAPv2. PEAP-GTC permite una autenticacin genrica a un nmero de bases de datos (NDS, LDAP, OTP, etc.). PEAP-MSCHAPv2 permite la autenticacin a bases de datos que soporten el forma MSCHAPv2, incluyendo Microsoft NT y Microsoft Active Directory. Un certificado debe utilizarse en cada cliente para autenticar al servidor en cada cliente antes de que el cliente aporte sus credenciales de autenticacin. En la figura de la pgina siguiente se muestran los pasos del proceso de autenticacin usando PEAP:
105
CCNP ONT
* El cliente wireless se asocia con el AP usando autenticacin abierta. * El AP restringe todo el trfico desde el cliente hasta que el mismo se autentique contra el RADIUS. * El saludo inicial entre el cliente y el AP es un handshake TLS, como se vio anteriormente. * El cliente autentica al servidor usando un CA para verificar el certificado digital del mismo. Entonces, el cliente y el servidor establecen un tnel cifrado. * El cliente le da sus credenciales dentro de este tnel usando MSCHAPv2 o GTC. * El RADIUS enva la clave de sesin al AP en un paquete Success. El RADIUS y el cliente negocian y derivan una clave de sesin de cifrado. Este proceso vara basndose en si el cliente usa WEP u 802.11i. * El cliente y el AP usan las mismas claves durante la sesin. * Al final de la sesin, el cliente enva un paquete EAPOL-logout, y el AP vuelve al estado de preautenticacin.
Antes de producirse el handshake WPA, el par de claves maestras (PMK), una clave de 256 bits, se genera debido al proceso de autenticacin 802.1x entre el cliente y el servidor de autenticacin. - Paso 1: El AP enva un nmero aleatorio al cliente. - Paso 2: El cliente responde al AP con el nmero aleatorio del cliente, junto con elementos de informacin WPA, el par de claves fugaces (PTK) e informacin de clave MIC.
106
CCNP ONT
- Paso 3: El AP enva el nonce (nmero generado aleatoriamente para la ocasin) de nuevo, junto con elementos de informacin WPA, PTK y informacin de clave MIC, e instala el mensaje. El reenvo de esta informacin valida al cliente, y el AP comparte informacin de autenticacin comn con l. - Paso 4: El cliente enva la informacin de clave MIC y el PTK al AP para un acuse de recibo.
HANDSHAKE DE GRUPO
La clave maestra de grupo (GMK) es generada a su vez utilizando una funcin de nmero aleatorio o se inicializa por el primer PTK que el AP usa. Cuando el AP tiene el GMS, un nmero de grupo aleatorio se genera. Este nmero se usa para derivar una clave de grupo fugaz (GTK). Las entradas son un PRF que usa el nmero aleatorio y la direccin del AP. El GTK se usa para proveer un grupo de claves como claves MIC, las cuales pueden usarse para verificar la integridad de la clave de los paquetes.
Como parte de la conformidad con WPA, un AP debe ser capaz de advertir capacidades de seguridad en los beacons que enva. Este proceso describe los tipos de autenticacin unicast, multicast y broadcast que son soportados. Desde las capacidades advertidas por el AP, el cliente selecciona el tipo de seguridad mejor soportado para la autenticacin. Cuando el cliente determina el tipo de autenticacin, procede con la autenticacin abierta usando 802.1x a un RADIUS, o usando una clave pre-compartida con el AP. Este proceso tiene la ventaja de una autenticacin mutua entre cliente y servidor, as como la tenencia de un recurso centralizado para el control de admisin del cliente. Tras completar los mensajes EAP entre el cliente y el servidor, una clave maestra se genera de forma independiente entre el servidor y el cliente. Esta clave se usa para derivar una PTK que se usa en la autenticacin de los componentes de la clave cifrada que el AP y el cliente usarn uno con el otro.
