Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Ont

    Cargado por

    Luis Miguel De La Cruz
    88 vistas122 páginas

    Derechos de autor

    © Attribution Non-Commercial (BY-NC)

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    88 vistas122 páginas

    Ont

    Cargado por

    Luis Miguel De La Cruz

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 122

    ONT

    Optimizing Converged Networks


    Jaime de Roque

    CCNP ONT

    ndice
    Tema 1. Requisitos para la Conectividad de Red Convergente .................................................... 9 1.1 La evolucin de la telefona empresarial .................................................................... 9 1.1.1 El sistema telefnico Bsico....................................................................................... 9 1.1.2 Compaas de servicios telefnicos tradicionales ....................................................... 9 1.1.3 Tecnologas telefnicas digitales ................................................................................ 9 1.1.4 Servicios telefnicos digitales .................................................................................. 10 1.1.5 Servicios PBX y Centrex ........................................................................................... 10 1.1.6 Servicios de Larga Distancia ..................................................................................... 10 1.1.7 El concepto de Convergencia ................................................................................... 11 1.2 Descripcin de los Requisitos de las Redes Convergentes......................................... 11 1.2.1 Modelo de Red Jerrquico ........................................................................................ 11 1.2.2 Arquitectura Empresarial de Cisco ........................................................................... 11 1.2.3 Condiciones de trfico en una Red Convergente ...................................................... 12 1.2.4 IIN (Red de Informacin Inteligente) ........................................................................ 12 1.2.5 Marco Cisco SONA .................................................................................................... 13 Tema 2. Implementaciones VoIP de Cisco ................................................................................ 14 2.1 Introduccin a las redes VoIP ......................................................................................... 14 2.1.1 Beneficios de las redes VoIP .................................................................................... 14 2.1.2 Componentes de una red VoIP................................................................................. 14 2.1.3 Interfaces analgicas heredadas en redes VoIP ........................................................ 15 2.1.4 Interfaces digitales .................................................................................................. 15 2.1.5 Fases para completar una llamada telefnica VoIP................................................... 15 2.1.6 Control de Llamada Distribuido ................................................................................ 16 2.1.7 Control de Llamada Centralizado ............................................................................. 17 2.2 Digitalizacin y Empaquetado de la Voz ......................................................................... 17 2.2.1 Codificacin bsica de la voz: Convertir seales analgicas a seales digitales ........ 17 2.2.2 Codificacin bsica de la voz: Convertir seales digitales a seales analgicas ........ 18 2.2.3 Muestreo (Sampling) ............................................................................................... 18 2.2.4 Cuantizacin............................................................................................................ 18 2.2.5 Codificacin de la Voz Digital ................................................................................... 19 2.2.6 Companding (Compressing and Expanding) ............................................................. 19 2.2.7 Caractersticas de Cdecs de voz comunes .............................................................. 19 2.2.8 Seleccin de un Cdec usando un indicador de opiniones ....................................... 19 2.2.9 Vista del DSP con ms detalle.................................................................................. 20 2.3 Encapsular paquetes de voz para el transporte .............................................................. 20 2.3.1 Transporte de voz en redes conmutadas por circuitos ............................................. 20 2.3.2 Transporte de voz en redes IP ................................................................................. 20

    CCNP ONT
    2.3.3 Protocolos usados en la encapsulacin de voz......................................................... 21 2.3.4 Cdecs de encapsulacin de voz ............................................................................. 21 2.3.5 Reduccin de la carga con cRTP ............................................................................... 22 2.3.6 Cuando usar compresin de cabeceras RTP ............................................................. 22 2.4 Clculo de los requisitos de ancho de banda para VoIP .................................................. 22 2.4.1 Impacto del tamao de las muestras y del tamao del paquete en el ancho de banda ....................................................................................................................................... 22 2.4.2 Perodo empaquetado ............................................................................................. 23 2.4.3 Carga de Enlace de datos ........................................................................................ 24 2.4.4 Carga de Seguridad y de Tunneling .......................................................................... 24 2.4.5 Cabeceras Extra de Protocolos de Seguridad y Tunneling ......................................... 24 2.4.6 Clculo del ancho de banda total para una llamada VoIP ......................................... 24 2.4.7 Clculo de ancho de banda rpido........................................................................... 25 2.4.8 Efectos de VAD en el ancho de banda...................................................................... 26 2.5 Implementacin de VoIP en una red empresarial ........................................................... 26 2.5.1 Implementaciones empresariales de Voz ................................................................. 26 2.5.2 Despliegue de CAC ................................................................................................... 27 2.5.3 Funciones del Gateway de Voz en un router Cisco ................................................... 27 2.5.4 Funciones de Cisco Unified CallManager .................................................................. 27 2.5.5 Modelos de despliegue de telefona IP empresariales .............................................. 28 2.5.6 Configuracin Cisco IOS para VoIP ............................................................................ 29 Tema 3. Introduccin a QoS IP ................................................................................................. 31 3.1 Introduccin a QoS ......................................................................................................... 31 3.1.1 Tareas de calidad en redes convergentes................................................................. 31 3.1.2 Tareas de calidad en redes convergentes................................................................. 31 3.1.3 Medida del ancho de banda disponible ................................................................... 31 3.1.4 Incremento del ancho de banda disponible ............................................................. 32 3.1.5 Efectos del retardo de extremo a extremo y del Jitter .............................................. 32 3.1.6 Reduccin del Impacto del retardo en la calidad...................................................... 33 3.1.7 Prdida de Paquetes................................................................................................ 33 3.1.8 Gestin de la congestin. Formas de prevenir el borrado de paquetes ..................... 33 3.2 Implementando QoS Cisco IOS ........................................................................................ 34 3.2.1 Qu es QoS? ........................................................................................................... 34 3.2.2 Herramientas de gestin de congestin ................................................................... 35 3.2.3 Gestin de Colas (Herramientas de prevencin de congestin) ................................ 35 3.2.4 Preparacin para implementar QoS .......................................................................... 36 3.2.5 Paso 1: Identificar tipos de trfico y sus requisitos .................................................. 36 3.2.6 Paso 2: Definir clases de trfico ............................................................................... 36

    CCNP ONT
    3.2.7 Paso 3: Definir una poltica QoS ............................................................................... 37 3.3 Seleccin de un modelo de Poltica QoS apropiado ......................................................... 37 3.3.1 Los 3 modelos QoS .................................................................................................. 37 3.3.2 Modelo Best-Effort ................................................................................................... 37 3.3.3 Modelo IntServ ........................................................................................................ 37 3.3.4 RSVP y el modelo QoS IntServ .................................................................................. 39 3.3.5 Operacin de RSVP .................................................................................................. 39 3.3.6 El modelo DiffServ ................................................................................................... 40 3.4 Uso de MQC (CLI Modular QoS) para implementar QoS ................................................... 41 3.4.1 Mtodos de implementacin de Polticas QoS .......................................................... 41 3.4.2 Configuracin QoS con la CLI .................................................................................... 41 3.4.3 QoS CLI Modular ...................................................................................................... 42 3.4.4 Paso 1 QoS CLI Modular: Configurar los Class Maps .................................................. 42 3.4.5 Paso 2: Configurar Policy Maps ................................................................................ 43 3.4.6 Paso 3: Asociar la poltica a las interfaces................................................................ 44 3.4.7 Class Maps Anidados ............................................................................................... 44 3.4.8 Ejemplo MQC ........................................................................................................... 45 3.4.9 Comandos de verificacin bsica de MQC ................................................................ 45 3.5 Implementar QoS con SDM QoS Wizard ........................................................................... 45 3.5.1 Configurar QoS con Cisco SDM QoS Wizard ............................................................... 45 3.5.2 Creacin de la Poltica QoS ...................................................................................... 45 3.5.3 Monitoreo del Estado de QoS ................................................................................... 46 Tema 4. Implementando el modelo QoS DiffServ ...................................................................... 47 4.1 Introduccin a la clasificacin y marcado ....................................................................... 47 4.1.1 Clasificacin ............................................................................................................ 47 4.1.2 Marcado .................................................................................................................. 47 4.1.3 Clasificacin y marcado en la capa de enlace de datos ............................................ 47 4.1.4 Modelo DiffServ ....................................................................................................... 48 4.1.5 Procedencia IP y compatibilidad DSCP...................................................................... 49 4.1.6 Comportamientos por Salto ..................................................................................... 49 4.1.7 Grupos PHB Estndar ............................................................................................... 50 4.1.8 Mapeo del CoS al QoS de la capa de Red ................................................................. 51 4.1.9 Clase de servicio QoS definida ................................................................................. 51 4.1.10 Implementar una poltica QoS usando una clase de servicio QoS ............................ 51 4.1.11 Lmites de Confianza.............................................................................................. 52 4.2 Uso de NBAR para la clasificacin ................................................................................... 53 4.2.1 Reconocimiento de aplicacin basado en red (NBAR) ............................................... 53 4.2.2 Soporte de aplicacin NBAR ..................................................................................... 54

    CCNP ONT
    4.2.3 PDLM ....................................................................................................................... 54 4.2.4 Descubrimiento de Protocolos ................................................................................. 54 4.2.5 Configurar y monitorear el descubrimiento de protocolos NBAR ............................... 54 4.2.6 Configuracin de NBAR para protocolos estticos ..................................................... 55 4.2.7 Configuracin de NBAR stateful para protocolos dinmicos ...................................... 55 4.3 Introduccin a implementaciones de Colas..................................................................... 56 4.3.1 Congestin y colas................................................................................................... 56 4.3.2 Gestin de Congestin: algoritmos de colas ............................................................. 57 4.3.3 FIFO ......................................................................................................................... 58 4.3.4 Prioridad de colas (PQ) ............................................................................................ 58 4.3.5 Round Robin............................................................................................................ 58 4.3.6 Componentes de colas de router ............................................................................. 59 4.4 Configuracin WFQ ......................................................................................................... 59 4.4.1 Weighted Fair Queuing ............................................................................................. 59 4.4.2 Arquitectura WFQ y beneficios ................................................................................. 60 4.4.3 Clasificacin WFQ ..................................................................................................... 60 4.4.4 Insercin WFQ y poltica de borrado ......................................................................... 61 4.4.5 Ventajas y desventajas de WFQ................................................................................ 61 4.4.6 Configuracin de WFQ .............................................................................................. 61 4.4.7 Monitoreo de WFQ ................................................................................................... 61 4.5 Configurando CBWFQ y LLQ ............................................................................................. 62 4.5.1 Combinacin de mtodos de colas .......................................................................... 62 4.5.2 CBWFQ (Class-Based Weighted Fair Queuing) ............................................................ 62 4.5.3 Arquitectura CBWFQ, Clasificacin y Programacin ................................................... 63 4.5.4 Configuracin y Monitoreo de CBWFQ....................................................................... 64 4.5.5 LLQ (Cola de Baja Latencia) ...................................................................................... 64 4.5.6 Arquitectura LLQ y Beneficios ................................................................................... 65 4.5.7 Configuracin y Monitoreo de LLQ ............................................................................ 65 4.6 Prevencin de Congestin .............................................................................................. 66 4.6.1 Gestin de la congestin en Interfaces con Tail Drop ............................................... 66 4.6.2 Limitaciones de Tail-Drop ......................................................................................... 67 4.6.3 Uso de RED (Rando Early Detection) ........................................................................ 67 4.6.4 WRED (Weighted Random Early Detection) ............................................................... 68 4.6.5 Perfiles de borrado WRED ........................................................................................ 69 4.6.6 Configuracin de CBWRED ........................................................................................ 69 4.6.7 Perfiles WRED: WRED basado en DSCP (AF) ............................................................... 70 4.6.8 Monitoreo de CBWRED ............................................................................................. 71 4.7 Introduccin a las Polticas de Trfico y Modelado (Shaping) .......................................... 71