VISTAZO A WPA2
WPA2 soporta TKIP y generalmente usa bloques de cifrado AES con CCMP (Cipher Block Chaining Message
IDSS WIRELESS
Los IDS cableados se centran en la capa 3 y superiores, pero la naturaleza del medio y los estndares wireless obligan a los IDS a funcionar en las capas fsica y enlace de datos. El medio RF tiene varias vulnerabilidades, como es el espectro sin licencia, el cual est sujeto a interferencias y no se contiene por lmites de seguridad fsicos. Como vulnerabilidades estndar se incluyen tramas de gestin no autenticadas, secuestros de sesin y ataques de repeticin. La proteccin IDS incluye deteccin de falsificadores y mapeo de localizaciones, firmas de ataques IDS, exclusin de clientes y contencin y una seguimiento de localizacin de alta resolucin. Cisco ofrece opciones IPS basndose en la seleccin de arquitectura: - WLAN basada en controlador. - AP autnomos. - AP autnomos con integracin de partner.
107
CCNP ONT
802.1x para despliegues empresariales). WPA tambin provee cifrado usando TKIP. TKIP incluye MIC y claves por paquete a travs de hashear IVs y rotar las claves broadcast. La autenticacin WPA2 es idntica a la WPA, excepto que el cifrado usado por WPA2 es AES-CCMP. - MODO EMPRESARIAL: Se refiere a productos que se han testeado para ser interoperables con claves pre-compartidas y modos de operacin 802.1x o EAP para la autenticacin. - MODO PERSONAL: Este modo es un trmino dado a productos testeados para ser interoperables con el modo de clave pre-compartida nicamente para la autenticacin.
TAREAS WPA2
El uso de AES como mtodo de cifrado requiere una mayor potencia de computacin, y el hardware debe soportar WPA2. El suplicante (cliente) debe tener un driver WPA2 que soporte EAP. Este estndar no est implementado de forma general y puede ser una limitacin. El RADIUS debe tambin comprender EAP. No todos los RADIUS lo soportan. PEAP porta tipos de EAP dentro de un canal TLS seguro. Cuando TLS se usa, se utiliza un servidor de certificados. Esta prestacin permite claves dinmicas. Comparado con WPA, WPA2 hace un uso intensivo de la CPU. Algunos AP antiguos nunca soportarn WPA2 debido a que no disponen de actualizaciones de hardware.
COMPONENTES DE UNA RED CISCO UNIFIED WIRELESS DISPOSITIVOS CLIENTE: Cisco recomienda encarecidamente usar dispositivos clientes compatibles con Cisco
o clientes Aironet para la red Cisco Unificada. Con un 90% aproximadamente de dispositivos cliente certificados como compatibles con Cisco, la mayora de los dispositivos que seleccionemos tiene muchas probabilidades de ser compatible. Estos dispositivos interoperan y soportan prestaciones innovadoras y nicas de la red Cisco Unified Wireless, como roaming seguro rpido, IPS integrado, servicios de localizacin y una variedad amplia de servicios de autenticacin extensible. PLATAFORMA DE MOVILIDAD: Los puntos de acceso Aironet Lightweight se configuran dinmicamente y se gestin a travs del protocolo LWAPP. A su vez, se pueden convertir AP autnomos para operar como APs lightweigth que ejecuta LWAPP.
108
CCNP ONT
UNIFICACIN DE RED: La red Cisco Unified Wireless maximiza la red cableada existente y la inversin en productos Cisco. Esta solucin soporta una infraestructura de red sin cortes a lo largo de un amplio rango de plataformas. La unificacin wireless y cableada ocurre en los controladores WLAN de la serie 440 y 2000. GESTIN DE RED EXCELENTE: Cisco
entrega un sistema de gestin de red excelente (NMS) que visualiza y ayuda a asegurar el espacio areo. WCS soporta planeamientos y diseos WLAN, seguimiento de localizaciones, IPS y configuracin, monitoreo y gestin de sistemas WLAN. Esta plataforma gestiona de forma sencilla mltiples controladores y sus puntos de acceso ligthweight asociados. SERVICIOS AVANZADOS UNIFICADOS: Estos servicios son entregados por puntos de acceso Lightweight, dispositivos de localizacin Wireless y telfonos wireless IP. Dan soporte a aplicaciones de extremo maximizadas.