    CCNP ONT
    4.7.1 Vistazo a las Polticas de Trfico y Modelado (Shaping) ........................................... 71 4.7.2 Por qu usar condicionantes de trfico? ................................................................. 72 4.7.3 Policing vs. Shaping ................................................................................................. 73 4.7.4 Medida de cantidad de trfico con Tokens ............................................................... 73 4.7.5 Poltica basada en clases de cubo de tokens simple ................................................ 73 4.7.6 Mecanismos Cisco IOS de Policing y Shaping............................................................ 74 4.7.7 Aplicar polticas de trfico ....................................................................................... 74 4.8 Comprensin de los Mecanismos de eficiencia de los enlaces WAN ................................ 74 4.8.1 Mecanismos de eficiencia de enlaces ...................................................................... 74 4.8.2 Vistazo a la compresin........................................................................................... 75 4.8.3 Compresin del payload de Capa 2 .......................................................................... 76 4.8.4 Compresin de cabecera.......................................................................................... 76 4.8.5 Exclusin de paquetes grandes de voz en enlaces WAN lentos ................................ 77 4.8.6 Fragmentacin de enlace e Intercalado .................................................................... 77 4.8.7 Aplicando mecanismos de Eficiencia de Enlaces ...................................................... 78 4.9 Implementar Ple-clasificacin QoS .................................................................................. 78 4.9.1 Redes Privadas Virtuales (VPN) ................................................................................ 78 4.9.2 Implementar QoS con Pre-clasificacin ..................................................................... 78 4.9.3 Aplicaciones de Pre-clasificacin QoS ....................................................................... 78 4.9.4 Opciones de despliegue de pre-clasificacin QoS ..................................................... 79 4.10 Despliegue QoS extremo a extremo .............................................................................. 80 4.10.1 SLAs QoS (Acuerdos de Nivel de Servicio QoS) ........................................................ 80 4.10.2 Requisitos SLA tpicos de Voz ................................................................................. 81 4.10.3 Despliegue QoS extremo a extremo ........................................................................ 81 4.10.4 Implementaciones QoS en el Campus Empresarial.................................................. 82 4.10.5 Implementaciones QoS en el borde WAN ................................................................ 83 4.10.6 Diseo del Borde WAN ........................................................................................... 84 4.10.7 Control Plane Policing (CoPP) ................................................................................. 85 5. Implementar AutoQoS Cisco ................................................................................................. 87 5.1 Introduccin a AutoQoS .................................................................................................. 87 5.1.1 AutoQoS Cisco.......................................................................................................... 87 5.1.2 Evolucin AutoQoS ................................................................................................... 88 5.1.3 Despliegue de AutoQoS en switches......................................................................... 88 5.1.4 Cisco AutoQoS Empresarial: Restricciones de despliegue .......................................... 89 5.1.5 Consideraciones de Diseo ...................................................................................... 89 5.1.6 Pre requisitos del router .......................................................................................... 90 5.1.7 Despliegue de AutoQoS Empresarial en routers: Un enfoque de 2 pasos .................. 90 5.1.8 Verificacin de Cisco AutoQoS .................................................................................. 91

    CCNP ONT
    5.2 Tareas Comunes Cisco AutoQoS ...................................................................................... 93 5.2.1 Automatizacin con Cisco AutoQoS .......................................................................... 93 5.2.2 Mecanismos DiffServ habilitados por AutoQoS.......................................................... 93 5.2.3 Aprovisionamiento automtico para clases DiffServ con AutoQoS ............................. 95 5.2.4 Tareas comunes con AutoQoS .................................................................................. 95 5.2.5 Interpretar las configuraciones AutoQoS ................................................................... 95 5.2.6 Modificar la configuracin AutoQoS activa con la MQC ............................................. 96 5.2.7 Modificar la poltica AutoQoS generada con la MQC.................................................. 97 Tema 6. Implementar Escalabilidad Wireless ............................................................................ 98 6.1 Implementar QoS WLAN .................................................................................................. 98 6.1.1 Un estndar para el QoS WLAN ................................................................................. 98 6.1.2 Descripcin del QoS para WLAN ................................................................................ 98 6.1.3 Tiempo de Backoff en WLAN QoS RF ......................................................................... 98 6.1.4 Lightweight AP Arquitectura MAC partida............................................................... 99 6.1.5 Desafos WLAN QoS .................................................................................................. 99 6.1.6 Implementacin QoS en WLAN ................................................................................. 99 6.1.7 Etiquetado de Paquetes ......................................................................................... 100 6.1.8 Configuracin QoS WLAN ........................................................................................ 101 6.2 Introduccin a la seguridad Wireless ............................................................................ 102 6.2.1 La necesidad de seguridad WLAN ........................................................................... 102 6.2.2 WEP 802.11 ............................................................................................................ 102 6.2.3 Seguridad WEP Cisco 802.11 mejorada.................................................................... 103 6.2.4 Vistazo a 802.1x..................................................................................................... 103 6.2.5 LEAP ...................................................................................................................... 103 6.2.6 EAP-FAST................................................................................................................ 104 6.2.7 EAP-TLS .................................................................................................................. 105 6.2.8 PEAP...................................................................................................................... 105 6.2.9 Acceso Protegido Wi-Fi ........................................................................................... 106 6.2.10 Tareas WPA .......................................................................................................... 107 6.3 Gestin de WLANs ........................................................................................................ 108 6.3.1 Red Cisco Unified Wireless ..................................................................................... 108 6.3.2 Componentes e implementacin de WLAN Cisco .................................................... 109 6.3.3 CiscoWorks WLSE para la solucin WLAN autnoma ................................................ 109 6.3.4 Configuracin simplificada de CiscoWorks WLSE Express ........................................ 111 6.3.5 Cisco WCS para la solucin LWLAN ......................................................................... 111 6.3.6 Prestaciones del software WCS .............................................................................. 112 6.3.7 Interfaz de usuario WCS ......................................................................................... 113 6.3.9 Dispositivo Cisco Wireless Location ........................................................................ 114

    CCNP ONT
    6.4 Desplegando Cisco WCS ................................................................................................ 115 6.4.1 Ejemplo de configuracin del WCS ......................................................................... 115 6.4.2 Aadir un controlador WLAN al WCS ....................................................................... 115 6.4.3 Configurar un Punto de Acceso .............................................................................. 116 6.4.4 Agregar un mapa del campus a la base de datos del WCS...................................... 116 6.4.5 Deteccin de Puntos de acceso fakes .................................................................... 117 6.4.6 Localizacin de los AP rogues ................................................................................ 117 6.5 Configurar Cifrado y Autenticacin el Puntos de Acceso Lightweight ............................. 118 6.5.1 Configurar Autenticacin Abierta ............................................................................ 118 6.5.2 Configuracin de autenticacin con clave WEP esttica .......................................... 118 6.5.3 Configurar WPA con claves pre-compartidas........................................................... 119 6.5.4 Configurar autenticacin Web ................................................................................ 119 6.5.5 Personalizar la pantalla de login Web .................................................................... 119 6.5.6 Configurar autenticacin 802.1x ............................................................................. 120 6.5.7 Configurar WPA con 802.1x..................................................................................... 121 6.5.8 WPA2 ..................................................................................................................... 121

    CCNP ONT

    Tema 1. Requisitos para la Conectividad de Red Convergente


    1.1 La evolucin de la telefona empresarial
    1.1.1 El sistema telefnico Bsico
    Un sistema telefnico bsico consiste en cuatro elementos primordiales: - TELFONO: Que convierta el sonido en seales elctricas y viceversa. - UNA O MS INSTALACIONES CENTRALES: Para interconectar grupos de suscriptores locales. Los telfonos modernos usan TDM para digitalizar las seales analgicas de los suscriptores, asignando posteriormente cada una de ellas a slots de tiempo. - CONEXIONES A LAS INSTALACIONES CENTRALES: Desde los suscriptores al SP. - CONEXIONES ENTRE LOS MLTIPLES CENTROS: Para interconectar los SP mediante redes telefnicas. Para el suscriptor, Existen 4 formas de conectarse al sistema telefnico: - Usando conexiones cableadas dedicadas fsicas. - Mediante radio (usando mviles, satlite o radiotelfono) - Mediante VoIP.

    1.1.2 Compaas de servicios telefnicos tradicionales


    Los servicios de PSTN (Public Switched Telephone Network) y PTT (Postal, Telephone and Telegraph) en la mayora de los lugares del mundo portan la voz analgica sobre cables de cobre. Este servicio telefnico bsico a menudo es conocido como POTS (Post Office Telephone Service), aunque actualmente estas siglas se estn traduciendo como Plain Old Telephone Service (Servicio telefnico plano antiguo). Antes de la aparicin de los telfonos mviles, POTS era el nico servicio telefnico que la mayora de la gente conoca. Entre los servicios ofrecidos por la POTS, tenemos: seales bidireccionales o full-duplex que portan el sonido de la voz humana en ambas direcciones a la vez / seales de tono de marcado y de campana / Marcado del suscriptor / Servicios del operador, como asistencia de directorio, larga distancia y asistencia de llamada en conferencia / Alimentacin al telfono.

    1.1.3 Tecnologas telefnicas digitales


    La PSTN ha evolucionado a la telefona digital, mejorando la capacidad y la calidad de la red. En 1970 las compaas telefnicas comenzaron a modificar sus redes telefnicas analgicas actualizando secciones de transmisin de larga distancia de sus redes con tecnologas de fibra ptica. La transmisin digital hace posible portar mltiples circuitos conmutados digitalizados en un medio nico de transmisin (conocido como multiplexacin). Aunque los equipos del usuario se mantienen en su mayora analgicos, los switches en el intercambio telefnico (conocidos como switches de seales de voz analgicos) convierten las seales analgicas a seales digitales. Recientemente, los telcos comenzaron a mover sus redes digitales ms cerca de las instalaciones del cliente. Este cambio ha relegado al bucle local analgico a un estado de obsoleto. Generalmente, los telcos ofrecen servicios de transporte digital de una de las siguientes dos formas: RDSI provee un bucle local digital desde la oficina central a las instalaciones del cliente. En Norte Amrica y Japn, la tecnologa T1 (Transmission 1) provee lneas troncales entre intercambios. En Europa (E1), el funcionamiento es similar, con las siguientes salvedades: - Las lneas T1 y E1 son conexiones telefnicas dedicadas que soportan altos radios de datos. La portadora T1 es la ms usada en servicios de transmisin digital en los EE.UU., Canada y Japn. El estndar E1 se usa en Europa y otras partes del mundo. o Una T1 tiene 24 canales individuales, cada uno capaz de soportar el equivalente a una llamada telefnica analgica. La capacidad total de una lnea T1 es de 1,54 Mbps. Los ISP comnmente usan lneas T3 que proveen hasta 44,73 Mbps. Los circuitos T3 son alquilados comnmente por pequeas y medianas empresas. o Una lnea E1 tiene 32 canales de 64 Kbps y soporta un agregado de 2,04 Mbps. o T1 y E1 usan seales PCM (Pulse Code Modulation, ver imagen) en conjunto con TDM (multiplexaci n por divisin de tiempo). Cada canal de 64 Kbps puede configurarse para portar trfico de voz o de datos. Muchas compaas telefnicas ofrecen a los clientes canales individuales o fracciones de una T1. La lnea T1 originalmente usa cables de cobre pero en la actualidad tambin se ofrece sobre enlaces de fibra e inalmbricos. o Las lneas T1 son una opcin popular de lnea alquilada para conectar negocios a Internet y para conexiones entre ISP al backbone de Internet. - RDSI provee transmisin digital sobre el cable telefnico de cobre tradicional as como sobre otros medios. Conceptualmente, RDSI integra trfico de voz con datos digitales sobre la misma red. Los hogares y negocios reciben capacidades de datos de hasta 2 veces el obtenido con una conexin va mdem.

    CCNP ONT
    o RDSI requiere adaptadores en ambos finales de la transmisin (instalaciones del cliente y instalacin del SP). En muchos lugares donde los SP ofrecen lneas DSL y cable mdem, RDSI con es una opcin popular. o Existen 2 niveles de servicios RDSI. Ambos incluyen un nmero de canales B y un canal D. Cada canal B porta datos, voz y otros servicios a una velocidad de 64 Kbps. Cada canal D porta informacin de control y de sealizacin. BRI: Se usa para hogares y pequeas empresas. Contiene 2 canales B y un canal D. PRI: Se usa para usuarios mayores. Incluye 23 canales B en Norte Amrica y Japn y 30 en Europa, y un canal D. o RDSI se populariz como una tecnologa de red inteligente que aadira nuevos servicios a la PSTN dando a los usuarios acceso directo a circuitos end-to-end digitales. o PRI es usado comnmente en estudios de grabacin donde los actores de doblaje estn en un estudio mientras que el director y el productor estn en un estudio en otra parte. RDSI se usa ya que garantiza un servicio en tiempo real mucho ms fiable que a travs de Internet. Algunas compaas realizan llamadas de videoconferencia combinando 3 lneas BRI para crear una buena calidad de imagen.

    1.1.4 Servicios telefnicos digitales


    Con el desarrollo de la telefona digital, se agregaron nuevos servicios disponibles para el consumidor, como buzn de voz, ID de quien llama, llamada en espera, recordatorio de llamada, llamada por conferencia, etc

    1.1.5 Servicios PBX y Centrex


    Muchas empresas usan una PBX (Private Branch Exchange / Central Secundaria Privada). La mediana y gran empresa usan una PBX ya que resulta mucho menos caro que conectar una lnea de telfono externa a cada telfono de la organizacin. Adems, resulta ms sencillo realizar llamadas internas con una PBX usando slo 3 o 4 digitos. Se pueden conectar muchos telfonos a una PBX, pero los usuarios slo pueden compartir un cierto nmero de lneas externas para realizar llamadas al exterior. Normalmente, para asegurar la lnea externa, el llamante marca un dgito antes del nmero telefnico final. Para las empresas que no estn dispuestas o no son capaces de invertir en una PBX, algunas compaas telefnicas ofrecen servicios Centrex (Central Office Exchange Service). Centrex es una PBX virtual donde toda la conmutacin ocurre en la oficina telefnica en lugar de en las instalaciones del cliente. Tpicamente, la compaa telefnica es la propietaria de todos los equipos de comunicaciones necesarios para implementar la PBX, y vende varios servicios a las compaas. Algunos de los servicios ofrecidos por Centrex son: Transferencia de llamada / Desvo de llamadas (con no respuesta activado o con llamadas ocupadas) / Llamada en espera / Conferencia de 3 partes / Descuelgue en grupo / Llamada de vuelta / Alarmas / Remarcacin Los clientes Centrex pueden escoger entre una gran variedad de servicios especiales y prestaciones: - PACKS CENTREX: Se ofrece a los clientes un conjunto de prestaciones en diferentes lotes. Estos lotes se ofrecen a un consto relativamente bajo, donde la personalizacin del pack no est permitida. La prdida de personalizacin minimiza los costos operaciones de programacin y mantenimiento de los servicios. - DATA CENTREX: Provee servicios de datos de baja velocidad (56 y 64 Kbps) usando la red telefnica conmutada. Aunque han sido eclipsados por Internet y otras redes de datos, los servicios de datos Centrex pueden ofrecer configuraciones de red muy flexibles ya que las conexiones pueden realizarse en cualquier parte donde exista una red telefnica. - CENTREX PERSONALIZADO: Ofrece un conjunto de opciones altamente personalizables que requieren una programacin especial y unas habilidades de solucin de problemas que mantener. Una configuracin de Centrex personalizado permite marcados de 4 digitos entre personas de la misma red, llamadas locales (en ocasiones, las locales estn localizadas en diferentes partes de una ciudad), enrutamiento personalizado a travs de la red telefnica (como un enrutamiento de menor coste o de hora del da), y cdigos personalizados para solicitar prestaciones. Es la solucin ms cara.

    1.1.6 Servicios de Larga Distancia


    Los servicios de larga distancia representan un gasto significativo. Cuando los costos de larga distancia son relativamente altos, las compaas mantienen el control sobre este tipo de llamadas. Las lneas troncales de larga distancia normalmente usan tecnologas TDM y transportes T1 o E1. El servicio de larga distancia que se ofrece en Norte Amrica se conoce como WATS (Wide Area Telephone Service). Los planes WATS proveen acceso a lneas telefnicas de larga distancia para uso comercial con tasas reducidas. WATS puede ser saliente (OUT-WATS) entrante (IN-WATS) o ambos: - OUT-WATS: La llamada saliente puede realizar un nmero ilimitado de llamadas a larga distancia (toll calls / llamadas de peaje) con un precio medio entre un tiempo predeterminado y una distancia. La mayora de las compaas telefnicas comercial OUT-WATS como algo llamada plan de tarifa plana. Inicialmente, la asistencia del operador era necesaria para controlar el acceso a OUT-WATS desde

    10

    CCNP ONT
    una PBX. Siguiente la poltica de la compaa, los emisores solicitaban a la operadora de la compaa conectarse a una lnea OUT-WATS tendida a un sistema de larga distancia. Sin embargo, a medida que se redujeron los costes de las llamadas a larga distancia, la intervencin de la operadora fue desapareciendo. Los usuarios que quieren realizar una llamada desde dentro de una PBX normalmente slo necesitan aadir un prefijo para obtener acceso a nmero de larga distancia. - IN-WATS: Los suscriptores tienen un nmero de telfono libre de cuotas. El servicio IN-WATS reduce el tiempo que el operador gasta en procesar llamadas. Los cdigos de rea IN-WATS en Norte Amrica son 800, 888, 877 y 866, pero estn reservados ms de 800 para el futuro. Los usuarios dentro de un rea designada pueden llamar al telfono IN-WATS de una organizacin sin tener que pagar. Muchos negocios tienen nmero 800 gratuitos que pueden reenviar a mltiples call-centers.

    1.1.7 El concepto de Convergencia


    Antes de que las tecnologas de red permitieran la convergencia, las empresas contrataban redes separadas para las aplicaciones de voz, datos y vdeo, en la mayora de los casos, operando cada una de ellas de forma aislada. En pocas palabras, el trfico de voz usaba PBX y el trfico de datos Routers. Las PBX se conectan a lneas alquiladas, mientras que la red de datos usaba lneas alquiladas, Frame Relay o ATM. El desafo empresarial es optimizar la red para portar datos, voz y vdeo sobre una misma red comn. Esta consensuado por los expertos que IP ser el transporte universal del futuro. Usar IP como el mtodo de transporte ofrece a la empresa ganancias significativas en eficiencia de ancho de banda, facilidad de gestin, y la habilidad de desplegar nuevas aplicaciones rpidamente. Cuando las compaas se suscriben a modelos de red dispares, a menudo pagan por servicios que no estn usando. En un entorno convergente, el ancho de banda se comparte entre voz, vdeo y aplicaciones de datos. Cuando la voz es inactiva, los datos pueden usar el ancho de banda disponible. Cuando las aplicaciones de voz o vdeo estn activas, el ancho de banda requerido para su operacin est garantizado.

    1.2 Descripcin de los Requisitos de las Redes Convergentes


    1.2.1 Modelo de Red Jerrquico
    El modelo tradicional usa un modelo jerrquico de 3 capas. Inicialmente, el modelo provee un marco modular que permite de forma sencilla flexibilidad, implementacin y solucin de problemas. El modelo jerrquico divide la red en 3 bloques modulares, cada uno con prestaciones especficas: - CAPA DE ACCESO: Se encarga de dar acceso a los usuarios. En una red de campus, la capa de acceso usa switches LAN con puertos que proveen conectividad a usuarios finales y servidores. En esta capa se asocian enlaces WAN con sitios remotos y teletrabajadores. - CAPA DE DISTRIBUCIN: Utiliza switches que se encargan de segmentar grupos de trabajo y asilar problemas de red en un entorno de campus. Provee conectividad basada en polticas. - CAPA DE NCLEO: Tambin conocida como backbone. Su funcin primordial es conmutar paquetes a la mxima velocidad. Debe proveer un alto nivel de disponibilidad y adaptarse a los cambios rpidamente. Los diseadores de red pueden aplicar el modelo jerrquico a cualquier tipo de red, incluyendo LANs, WANS, WLANs, MANs y VPNs.