COMPARACIN DE SOLUCIONES WLAN - PUNTOS DE ACCESO AUTNOMOS: Los puntos de acceso autnomos se configuran por punto de
acceso. CiscoWorks WLSE realiza configuraciones, monitoreo y gestin centralizados. WDS facilita el monitoreo de radio y la gestin de comunicacin entre el AP y CiscoWorks. WDS es una prestacin que est habilitada en cualquier AP que enva informacin RF desde un grupo de APs a un WLSE. - PUNTOS DE ACCESO LIGHTWEIGHT: Configuramos AP lightweigth usando el controlador WLAN. El AP normalmente depende del controlador para el control y la transmisin de los datos. El controlador implementa monitoreo y seguridad. Se puede realizar una configuracin, gestin y monitoreo centralizados desde un WCS (Wireless Controller System). Pueden instalarse controladores redundantes dentro de grupos de controladores WLAN.
109
CCNP ONT
WLSE tiene las siguientes prestaciones principales: - CONFIGURACIN: Permite aplicar cambios de configuracin a puntos de acceso. Se pueden soportar hasta 2500 AP desde una nica consola WLSE. Todos los AP Aironet son soportados. - MONITOREO DE DEFECTOS Y POLTICAS: Se monitorean defectos y condiciones de funcionamiento en los dispositivos, respuestas LEAP y desconfiguraciones de polticas. - REPORTES: Permite hacer seguimiento de dispositivos, clientes e informacin de seguridad. Podemos mandar los mismos por correo, imprimirlos y exportarlos. - FIRMWARE: Permite actualizar el firmware de los AP y puentes. - GESTIN DE RADIO: Ayuda a gestionar el entorno de radio WLAN. - ADMINISTRACIN WLSE: Gestiona el software WLSE, incluyendo actualizaciones, monitoreo de WLSE, copia de seguridad de los datos, y usando 2 dispositivos WLSE como redundantes, se provee como una solucin de gestin de alta disponibilidad.
En la imagen de la figura se muestra uno de los muchos usos de WLSE. El ejemplo ilustra el escaneo y monitoreo de capacidades mostrando las localizaciones y la cobertura de los puntos de acceso aironet en un plano de planta del edificio.
CISCOWORKS WLSE: Soporta hasta 2500 dispositivos WLAN. CISCOWORKS WLSE EXPRESS: Para pequeos negocios, soportando de 250 a 1500 empleados (o hasta 100 dispositivos WLAN).
WLSE requiere un servidor AAA externo, el cual ya viene incluido con WLSE Express. WLSE Express tiene integrada seguridad WLAN y servicios de gestin que soportan 802.1x LEAP, PEAP, EAP-FAST y EAP-TLS. El directorio de usuarios soporta LDAP (Lightweigth Directory Access Protocol) con el Directorio Activo de Microsoft y la base de datos de usuario local. WLSE Express soporta autenticacin de usuario cableada e inalmbrica y prestaciones de IDS WLAN.
110
PLANTILLAS DE CONFIGURACIN
WLSE tiene una GUI basada en web para la configuracin. WLSE est diseado para operaciones rutinarias as como para la optimizacin del funcionamiento y alta disponibilidad. Una de las prestaciones de WLSE es el uso de plantillas, las cuales permiten la auto-configuraicones de nuevos puntos de acceso para simplificar un despliegue de puntos de acceso a gran escala. Cuando se aade un nuevo AP al sistema, podemos usar la plantilla para configurar al mismo. A su vez, los AP nuevos aadidos al sistema requieren correcciones en la configuracin. WLSE detecta desconfiguraicones y enva una alerta de las mismas. Este proceso tambin es el proceso que lleva a cabo WLSE para detectar un AP fake y minimizar las vulnerabilidades de seguridad. WLSE puede detectar el AP que falla, pudiendo compensar su prdida incrementando automticamente la potencia y cobertura de celda de los puntos de acceso ms cercanos. La prestacin de Auto-Curacin minimiza el impacto de un fallo del tipo mencionado anteriormente. La Auto-Curacin tambin recalcula la potencia de cobertura cuando el AP vuelve a estar disponible.