    1.2.2 Arquitectura Empresarial de Cisco


    Desde el punto de vista de un departamento de IT, la Arquitectura Empresarial de Cisco facilita el planeamiento, el diseo, la implementacin, la operacin y la solucin de problemas (PDIOT) centrndose en los elementos de la red y en las relaciones entre los mismos. La arquitectura empresarial de Cisco consiste en 5 elementos: / CAMPUS: Combina una infraestructura de ncleo de conmutacin y enrutamiento inteligente con tecnologas altamente integradas de mejora de la productividad, incluyendo comunicaciones IP, movilidad y seguridad avanzada. Provee prestaciones del tipo: Alta disponibilidad con un diseo multicapa y hardware y software redundante / Procedimientos automticos para reconfigurar rutas de red que han fallado / Multicast para optimizar el uso del ancho de banda / QoS para prevenir la eliminacin o el retraso de trfico sensible a demoras / Seguridad integrada para proteger y mitigar el impacto de virus, gusanos y otros ataques. Tambin soporta el uso de 802.1X. / Soporta el uso de IPsec y MPLS.

    11

    CCNP ONT
    / DATA CENTER: Es una arquitectura de red unificada y adaptativa. Soporta consolidacin, continuidad en el
    negocio y seguridad. Al mismo tiempo, habilita arquitecturas emergentes orientadas a servicios, virtualizacin y computacin bajo demanda. El departamento de IT provee un acceso seguro a las aplicaciones y recursos. Esta estructura simplifica la gestin y reduce de forma significativa la carga. Los centros de datos redundantes proveen copias de seguridad usando replicaciones. La red y los dispositivos de red ofrecen balanceo de carga de servidor y de aplicacin para maximizar el funcionamiento. Esta solucin permite a la empresa escalar sin realizar cambios mayores en la infraestructura. / BRANCH: Permite a las empresas extender las aplicaciones y servicios de la oficina central, como seguridad, comunicaciones IP y aplicaciones avanzadas a miles de localizaciones remotas y usuarios, o a un pequeo grupo de sucursales. Integra seguridad, conmutacin, anlisis de red y voz convergente dentro de routers ISR (integrated services routers) en la sucursal. Con esta integracin, las empresas pueden desplegar nuevos servicios sin necesidad de comprar nuevos equipos. Esta solucin provee acceso de voz seguro y transmisiones de datos crticos y aplicaciones de vdeo en cualquier lugar a cualquier hora. Se provee una arquitectura robusta con altos niveles de flexibilidad para todas las sucursales, mediante un enrutamiento avanzado, VPNs, enlaces WAN redundantes y procesamiento de llamadas telefnicas locales IP. / TELETRABAJADOR: Permite a las empresas entregar servicios de voz y datos seguros a oficinas hogareas pequeas (SOHOS) sobre un servicio de acceso de banda ancha (como DSL y cable mdem). La gestin centralizada minimiza el costo de soporte. / WAN: Provee servicios de voz, vdeo y datos sobre una red de comunicaciones IP nica. QoS, niveles de servicio granulares y un cifrado comprensivo ayudan a asegurar la seguridad entregando recursos de vdeo, voz y datos de alta calidad a todos los sitios corporativos. La seguridad se provee con VPNs multiservicio (IPsec y MPLS) sobre WANs de capa 2 o de capa 3, topologas hub-and-spoke o malla completa.

    1.2.3 Condiciones de trfico en una Red Convergente


    Las redes convergentes con voz, vdeo y datos integrados contienen una mezcla de patrones de trfico y requisitos. La diversidad de trfico impone el uso de medidas de calidad de servicio y de seguridad en la red. Los requisitos pueden variar significativamente, dependiendo del tipo de trfico. Los servicios QoS son imprescindibles en las redes convergentes. La seguridad es una tarea clave en una red convergente, y es especialmente importante en redes donde se implementa movilidad wireless, donde el acceso a la red es posible desde cualquiera virtualmente. Varias estrategias de seguridad, como endurecimiento de dispositivos con un control de acceso estricto y autenticacin, prevencin de intrusiones, deteccin de intrusiones y proteccin de trfico con cifrado, pueden mitigar las amenazas de seguridad a la red.

    1.2.4 IIN (Red de Informacin Inteligente)


    La visin de IIN tiene 3 prestaciones clave: - INTEGRACIN DE RECURSOS DE RED Y RECURSOS DE INFORMACIN: Las redes modernas con voz, vdeo y datos integrados permiten al departamento de IT enlazar la infraestructura ms de cerca con la red de informacin. - INTELIGENCIA A TRAVS DE MLTIPLES PRODUCTOS Y CAPAS DE INFRAESTRUCTURA: La inteligencia que se construye en cada componente de red extiende a la propia red y se aplica de fin-a-fin. - PARTICIPACIN ACTIVA DE LA RED EN LA ENTREGA DE SERVICIOS Y APLICACIONES: Con inteligencia aadida dentro de los dispositivos de red, el IIN hace posible que la red de forma activa gestione, monitoree y optimice los servicios y aplicaciones a lo largo del entorno empresarial completo. Con estas prestaciones, el IIN ofrece mucho ms que la conectividad bsica, ancho de banda para usuarios y el acceso a las aplicaciones. El IIN ofrece una funcionalidad end-to-end y un control centralizado y unificado que promueve la transparencia verdadera y la agilidad. La visin de IIN ofrece un enfoque evolutivo. Funcionalmente, puede ser aadido a la infraestructura de red existente en 3 fases:

    12

    CCNP ONT
    - TRANSPORTE INTEGRADO: IIN consolida datos, voz y video en una red IP para una convergencia segura. Integrando el transporte de estos 3 componentes en una red nica, basada en estndares y modular, las organizaciones pueden simplificar la gestin de la red y reducir costes de infraestructura. - SERVICIOS INTEGRADOS: Cuando se completa la convergencia, la red une y comparte, o virtualiza, recursos para lograr alcanzar las necesidades de la organizacin de forma ms flexible. Los servicios integrados unifican elementos comunes incluyendo almacenamiento y capacidad de servidor de centro de datos. - APLICACIONES INTEGRADAS: La tercera fase es una red orientada a aplicaciones (AON). AON se centra en hacer a la red consciente de las aplicaciones para que pueda optimizar el funcionamiento de las mismas y entregar aplicaciones de red a los usuarios de forma ms eficiente. Adems, ofrece funciones de balanceo de carga y seguridad a nivel de aplicacin.

    1.2.5 Marco Cisco SONA


    Cisco SONA es un marco arquitectnico que detalla el conjunto de servicios comunes que se despliegan en la red para cerrar huecos entre los recursos y las aplicaciones. Cisco SONA describe como construir una IIN. El marco Cisco SONA provee las siguientes ventajas: Guas de ruta hacia el IIN / Ilustra cmo construir servicios integrados para una convergencia IIN total / Mejora la flexibilidad e incrementa la eficiencia dando como resultado aplicaciones, procesos y recursos optimizados. La base de SONA es la premisa que la red es el elemento comn que conecta y habilita todos los componentes de la infraestructura de IT. Las guas de SONA se centran en las siguientes 3 capas del modelo IIN: CAPA DE INFRAESTRUCTURA DE RED: Esta capa interconecta todos los recursos de IT a travs de una red convergente. Los recursos de IT incluyen servidores, almacenamiento y clientes. Esta capa representa como estos recursos existen en diferentes lugares de la red, incluyendo el campus, sucursales, centros de datos, WAN y MAN y localizaciones de teletrabajadores. Esta capa provee conectividad en cualquier lugar a cualquier hora. CAPA DE SERVICIOS INTERACTIVOS: Esta capa entrega de forma eficiente la localizacin de los recursos a las aplicaciones y negocios a travs de la infraestructura de red. Incluye los siguientes servicios: Servicios de voz / Servicios de movilidad / Servicios de seguridad e identidad / Servicios de almacenamiento / Servicios de computacin / Servicios de aplicaciones de red / Virtualizacin de la infraestructura de red / Servicios de gestin / Servicios de gestin adaptativos. CAPA DE APLICACIN: Incluye aplicaciones de negocios y aplicaciones colaborativas. El objetivo de los clientes en esta capa es encontrar los requisitos de su negocio y lograr la eficiencia maximizando la capa de servicios interactivos.

    13

    CCNP ONT

    Tema 2. Implementaciones VoIP de Cisco


    2.1 Introduccin a las redes VoIP
    2.1.1 Beneficios de las redes VoIP
    Existen varios beneficios de usar redes VoIP: - USO MS EFICIENTE DEL ANCHO DE BANDA Y DEL EQUIPAMIENTO: Las redes telefnicas tradicionales usan un canal de 64 kbps para cada llamada de voz. Las redes VoIP comparten el ancho de banda a lo largo de mltiples conexiones lgicas. - MENORES COSTOS DE TRANSMISIN: Una cantidad sustancial de equipamiento es necesario para combinar canales de 64 kbps en enlaces de alta velocidad para transportarse a travs de la red. La VoIP multiplexa de forma estadstica el trfico de voz con el trfico de datos. Esta consolidacin provee ahorros sustanciales en el equipamiento y los costos operativos. - GASTOS DE RED CONSOLIDADOS: En lugar de operar con redes de datos y voz separadas, las redes de voz se convierten al uso de una arquitectura de conmutacin de paquetes para crear una red de comunicaciones integradas con un sistema de conmutacin y transmisin comn. - MEJORA DE LA PRODUCTIVIDAD DE LOS EMPLEADOS A TRAVS DE PRESTACIONES PROVISTAS POR LA TELEFONA IP: Los telfonos IP son slo telfonos: pueden considerarse dispositivos de comunicacin del negocio. Los telfonos IP ofrecen bsquedas de directorio y un acceso a bases de datos a travs de aplicaciones XML. Estas aplicaciones permiten la integracin de la telefona en una aplicacin empresarial. Por ejemplo, los empleados pueden usar el telfono para buscar informacin sobre un cliente a quien han llamado, buscar informacin del inventario e ingresar pedidos. - ACCESO A NUEVOS DISPOSITIVOS DE COMUNICACIN: La tecnologa de paquetes puede alcanzar a dispositivos que han sido inaccesibles a travs de infraestructuras TDM, como por ejemplo computadoras, dispositivos wireless, PDAs, etc. La tecnologa de paquetes habilita a las compaas a comerciar con nuevos dispositivos, como telfonos que incluyen vdeo, terminales multimedia y telfonos IP avanzados.

    2.1.2 Componentes de una red VoIP


    Una red VoIP tiene varios componentes, de los que podemos destacar: TELFONOS: Pueden ser telfonos IP, telfonos basados en software operando en un PC o telfonos tradicionales (analgicos o RDSI). GATEWAYS: Los gateways interconectan la red VoIP con los dispositivos telefnicos tradicionales. Son habitualmente routers habilitados para voz que proveen las siguientes funciones: En una parte, la lnea telefnica se conecta al gateway. El gateway conecta a la PSTN y se comunica con cualquier telfono del mundo. / En otra parte, el gateway conecta a la red IP y se comunica con cualquier computadora en el mundo. / El gateway toma las seales telefnicas estndar, las digitaliza (si no son ya digitales), las comprime, las hace paquetes usando IP, y las enruta a su destino a travs de la red IP. / El gateway invierte la operacin para los paquetes entrantes desde la red y se los hace llegar al telfono / Ambas operaciones (ida y vuelta a la red telefnica) tienen lugar al mismo tiempo, permitiendo una conversacin de 2 vas full-duplex. UNIDADES DE CONTROL MULTIPUNTO (MCU): Requeridas para conferencias. Si ms de 2 partes estn envueltas en una llamada, todos los miembros de la conferencia envan su trfico al MCU. El MCU mezcla los trficos y enva los mismos a los participantes. SERVIDORES DE APLICACIN: Proveen servicios basados en XML a los telfonos IP. Los usuarios tienen acceso a directorios y bases de datos a travs de aplicaciones XML. GATEKEEPERS: Son componentes tiles, pero opcionales. Proveen enrutamiento y gestin centralizada de todos los puntos finales (terminales, gateways y MCUs) en un lugar dado. El gatekeeper y los puntos finales forman una zona de gestin. AGENTES DE LLAMADA: Proveen control de llamada, CAC (Call Admission Control), control de ancho de banda y servicios de traduccin de direcciones a telfonos IP o a gateways. El CallManager de Cisco es un agente de llamada. El CallManager persigue a todos los componentes activos de la red VoIP incluyendo telfonos, gateways, etc. A menudo usa el protocolo SCCP (Skinny Client Control Protocol) para sealizar el hardware de los puntos finales del sistema, como telfonos IP. En cierta forma, el CallManager acta como una PBX IP. PUNTOS FINALES DE VDEO: Proveen prestaciones de vdeo telefona a los usuarios. Necesitan, al igual que el audio, una MCU cuando realizan multiconferencias.

    14

    CCNP ONT 2.1.3 Interfaces analgicas heredadas en redes VoIP


    Una red VoIP que incluye equipo legacy, como telfonos analgicos, necesita gateways que conviertan las seales analgicas en un formato digital y encapsulen las mismas en paquetes IP. Los gateways usan diferentes tipos de interfaces para conectar dispositivos analgicos, como telfonos, fax, o switches PBX o PSTN. Las interfaces analgicas que se usan incluyen estos 3 tipos: - FXS (FOREIGN EXCHANGE STATION): FXS es una interfaz telefnica que provee alimentacin, enva tono de marcado y genera voltaje de timbre. Un intercambio telefnico es un ejemplo de una FXS. En implementaciones VoIP, la interfaz FXS conecta a sistemas finales analgicos. El sistema final analgico usa la interfaz FXO (Foreign Exchange Office) en su lado. La interfaz FXS se comporta como un PSTN o una PBX de cara los telfonos, contestando a las mquinas o faxes con alimentacin, tono de timbre y tonos de marcado. Si una PBX usa una interfaz FXO, puede conectarse a una interfaz de router FXS. En este caso, la PBX acta como un telfono. - FXO (FOREIGN EXCHANGE OFFICE): Una FXO es una interfaz telefnica que conecta a la PSTN. La FXO genera indicadores de cuelgue/descuelgue que se usan para sealizar un cierre de bucle en el circuito. En implementaciones VoIP, la interfaz FXO se conecta a la PSTN o a una PBX. Tanto la PSTN como la PBX usan una interfaz FXS en su lado. La interfaz FXO del router se comporta como un telfono, obteniendo alimentacin, voltaje de timbre y tonos de llamada del otro lado del cable. Como se mencion, una PBX pueden usarse tambin con una interfaz FXO hacia el router, tomando el rol de telfono. - EYM (EAR AND MOUTH): Esta interfaz provee sealizacin para troncales analgicos. Los troncales analgicos interconectan 2 dispositivos del estilo PBX.

    2.1.4 Interfaces digitales


    Los gateways pueden usar interfaces digitales para conectarse a equipamiento de voz. Desde la perspectiva de hardware, existen interfaces BRI y T1/E1. Todas estas interfaces usan TDM para soportar mltiples canales lgicos.

    CAS y CCS son mtodos de sealizacin para T1/E1. BRI siempre usa CCS.

    2.1.5 Fases para completar una llamada telefnica VoIP


    Existen 3 componentes bsicos de control de llamadas: - CONFIGURACIN DE LLAMADA (CALL SETUP): El call setup chequea la configuracin de enrutamiento de llamada para determinar el destino de una llamada. La configuracin especifica los requisitos de ancho de banda para la llamada. Sabiendo estos requisitos, CAC determina si el ancho de banda es suficiente para soportar la llamada. Si no existe ancho de banda disponible, el call setup presenta un iniciador de llamada (call initiator) con una seal busy. Existen diferentes protocolos de control de llamada, como H.323, MGCP y SIP, con diferentes conjuntos de mensajes que intercambian los dispositivos durante la configuracin de la llamada. Sin embargo, todos los mensajes de estos protocolos consultan la misma informacin bsica: o Direccin IP de los dispositivos que quieren intercambiar VoIP. o Nmeros de puerto UDP que sern usados por el protocolo RTP (Real-Time Protocol) el cual porta el trfico de voz.

    15

    CCNP ONT
    o El formato (por ejemplo, el algoritmo de compresin) usado por la voz digitalizada. - MANTENIMIENTO DE LLAMADA: El mantenimiento de llamada genera contadores de paquetes, perdida de paquetes, jitter y retardos durante la llamada. La informacin se pasa los dispositivos habilitados para voz para determinar si la calidad de la conexin es buena o esta tan deteriorada que el gateway deba cerrar la conexin. - CALL TEARDOWN (TIRAR ABAJO LA LLAMADA): Notifica a los dispositivos habilitados para voz que dejen recursos disponibles para otras llamadas cuando una lado termina una llamada.

    2.1.6 Control de Llamada Distribuido


    Existen 2 tipos de control de llamadas: distribuido y centralizado. En el pasado, todas las redes de voz usaban una arquitectura centralizada en la cual los telfonos eran controlados por switches centralizados. Aunque este modelo funcion bien para los servicios de telefona bsica, se necesitaba un equilibrio entre una gestin simplificada y una innovacin en el servicio ofrecido. Uno de los beneficios de la VoIP es que permite a las redes usar una arquitectura centralizada o distribuida. Esta flexibilidad permite a las compaas construir redes caracterizadas por la simpleza de su gestin y por la innovacin, dependiendo del protocolo usado. En la figura se muestra el modelo distribuido en el cual mltiples componentes de la red manipulan el control de la llamada. Con el control distribuido, los dispositivos realizan la configuracin de la llamada, el mantenimiento y la finalizacin sin la intervencin de la compaa telefnica. 1/ Cuando el telfono detecta una solicitud de servicio (se descuelga), el gateway R1 enva un tono de marcado. 2/ Despus, R1 recoge los dgitos que marca el cliente. 3/ R1 busca el nmero marcado en su tabla de enrutamiento local de llamadas. De acuerdo a la misma, el nmero marcado usa el segundo gateway (R2). 4/ R1 ahora ingresa en la primera fase de la llamada (call setup), enviando el mensaje apropiado a R2. 5/ R2 recibe el mensaje call setup de R1. 6/ R2 busca el nmero llamado en su tabla de enrutamiento de llamada local. De acuerdo a esta tabla, el nmero llamado usa un puerto de voz local. 7/ R2 enva la llamada al puerto de voz local aplicndole el voltaje del timbre. En este ejemplo del modelo de llamada distribuida, R1 realiza la decisin local de enviar el mensaje call setup a R2 basndose en su tabla de enrutamiento de llamadas. R2, de nuevo, toma su decisin local (usando su tabla de enrutamiento de llamadas local) para que el dispositivo llamado pueda ser alcanzado en un puerto fsico. - SUPERVISIN DE LA LLAMADA: Durante la llamada, R1 y R2 monitorean la calidad de la llamada. En el modelo de llamada distribuido, si uno de los gateways detecta que la calidad no es aceptable, termina la llamada. Esta supervisin ocurre durante la segunda fase de la llamada, el call maintenance. - TERMINACIN DE LA LLAMADA: Si el usuario que llama conectado a R1 termina la llamada, R1 informa a R2 de la finalizacin. En el modelo distribuido, el gateway inicia la tercera fase de la llamada, el call teardown. El gateway termina la llamada y deja libre los recursos que estaban siendo utilizados por la llamada en cuestin. En despliegues grandes usando el modelo distribuido, se utilizan dispositivos especializados para una bsqueda centralizada de nmeros. Los gateways y puntos finales usan gatekeepers H.323 o servidores de red SIP para encontrar nmero que no conocen localmente.

    16

    CCNP ONT 2.1.7 Control de Llamada Centralizado


    En la figura se muestra un entorno donde un nico componente en la red, conocido como call agent manipula el control de la llamada. En el ejemplo, ambos gateways tienen el protocolo MGCP habilitado. Con MGCP habilitado, los gateways usan al call agent para realizar las siguientes funciones:

    PROCESAR LOS DIGITOS MARCADOS Y ENRUTAR LA LLAMADA: 1/ Despus de

    detectar una solicitud de servicio (el usuario descuelga el telfono), R1 informa al call agent de la solicitud. 2/ El call agent le dice a R1 que mande un tono de marcado y R1 recibe los dgitos que marca el usuario. 3/ R1 pasa cada dgito recibido (uno a uno) al call agent 4/ El call agent busca el nmero marcad en la tabla de enrutamiento de llamadas del agente. De acuerdo a la misma, el nmero de telfono solicitado se alcanza usando el segundo gateway (R2). El call agent tambin controla a R2 y, por tanto, sabe que nmeros de telfono puede alcanzar R2. Por ello, el call agent sabe a qu puerto de R2 debe enrutarse la llamada. 5/ El call agen enva un mensaje a R2 solicitando que pase la llamada a dicho puerto, que ser aquel que conecta al nmero de telfono de destino. Esto es un ejemplo de un modelo centralizado, donde toda la inteligencia de enrutamiento de llamada (en este caso, el call setup) se realiza en el call agent. El call agent instruye a los gateways en la forma de manipular la llamada, por lo que slo el call agent tiene una tabla de enrutamiento de llamadas. SUPERVISAR LA LLAMADA: Durante la llamada, R1 y R2 monitorean la calidad de la misma. En el modelo centralizado, si uno de los gateways detecta que la calidad no es la adecuada, pasa la informacin al call agent. El call agent ser el encargado de terminar la llamada. TERMINAR LA LLAMADA: Si el llamante que conecta a R1 finaliza la llamada, R1 informa al call agent de la terminacin. El call agent notifica a ambos gateways de la terminacin de la llamada VoIP y libera los recursos que estaban siendo usados por la llamada. El modelo centralizado permite a un dispositivo externo (el call agent) manipular la sealizacin y el procesamiento de llamada, dejando a los gateways traducir las seales de audio a paquetes de voz despus de cada call setup. Despus que se configura la llamada, la voz fluye directamente entre los dos gateways sin pasar por el call agent.