WCS se ejecuta en plataformas Windows y Linux. WCS puede ejecutarse como aplicacin o como servicio, el cual se ejecuta continuamente. La interfaz de usuario WCS permite a los operadores controlar todas las configuraciones de soluciones WLAN, monitorearlas, y controlar funciones a travs de Internet Explorer 6.0 o posterior. Se pueden
111
CCNP ONT
definir permisos de operador a travs del men administrador de la interfaz de usuario WCS. Desde este men se pueden definir cuentas de usuario y programar tareas de mantenimiento peridicas. WCS usa SNMP para comunicarse con los controladores. WCS soporta SNMPv1, SNMPv2 y SNMPv3. El software WCS es una plataforma lder en la industria de planeamiento, configuracin y gestin de WLAN. Provee una base slida que los gestores de IT pueden usar para disear, controlar y monitorear la red wireless empresarial reduciendo el costo total. Cisco provee una amplia gama de opciones para realizar de forma eficiente el seguimiento de dispositivos wireless, incluyendo porttiles Wi-Fi, PDAa, telfonos mviles, etc que estn equipados con transceptores 802.11. Podemos deplegar ECS en cualquiera de las siguientes 3 versiones: - WCS BASE: Esta versin puede determinar a qu punto de acceso est asociado un dispositivo wireless, dando a los gestores de IT una aproximacin genera de donde se sitan los dispositivos inalmbricos. - LOCALIZACIN WCS: En entornos que requieren servicios de localizacin granulares se puede implementar una versin opcional de WCS, llamada Cisco WCS Location que usa tecnologa de huella dactilar RF patentada por Cisco. Esta tecnologa compara informacin RSSI en tiempo real del cliente con caractersticas de la arquitectura RF, haciendo posible localizar a un dispositivo wireless de forma correcta dentro de un pequeo rango de metros. - DISPOSITIVO DE LOCALIZACIN WIRELESS: Adems, Cisco WCS Location puede ser desplegado en conjunto con un dispositivo que puede hacer seguimiento de miles de clientes wireless en tiempo real, de forma simultnea.
DESPLIEGUE WCS
La solucin WLAN consiste en controladores WLAN y sus puntos de acceso lightweight asociados, controlados por el sistema operativo, todos de forma concurrente gestionados por cualquiera de las interfaces de usuario del sistema operativo. Existen las siguientes interfaces de usuario:
112
CCNP ONT
- Una interfaz web de usuario HTTPS guardada en los controladores WLAN puede utilizarse para configurar y monitorear controladores individuales. - Una CLI puede usarse para configurar y monitorear controladores individuales. - WCS puede usarse para configurar y monitorear uno o ms controladores y sus puntos de acceso asociados. WCS tiene herramientas que facilitan el monitoreo y el control de sistemas grandes. - Una interfaz estndar de la industria (SNMPv1, SNMPv2, SNMPv3) puede usarse con sistemas de gestin de terceras partes compatibles con SNMP.
WCS se ejecuta bajo servidores Windows 2000, Windows 2003 y Red Hat Enterprise Linux v.3 como una aplicacin normal o como un servicio. Los requisitos mnimos del servidor son: - Windows 2000 SP4 o superior. Windows 2003 SP1 o superior, o Red Hat Enterprise Linux ES v.3. - Hasta 500 puntos de acceso: Pentium 2.4 GHz con 1 GB de RAM. - Ms de 500 puntos de acceso: Doble ncleo (de al menos 2.4 GHz cada uno) con un mnimo de 2 GB de RAM. - 20 GB de disco duro. Los requisitos mnimos del cliente son Internet Explorer 6.0 con SP1 o superior.
BARRA DE MEN
Existen 4 mens en cada pantalla. Cuando movemos el ratn sobre cualquiera de los mens, aparece un men desplegable:
MONITOR: El men monitor provee una descripcin de los dispositivos de nuestra red. CONFIGURE: Este men permite configurar plantillas, controladores y puntos de acceso de la red. LOCATION: Este men permite configurar dispositivos Wireless Location. ADMINISTRATION: Este men permite programar tareas como backups, chequeos de estado de
dispositivos, auditoras de red, sincronizacin de servidores Location, etc.
El WCS est diseado para soportar 50 controladores WLAN y 1500 puntos de acceso. Desde la pgina que se muestra en la pgina siguiente se provee acceso a detalles sumarizados del controlador. Usamos el rea de seleccin para acceder a los detalles de los controladores respectivos. En la figura de la pgina siguiente se muestra un ejemplo de esta pgina. El rea de datos de esta pantalla contiene una tabla con la siguiente informacin: - IP ADDRESS: Direccin IP local de la interfaz de gestin del controlador. - NOMBRE DEL CONTROLADOR - LOCATION: La localizacin geogrfica (como un campus o un edificio). - NOMBRE DEL GRUPO DE MOBILIDAD: Nombre del controlador de movilidad o del grupo WPS. - ESTADO DE DISPONIBILIDAD: Como alcanzable o inalcanzable.
113
CCNP ONT
Los controladores agregan dicha informacin RSSI y se la envan a la aplicacin 2710 utilizando el protocolo SNMP.
Los controladores WLAN almacenan la informacin RSSI deben estar asociados con los dispositivos Wireless Location. Una vez que se aaden los mapas de la red y se aaden los puntos de acceso al dispositivo, las predicciones RF y los mapas de calor pueden generarse para mostrar la localizacin de miles de
114
CCNP ONT
dispositivos en el plano de planta del sitio de forma geogrfica. Esta informacin de localizacin tambin est disponible con aplicaciones de terceros a travs de Apis XML en el dispositivo. El WCS gestiona el dispositivo Wireless Location mediante una GUI intuitiva y visual que provee una gestin y configuracin centralizada. Para una mayor escalabilidad, el WCS puede gestionar uno o ms dispositivos Wireless Location.
Tras un login satisfactorio, el WCS est listo para ser utilizado. La pgina de sumario de red se muestra en la siguiente figura, desde la cual el operador puede comenzar a agregar dispositivos y configurar el sistema usando los mens horizontales y verticales.
Cuando el WCS recibe mensajes de alarma desde el controlador, la interfaz de usuario muestra una alarma en un indicador en la esquina inferior izquierda conocida como monitor de alarmas. Las alarmas indican errores actuales o estados de un elemento que necesita atencin. Varios eventos generan alarmas. Podemos borrarlas, pero el evento permanece. Los siguientes cdigos de color rigen el nivel de cada alarma: Rojo (alarma crtica) // Naranja (Alarma mayor) // Amarillo (Alarma menor).
115
CCNP ONT
- PASO 1: Nos logamos en la interfaz de usuario del WCS. - PASO 2: Escogemos Configure > Controllers. Aparece la pgina todos los controladores. - PASO 3: Desde la lista desplegable que aparece en la figura, escogemos Add Controller, y le damos click a Go. Aparece la pgina de aadir controlador (siguiente imagen). - PASO 4: En esta nueva pantalla ingresamos la IP del controlador, la mscara de red, y las configuraciones SNMP requeridas en los campos de la ventana Add Controller. - PASO 5: Hacemos click en OK. El WCS muestra un cuadro de dilogo please wait mientras contacta con el controlador. El WCS aade la configuracin actual del controlador a la base de datos del WCS y entonces vuelve a mostrar la pgina Add Controller de nuevo.
Si el WCS no encuentra un controlador en la IP que ingresamos, el mismo mostrar un mensaje No response from device, check SNMP. Para corregir este problema debemos comprobar que la IP que ingresamos es la correcta. Debemos intentar hacer ping al controlador para ver si obtenemos respuesta del mismo. Las configuraciones SNMP del controlador tienen que coincidir con las que ingresemos en el WCS.
116
CCNP ONT
- PASO 4: Escogemos Maps desde la pgina Maps. - PASO 5: Desde la lista desplegable, escogemos New Campus, y hacemos click en OK para mostrar la pgina de Nuevo Campus. - PASO 6: En la pgina del Nuevo Campus, ingresamos el nombre del campus y la informacin de contacto. - PASO 7: Escogemos Browse para buscar y seleccionar el grfico del campus. - PASO 8: Marcamos la casilla Maintain Aspect Ratio para prevenir que se distorsione la imagen. - PASO 9: Ingresamos la envergadura horizontal y vertical del mapa en pies. - PASO 10: Hacemos click en OK y aadimos el mapa del campus a la base de datos del WCS. El WCS muestra la pgina Maps, en la cual se alistan los mapas de su base de datos, tipos de mapas y estado del campus.