    2.2 Digitalizacin y Empaquetado de la Voz


    2.2.1 Codificacin bsica de la voz: Convertir seales analgicas a seales digitales
    Los sistemas VoIP recaen en procesadores de seales digitales (DSPs). Los DSPs convierten seales de voz analgicas a un formato digital, y viceversa. Tambin proveen funciones como compresin de la voz, cambios entre diferentes formatos de voz digitalizada (transcoding) y conferencias. Los DSPs son componentes de hardware a menudo localizados en mdulos de voz dentro de los gateways. El sampling (muestreo) es la tcnica que se usa para digitalizar informacin analgica. El muestreo es la reduccin de una seal continua a una seal discreta. Cuando se convierten ondas analgicas, los DSPs construyen una secuencia de muestras desde las cuales la seal analgica puede ser reconstruida de vuelta igual que sali desde el origen. En el ejemplo, una llamada se realiza desde un telfono analgico (Phone1) que se conecta al router R1, hacia un telfono analgico (Phone2) que est conectado al router R2. Los dos routers se conectan a una red IP. El usuario del Phone1 habla por el micrfono del telfono, y el telfono enva seales digitales al puerto FXS del router R1. El router R1 convierte la seal analgica recibida a una seal digital, y encapsula los bits en paquetes IP. La red IP porta los paquetes IP al router R2. Los DSPs de las tarjetas de voz en los routers habilitados para voz realizan la conversin de analgico a digital, siguiendo los siguientes pasos: 1/ MUESTREO: El DSP muestrea peridicamente la seal analgica. La salida del muestreo es una seal PAM medida en voltios. 2/ CUANTIZACIN: El DSP hace coincidir la seal PAM a una escala segmentada digital. Esta escala mide la amplitud (voltaje) de la seal PAM. 3/ COMPRESIN: El DSP comprime las muestras de voz para reducir los requisitos de ancho de banda.

    17

    CCNP ONT 2.2.2 Codificacin bsica de la voz: Convertir seales digitales a seales analgicas
    Cuando un router recibe entradas de voz en formato digital, convierte de vuelta estas seales a forma analgico antes de enviarla a las interfaces de voz analgicas. El proceso de digital a analgico es lo contrario del proceso de analgico a digital. Los DSP en las tarjetas de voz convierten las seales digitales a seales analgicas, siguiendo los siguientes pasos: 1/ DECOMPRESIN: Cualquier muestreo de voz comprimido primero se descomprime. 2/ DECODIFICACIN: El DSP decodifica las muestras de voz digital a los valres de amplitud de las muestras y reconstruye una seal PAM de la amplitud original. 3/ RECONSTRUCCIN DE LA SEAL ANALGICA: El DSP para la seal PAM a travs de un filtro correctamente diseado que produce una seal espejo analgica igual a la digitalizada anteriormente.

    2.2.3 Muestreo (Sampling)


    Cuando un DSP convierte una seal analgica a una forma digital, el DSP samplea primero la seal analgica. La frecuencia de muestreo impacta en la calidad de la seal digitalizada. Si la frecuencia de muestreo es baja, el DSP procesa demasiada poca informacin y la calidad resultante es degradada. El teorema de Nyquist es la base de la conversin analgica a digital. En trminos sencillos, este teorema dice que la reconstruccin de una seal desde las muestras tomadas es posible si la frecuencia de muestreo es mayor a 2 veces el ancho de banda de la seal. Los ingenieros seleccionan frecuencias de muestreo que cumplan los requisitos prcticos de la aplicacin especfica. En la figura se muestran 2 situaciones. En la primera, la frecuencia de muestreo es muy baja, y la informacin reconstruida es imprecisa. La reconstruccin prctica es imposible. En la segunda, se usa una frecuencia de muestreo mayor, y las seales PAM resultantes representan la forma de onda original, permitiendo una reconstruccin prctica. El teorema de Nyquist predice como trabaja un DSP. Cuando el DSP muestrea una seal de forma instantnea a intervalos regulares y se toman muestras al menos 2 veces a la mayor velocidad de frecuencia del canal, los samples contendrn suficiente informacin para permitir una reconstruccin apropiada de la seal en el receptor. Si tomamos muestras por encima del Nyquist estaremos realizando los que se conoce como oversampling. Los ingenieros han llegado a la decisin de tomar 8000 muestras por segundo para las aplicaciones de telefona. Aunque el odo humano puede escuchar sonidos de 20 a 20000 Hz, los canales de telfono operan en el rango de 300 a 3400 Hz.

    2.2.4 Cuantizacin
    Las aplicaciones telefnicas usan una frecuencia de muestreo de 8000 MHz para convertir una seal analgica a un formato digital. El DSP debe redondear el valor de cada muestra al nmero ms cercano en una escala que vara de acuerdo a la resolucin de la seal. El DSP convierte estos nmeros a binarios. La cuantizacin es el proceso de seleccionar nmeros binarios para representar el nivel de voltaje de cada muestra (la amplitud de la modulacin PAM). Los DSP usan la cuantizacin para aproximar los sonidos analgicos al valor binario ms cercano disponible. El DSP debe seleccionar el nmero binario que ms se aproxime al nivel de la seal de la muestra. La diferencia entre la seal analgica original y el nivel de cuantizacin asignado se conoce como error de cuantizacin o ruido de cuantizacin. Esta diferencia es el origen de la distorsin en la transmisin de sistemas digitales. El ruido y la distorsin son 2 fenmenos distintos. La distorsin es cualquier cambio en la seal que resulta en un resultado diferente al original. El ruido es informacin/seales adicionales aadidas a la original. Las aplicaciones telefnicas usan normalmente cuantizaciones de 8 bits. Los DSP representan todos los valores posibles de la forma de onda analgica con 256 valores de voltaje distintos, cada uno representado en un nmero binario de 8 bits. Estas aproximaciones no son exactas totalmente y contienen errores de cuantizacin (ruido), pero el resultado es ms que adecuado para representar la voz humana en aplicaciones telefnicas. En comparacin, los compact discs usan cuantizaciones de 16 bits, que permiten definir 65.536 niveles de voltaje diferentes. En la figura se presenta el ruido o error de cuantizacin. Las muestras tomadas que no se representan justo en la lnea que le corresponde representan un ligero cambio en la seal original cuantizada, puesto que no estn ubicndose en la posicin exacta en la que se crearon en el origen.

    18

    CCNP ONT 2.2.5 Codificacin de la Voz Digital


    Las muestras de voz digital se presentan en 8 bits/muestra. Cada muestra se codifica de la siguiente forma: - 1 BIT DE POLARIDAD: Indica si la seal es positiva o negativa. - 3 BITS DE SEGMENTO: Identifican el tamao del nmero de segmento logartmicamente (0-7). - 4 BITS DE PASO: Identifican el paso lineal dentro de un segmento. Debido a que la telefona toma muestras a 8000 muestras por segundo, el ancho de banda necesario por llamada es de 64 Kbps. (64000bps/8bits = 8000).

    2.2.6 Companding (Compressing and Expanding)


    El companding se refiere al proceso de comprimir primero una seal analgica en el origen y expandirla la misma de vuelta a su forma original cuando alcanza el destino. El trmino compandig viene de combinar 2 trminos, compressing y expanding, en una nica palabra. Un compander comprime muestras entrantes de seales analgicas en segmentos logartmicos. El compander cuantiza y codifica cada segmento usando una cuantizacin uniforme. Bell Systems defini el mtodo mu-law de cuantizacin que se usa en los sistemas de telecomunicaciones digitales de Norte Amrica y Japn. Este mtodo de cuantizacin fue adoptado como el algoritmo a-law en Europa y otras partes del mundo. Con estos mtodos, el rango de voltajes se representa con 16 segmentos (0 a 7 positivos y 0 a 7 negativos). Cada segmento tiene 16 pasos para un total de 256 puntos de escala. Comenzando con el segmento 0, el cual est ms cerca a la amplitud 0, los segmentos van tomando amplitudes mayores.

    2.2.7 Caractersticas de Cdecs de voz comunes


    La mayora de los esquemas de compresin se aprovechan del hecho de que los streams de datos tienen muchas repeticiones. Por ejemplo, mientras un bit 7 ASCII representa caracteres alfanumricos, un esquema de compresin puede usar un cdigo de 3 bits para representar las 8 letras ms comunes. En la voz, existen largas rfagas de silencio que pueden reemplazarse por un valor que indica cunto silencio hay, o cunto tiempo dura este silencio. De forma similar, en la compresin grfica, un valor puede reemplazar espacios en blanco en una imagen indicando el total de espacios en blanco que se reemplazan. Cuando las lneas troncales de la POST se pasaron a la tecnologa digital, usaron la modulacin por cdigo de pulso (PCM) para digitalizar las seales. Esta tcnica usa un cdec-decdec para muestrear la amplitud de una seal de voz 8000 veces por segundo y mostrar el resultado en valores de 8 bits. DPCM (Diferencia o Delta PCM) codifica los valores PCM como diferencias entre los valroes actuales y los previos (por ejemplo, si se representa un 7 binario y despus un 8, se podra usar un nico bit para definir un 1, que sera la diferencia entre los 2). Para el audio, este tipo de codificacin reduce el nmero de bits requeridos por muestra alrededor de un 25%, en comparacin con PCM. ADPCM (Delta PCM Adaptativo) es una variante de DPCM que vara el tamao de los pasos de cuantizacin para permitir una reduccin mayor del ancho de banda requerido para una seal dado. ADPCM usa una tcnica de codificacin especial que reduce los datos que se requieren para representar un sample, transmitiendo slo la diferencia entre una sample y el siguiente. Provee 48 canales de voz en una lnea T1 (con PCM eran 24). En la siguiente lista se muestran las tcnicas de codificacin ms populares con su bit-rat, estandarizadas por el ITU-T como series G: - G.711: Describe 64 kbps codificados con PCM. - G.726: Describe ADPCM codificando a 40, 32, 24 y 16 kbps. - G.728: Describe la compresin de voz con CELP a 16 kbps. - G.729: Describe la compresin de voz con CELP en streams de 8 kbps. - G.729A: Describe la compresin de audio en secciones de 10 ms.

    2.2.8 Seleccin de un Cdec usando un indicador de opiniones


    Las caractersticas ms importantes de un cdec son el ancho de banda requerido para el procedimiento y la degradacin de la calidad causada por la conversin y compresin de analgico a digital. El marcador de opiniones general (MOS) es un sistema que evala la calidad de la conexin telefnica que usa cdecs, basado en el juicio de varios suscriptores. Debido a que este marcador se grada por humanos, el resultado es subjetivo. MOS usa una escala de 1 (malo) a 5 (excelente). Un MOS de 5 representa una conversacin directa. En la siguiente tabla se expresan los valores de referencia tomados por MOS.

    19

    CCNP ONT 2.2.9 Vista del DSP con ms detalle


    Un DSP (Digital Signal Processor) es un procesador especializado usado para aplicaciones telefnicas. Se ocupa de las siguientes tareas: - TERMINACIN DE VOZ: El DSP termina llamadas al gateway que han sido recibidas desde o hacia interfaces de voz tradicionales. Estas interfaces pueden ser analgicas o digitales. El DSP convierte la seal analgica a digital (y viceversa) y provee cancelacin de eco, compresin, deteccin de actividad de voz (VAD), generacin de ruido confortable (CNG), eliminacin de jitter y otras funciones similares. - CONFERENCIA: En audio conferencia, los DSP mezclan flujos de voz desde mltiples participantes en una nica llamada de conferencia. Todos los participantes envan su audio al puente de conferencia (es decir, al DSP) donde los streams se mezclan y se envan de vuelta a los participantes. - TRANSCODING: El DSP toma un stream de voz de un tipo de cdec y lo convierte a otro cdec diferente. Por ejemplo, el transcoding toma un stream G.711 y lo transforma a un cdec de tiempo real G.729. En la figura se muestra un DSP y donde ira integrado en un mdulo de voz.

    Un DSP permite a los participantes de la conferencia utilizar cdecs diferentes (conferencia en modo mixto). Un DSP que se usa para conferencias en modo nico soporta slo un cdec que todos los participantes deben utilizar.

    2.3 Encapsular paquetes de voz para el transporte


    2.3.1 Transporte de voz en redes conmutadas por circuitos
    En entornos PSTN, los telfonos residenciales se conectan a los switches de la oficina central (CO) con circuitos analgicos. El ncleo de la red se compone de switches interconectados por troncales digitales, como se muestra en la figura. Cuando una persona realiza una llamada a un telfono, la fase call setup (establecimiento de llamada) ocurre en un primer lugar. El CO configura un circuito dedicado de extremo a extremo (DS-0) para la llamada. El switch del CO convierte las seales analgicas recibidas a un formato digital usando el cdec G.711. Durante la fase de transmisin, el circuito dedica el ancho de banda completo (64 Kbps) a la llamada, y debido a que todos los bits siguen el mismo camino, todas las muestras de voz llegan en orden. Cuando la llamada finaliza, los switches liberan los circuitos DS0 individuales, dejndolos disponibles para el uso de otras llamadas.

    2.3.2 Transporte de voz en redes IP


    En redes VoIP, los telfonos analgicos se conectan a gateways VoIP a travs de interfaces analgicas. Los gateways se conectan a travs de una red IP. Los telfonos IP se conectan a switches, y los switches se conectan directamente a los routers. Cuando una persona llama desde un telfono a otro, la fase call setup configura la llamada de forma lgica, pero no se asocian circuitos dedicados (lneas) con la llamada. El gateway convierte las seales analgicas recibidas en un formato digital usando un cdec, como G.711 o G.729 con compresin de voz. Durante la fase de transmisin, los gateways insertan paquetes de voz dentro de paquetes de datos y envan estos ltimos, uno por uno fuera de la red. Los anchos de banda de los enlaces entre routers

    20

    CCNP ONT
    individuales no usan TDM en circuitos separados sino que simplemente son circuitos de alto ancho de banda, portando paquetes IP desde varios dispositivos. Como se muestra en la figura, los paquetes de voz y datos comparten la misma ruta y los mismos enlaces. Los paquetes de voz entran a la red de forma peridica. Sin embargo, los paquetes pueden llegar a su destino a tiempos diferentes. Cada paquete encuentra diferentes retrasos en la ruta al destino, y los paquetes pueden tomar diferentes rutas al mismo destino. La condicin donde la llegada de los paquetes vara, a tasas impredecibles es conocida como jitter. Para que la voz pueda escucharse correctamente, se deben reinsertar los intervalos de tiempo correctos y asegurarse que los paquetes llegan en orden. Cuando se completa la llamada, el gateway que finaliza la misma (el que primero cuelgue) cierra de forma lgica la llamada y detiene el envo de paquetes de voz dentro de la red.

    2.3.3 Protocolos usados en la encapsulacin de voz


    Aplicaciones en tiempo real, como voz y vdeo, requieren una conexin garantizada con caractersticas de retardo consistentes y predecibles. IP no garantiza confiabilidad, control de flujo, deteccin de errores o correccin de errores. El resultado es que los paquetes pueden llegar al destino fuera de secuencia o con errores, o directamente no llegar. Existen 2 protocolos de transporte disponibles para superar las debilidades inherentes de IP: TCP y UDP. El tiempo que los dispositivos requieren para reensamblar los paquetes es importante. Por ejemplo, el jitter viene de una variacin en los tiempos de retardo que experimentan los paquetes en el stream de datos. Para reducir los efectos del jitter, la VoIP puede memorizar (buffer) datos en el extremo final del enlace para que los datos se produzcan de forma constante. Estas tareas son realizadas por 2 protocolos: - RTP (REAL-TIME PROTOCOL): Transporta las muestras digitalizadas de informacin en tiempo real. - RTCP (RTP CONTROL PROTOCOL): Provee reacciones basadas en la calidad del enlace de transmisin. RTP tiene otra funcin importante: reordenar los paquetes. En una red IP, los paquetes pueden llegar en un orden diferente que en el que se transmisin. Las aplicaciones a tiempo real deben saber el tiempo relativo de la transmisin del paquete. RTP coloca una marca horaria a cada paquete para proveer los siguientes beneficios: Los paquetes pueden ser correctamente reordenados / Los paquetes pueden tener retardos apropiados insertados. Antes que un dispositivo VoIP pase el payload del paquete a la aplicacin, el dispositivo debe asegurarse del orden correcto de los paquetes. Aunque TCP tambin realiza esta funcin, la transmisin de voz no necesita la funcin de retransmisin, y el ancho de banda adicional utilizado por una cabecera TCP hace ineficiente dicha opcin. Debido a que UDP y RTP usan cabeceras reducidas, estos protocolos no proveen un transporte fiable. Un dispositivo VoIP puede tener mltiples llamadas activas. El dispositivo debe seguir que paquete pertenece a cada uno. Para ello, se usan nmeros de puerto UDP para identificar a que llamada pertenece cada paquete. Durante el establecimiento de llamada, el dispositivo VoIP negocia los nmeros de puerto UDP para cada llamada y se asegura de que los mismos sean nicos para las llamadas actualmente activas. Los nmeros de puerto usados por RTP oscilan en el rango de 16384 a 32767.

    2.3.4 Cdecs de encapsulacin de voz


    Los dispositivos VoIP encapsulan la voz dentro de RTP y UDP antes de aadirles la cabecera IP. El tamao del paquete VoIP depende del cdec utilizado y del total de voz que se est empaquetando. El tamao de las muestras puede variar, pero para la voz, el payload mximo que puede enviarse es de unos 20 ms. La seleccin de la duracin de este payload es un compromiso entre los requisitos de ancho de banda y la calidad. Payloads ms pequeos requieren mayor ancho de banda ya que cada paquete usa 40 octetos de cabeceras. Sin embargo, si los payloads son ms grandes, el retardo total de la llamada se incrementa, y el sistema es ms susceptible de perder paquetes individuales por la red. En la figura se ven muestras de voz encapsuladas en un paquete IP con UDP y RTP. Cada muestra usa un cdec diferente, y se basa en la presuncin de 20 ms por paquete. Cuando las seales analgicas se digitalizan usando G.711, 20 ms de voz consisten en 160 muestras, con 8 bits por muestra. El resultado es 160 bytes de informacin de voz. Estos 160 bytes se encapsulan con una cabecera RTP (12 bytes), una cabecera UDP (8 bytes) y una cabecera IP (20 bytes). Por ello, el paquete IP completo usando G.711 tiene un tamao de 200 bytes. En contraste, 20 ms de voz usando el cdec G.729 consisten en 160 muestras, agrupadas en 10 muestras escritas con un cdigo de 10 bits. El resultado es 160 bits (20 bytes) de informacin de voz. El tamao completo del paquete con cabeceras resultar en 60 bytes.

    21

    CCNP ONT 2.3.5 Reduccin de la carga con cRTP


    La carga combinada de IP, UDP y RTP es enormemente alta, especialmente debido a que los paquetes de voz viajan en paquetes relativamente pequeos y a altas velocidades. G.729 necesita para una llamada unos 24 Kbps. G.711 requiere para una llamada 80 Kbps. La compresin de cabecera RTP (cRTP) reduce la enorme carga de ancho de banda usada por las cabeceras IP, UDP y RTP. El nombre de este proceso puede ser engaoso, ya que cRTP no slo comprime la cabecera RTP, sino tambin las cabeceras IP y UDP. cRTP se configura en una base enlace por enlace. Es posible usar cRTP en algunos enlaces dentro de la red IP. Cuando se configura cRTP un router que recibe un paquete cRTP en una interfaz y enruta el paquete a otra tiene que descomprimir el paquete en la primera interfaz y comprimir el paquete de nuevo en la segunda. cRTP comprime las cabeceras IP, UDP y RTP de 40 bytes a 2 bytes, si el checksum UDP no se conserva (esta es la configuracin por defecto en dispositivos Cisco) y a 4 bytes si se conserva dicho checksum. cRTP es especialmente beneficioso cuando el tamao del payload RTP es pequeo, por ejemplo, cuando se comprimen payloads de audio de entre 20 y 50 bytes (recordar que el problema era que si se enviaban paquetes ms pequeos se ocupaba un mayor ancho de banda con las cabeceras). cRTP trabaja con la premisa de que la mayora de los campos IP, UDP y RTP no cambian o que el cambio es predecible. Los campos estticos en las cabeceras incluyen IP origen y destino, puertos UDP origen y destino y otros campos adicionales. La compresin RTP usa los siguientes procesos: Condicin Accin El cambio es predecible El emisor sigue el cambio predicho El cambio predicho es seguido El emisor enva un hash de la cabecera El receptor predice que se producir un El receptor sustituye la cabecera original cambio almacenada y calcula los campos que cambian Existe un cambio inesperado El emisor enva la cabecera completa sin compresin

    2.3.6 Cuando usar compresin de cabeceras RTP


    Quitando las ventajas, existen ciertas desventajas a considerar antes de habilitar cRTP. Debemos considerar los siguientes factores: - Usaremos cRTP cuando necesitemos conservar ancho de banda en nuestros enlaces WAN, pero slo lo habilitaremos en enlaces lentos (de menos de 2 Mbps). - Consideraremos las siguientes desventajas: o cRTP aade una sobrecarga de procesamiento. Deberemos chequear los recursos disponibles en los routers antes de habilitar cRTP. o cRTP introduce retardos adicionales debido al tiempo que tarda en realizar la compresin y descompresin. - Afinaremos cRTP para limitar el nmero de sesiones que se comprimen en la interfaz. Por defecto son 16 sesiones. Si la CPU de nuestro router no puede gestionar 16 sesiones, debemos reducir el nmero de sesiones cRTP. Si el router tiene suficiente CPU y queremos comprimir ms de 16 sesiones en un enlace, configuraremos el parmetro a un valor superior.