117
CCNP ONT
La autenticacin abierta se usa cuando no se desea ninguna autenticacin o cifrado. Esto es normal para la implementacin invitada para visitantes. Para las WLANs existentes, escoger WLANs y editarlas. Para nuevas WLAN, creamos una nueva WLAN escogiendo WLANs>New y hacer click en Apply para navegar a esta pgina. Est pgina permite editar los parmetros configurables para un WLAN. El mtodo de autenticacin por defecto para una nueva WLAN es 802.1x. La razn de ello es protegerse contra autenticaciones abiertas accidentales. El siguiente paso es cambiar el valor de la lista desplegable de seguridad de capa 2 de 802.1x a None. Asegurarse que ambos campos de seguridad, capa 2 y capa 3, se configuran con None.
Para las WLAN existentes, escoger la WLAN y editarla. Para crear una nueva seguimos el mismo proceso del paso anterior. Escoger el mtodo de seguridad de capa 2 Static WEP. La parte inferior de la pantalla se actualizar para mostrar las opciones WEP con los parmetros apropiados. Los parmetros de cifrado WEP son los siguientes:
118
CCNP ONT
Tamaos de clave de 40/64, 104/128 y 128/152 bits. ndices de clave de 1 a 4. Ingresar la clave de cifrado. Escoger el tipo de formato de cifrado de clave (ASII o HEX).
Escogemos WPA como mtodo de seguridad de capa 2. La parte inferior de la pantalla se actualizar para reflejar los parmetros apropiados para WPA. Marcamos la casilla Enabled de la parte inferior en pre-shared key, y escribimos la clave (Passphrase) a utilizar.
119
CCNP ONT
Los parmetros de la pantalla de login web son los siguientes:
USE EXTERNAL WEB AUTHENTICATION: Habilitamos esta opcin e ingresamos una URL si queremos usar una
pantalla de login personalizada configurada en nuestro servidor web para la autenticacin web en lugar de la pantalla por defecto provista por los controladores WLAN de la serie 4000. REDIRECT URL AFTER LOGIN: Ingresamos la URL a la que queremos que el usuario se re-dirigido despus de logarse. Podramos ingresar la URL de nuestra compaa. HEADLINE: Especifica la cabecera de la pantalla de login. Por ejemplo: Bienvenido a la red Wireless de Cisco. MENSAJE: Especifica un mensaje en la pantalla de login. Por ejemplo: Por favor, ingrese su nombre de usuario y contrasea, o Esta pgina no estar disponible de 1:00 a 2:00 p.m. por labores de mantenimiento.
Escogemos 802.1x desde el mtodo de seguridad de capa 2 a utilizar. La parte inferior de la pantalla se actualiza para mostrar las opciones 802.1x con sus parmetros apropiados.
120
CCNP ONT
802.1x usa claves WEP 802.11 dinmicas. Las opciones son: 40/64 bits. 104/128 bits. 128/152 bits. Las claves de128/152 bits son soportadas solo por 802.11i, WPA y WPA2.
Escogemos WPA desde la seguridad de capa 2. Dejamos sin marcar pre-shared key para utilizar claves WPA dinmicas. El proceso de autenticacin usar una autenticacin 802.1x EAP con un servidor RADIUS.
6.5.8 WPA2
Escogemos WPA2 desde la lista de seguridad de capa 2. Las opciones de seguridad y los parmetros que aparecen ahora en la parte inferior son los siguientes: MODO DE COMPATIBILIDAD WPA: Esta opcin permite soporte para clientes WPA y WPA2 en el mismo SSID para soportar sistemas antiguos durante la migracin a WPA.
121
CCNP ONT
PERMITIR CLIENTES WPA-2 TKIP: Esta opcin permite soportar hardware antiguo que no puede ejecutar AES-CCMP pero que puede ejecutar WPA2. CLAVE PRE-COMPARTIDA: Cuando se marca esta opcin, podemos escoger habilitar un clave precompartida.
122