    2.4 Clculo de los requisitos de ancho de banda para VoIP


    2.4.1 Impacto del tamao de las muestras y del tamao del paquete en el ancho de banda
    Cuando un dispositivo VoIP enva voz sobre redes por paquetes, el dispositivo encapsula la informacin de voz digitalizada dentro de paquetes IP. Esta carga de encapsulacin requiere un ancho de banda extra, determinado por los siguientes elementos: - TASA DE PAQUETES: La tasa de paquete especifica el nmero de paquetes que se envan en un intervalo de tiempo dado. La tasa de paquete es especificada normalmente en paquetes por segundo (pps). El periodo empaquetado es el total de tiempo de voz que ser encapsulado por paquete, y se especifica normalmente en milisegundos. - TAMAO DE PAQUETE: Especifica el nmero de bytes que son necesarios para representar la informacin de voz que ser encapsulada por paquete. El tamao de paquete depende del periodo empaquetado y del ancho de banda utilizado por el cdec. - CARGA IP: Nmero de bytes aadidos a la informacin de voz durante la encapsulacin IP. Es la suma de la carga aadida por los encabezados RTP, UDP e IP. - CARGA DEL ENLACE DE DATOS: Especifica el nmero de bytes aadidos durante la encapsulacin de capa 2. La carga de enlace de datos depende el protocolo de capa 2 usado, que puede ser diferente para cada enlace.

    22

    CCNP ONT
    - CARGA DE TUNNELING: Especifica el nmero de bytes aadidos por cualquier protocolo de seguridad o de tunneling, como IPsec, GRE o MPLS. Esta carga debe considerarse en todos los enlaces entre el origen y el destino. - CODECS: en la siguiente figura vemos el ancho de banda utilizado por cada cdec, lo cual es otro factor a tener en cuenta a la hora de decidir que cdec de audio utilizar en la organizacin.

    2.4.2 Perodo empaquetado


    En dispositivos VoIP, podemos especificar, adems del cdec, el total de voz que se encapsular por paquete. Normalmente, este valor es configurado por el periodo empaquetado en milisegundos. Un periodo empaquetado mayor resulta en un tamao de paquete ms grande, puesto que el payload es mayor. Sin embargo, este periodo mayor empaquetado resulta en una tasa de paquetes reducida, reduciendo la carga IP puesto que se generan menos paquetes.

    En la figura se contrastan 2 escenarios con diferentes perodos de empaquetado. En el primero, se empaquetan porciones de 20 ms de voz (160 muestras PCM). Si el empaquetado se realiza cada 20 ms es igual que se generan 50 paquetes por segundo. Para un total de 60 ms de voz, se necesitan 3 paquetes, cada uno con 20 ms de voz. Por ello, el empaquetado de estos 60 ms de voz incluye una carga adicional de 3 cabeceras IP, UDP y RTP. En el segundo escenario, se empaquetan partes de 30 ms de voz (240 muestras PCM). Este empaquetado resulta en una tasa menor de paquete de 33.3 paquetes por segundo (pps). Para cada 60 ms. De voz, slo se generan 2 paquetes, por lo que la carga IP se redunde en una tercera parte en comparacin con el primer escenario. El valor por defecto de empaquetado es la mayora de los dispositivos VoIP Cisco es de 20 ms. Este valor es el valor ptimo por defecto para la mayora de los escenarios. Si consideramos aumentar este valor para beneficiarnos de una carga IP menor, debemos considerar que un perodo de empaquetado mayor causar un mayor retardo. Este retardo extra se introduce durante el empaquetado ya que se tiene que recolectar ms informacin de voz antes de que el paquete se genere y se enve. En la figura se muestran ejemplos de encapsulaciones VoIP con los cdecs utilizados y los perodos de empaquetado. Como podemos ver, un perodo de empaquetado mayor incrementa el tamao del paquete IP mientras reduce la cantidad de paquetes. En la tabla, la carga IP se asume como de 40 bytes. Este valor es el valor normal de paquetes VoIP compuestos por 20 bytes de la cabecera IP, 8 bytes de la cabecera UDP y 12 bytes de la cabecera RTP. Si se usa cRTP la carga IP disminuye. Nota: Aparte, habra que sumarle la carga de la capa de enlace de datos que aqu no se incluye.

    23

    CCNP ONT 2.4.3 Carga de Enlace de datos


    Cuando un dispositivo VoIP enva paquetes sobre un enlace dentro de una red IP, el dispositivo encapsula los paquetes usando el protocolo de capa 2 que utilice ese enlace. Cada enlace puede usar un protocolo de capa 2 diferente. Imaginemos 2 telfonos IP comunicndose entre ellos a travs de una red Frame Relay. Antes de que el telfono transmisor enve un paquete VoIP dentro de la LAN, el telfono tiene que encapsular el paquete en una trama Ethernet. El router que recibe la trama elimina la cabecera Ethernet y encapsula el paquete VoIP en Frame Relay antes de enviarlo a la WAN. El router receptor realiza el proceso inverso. La cabecera Ethernet y la cabecera Frame Relay difieren en su tamao. La carga Ethernet es de 18 bytes (22 para tramas 802.1Q), y la de Frame Relay es de 6 bytes (al igual que la PPP). Cuando calculamos el ancho de banda de una llamada VoIP para un enlace en concreto, debemos considerar la carga apropiada del protocolo de capa 2.

    2.4.4 Carga de Seguridad y de Tunneling


    Los paquetes IP, y consecuentemente los VoIP, pueden ser asegurados usando IPsec. Existen 2 modos IPsec: Transporte y Tnel. En cualquiera de los 2 modos, los paquetes pueden protegerse con las cabeceras AH y ESP (ya se una o ambas). En el modo tnel, se genera una cabecera IP adicional, permitiendo el uso de VPN. De forma adicional, los paquetes IP pueden ser tuneleados sobre una amplia variedad de protocolos, como los siguientes: GRE, L2F, L2TP, PPPoE o 802.1Q. El agregado de la cabecera de tunneling incrementa el tamao del paquete original, resultando en unas necesidades de ancho de banda mayores, siendo especialmente dedicado en el transporte de paquetes VoIP, debido a las altas tasas de transmisin de paquetes de pequeo tamao.

    2.4.5 Cabeceras Extra de Protocolos de Seguridad y Tunneling


    Las cabeceras IPsec y de protocolos de tunneling tienen diferentes tamaos. La carga IPsec depende del uso de AH o ESP, el algoritmo de cifrado o autenticacin usado y del modo IPsec (transporte o tnel). ESP es usado de forma ms habitual ya que permite el cifrado de los datos. La cabecera ESP, usando DES o 3DES para el cifrado, y MD5 o SHA-1 para la integridad, aade de 30 a 37 bytes en el modo transporte. Cuando se usa AES como algoritmo de cifrado y AES-XCBC para la autenticacin, se aaden de 38 a 53 bytes en el modo de transporte. En modo tnel, se deben aadir a los clculos anteriores 20 bytes ms de una nueva cabecera IP. L2TP o GRE aaden 24 bytes a la trama original PPP. MPLS aade 4 bytes al paquete IP original y PPPoE aade una cabecera de 8 bytes PPPoE extra entre la trama Ethernet y el paquete IP.

    2.4.6 Clculo del ancho de banda total para una llamada VoIP
    Cuando se disean redes para VoIP, es crucial saber el ancho de banda total de una llamada VoIP necesita utilizar. Esta informacin se necesita para determinar la capacidad del los enlaces fsicos y desplegar un QoS y un CAC correcto. CAC limita el nmero de llamadas simultneas de voz. Este lmite previene la saturacin del enlace, causando degradacin de la calidad de las llamadas. QoS entrega prioridad a los paquetes de voz, previendo que se forme colas con altos retardos, lo cual afectara a la calidad de la voz. Para calcular el ancho de banda total de una llamada VoIP, seguiremos los siguientes pasos: - PASO1: Almacenar la informacin de empaquetado requerida. Primero, debemos determinar el ancho de banda del cdec que se usa para digitalizar las seales analgicas. El ancho de banda del cdec se especifica en Kbps y est normalmente en el rango de 8 a 64 Kbps. Necesitaremos tambin el perodo de empaquetado (en ms) o el tamao de empaquetado (en bytes). Si tenemos el ancho de banda del coden y uno de estos otros 2 valores, podemos calcular el valor restante. - PASO2: Almacenar la informacin del enlace requerida. La carga total que ser aadida por paquete en cada enlace es la siguiente parte de informacin necesaria. Esta carga depende de si se usa o no cRTP, del protocolo de capa 2 en uso, y de la carga de cada protocolo de capa 2 por paquete. IP, UDP y RTP tienen una carga de 40 bytes, sin el uso de cRTP. Con cRTP, la carga es de 2 a 4 bytes. Debemos asegurarnos de incluir la carga en bytes del protocolo de capa 2 en uso. Finalmente, debemos saber si existen otras prestaciones que causen una carga adicional y cuanta carga supone la misma. Como prestaciones adicionales tenemos seguridad, como VLANs, IPsec o aplicaciones de tunneling. - PASO3: Calcular el tamao de empaquetado o el perodo. Dependiendo del dispositivo de voz, debemos saber el perodo de empaquetado o el tamao de empaquetado (determinado en el paso 1). Calcular la informacin perdida basndonos en el valor conocido ms el ancho de banda del cdec, tambin obtenido en el paso 1. El tamao de empaquetado se expresa en bytes y el perodo de empaquetado en ms. - PASO4: Aadir juntos el tamao de empaquetado y todos las cabeceras y trailers. Aadir la carga IP, UDP y RTP (o cRTP), protocolo de capa 2, y cualquier otro protocolo que anotramos en el paso 2 al payload de la voz (tamao de empaquetado). Todos los valores deben ser en bytes. - PASO5: Calcular la cantidad de paquetes. Calcular cuntos paquetes sern enviados por segundo usando la multiplicacin inversa del perodo de empaquetado. Debido a que la tasa de paquetes se

    24

    CCNP ONT
    especifica en paquetes por segundo, debemos asegurarnos de convertir el valor en ms al perodo de empaquetado por segundos. - PASO6: Calcular el ancho de banda total. Multiplicar el tamao total de paquete o trama por la tasa de paquete para calcular el ancho de banda. Debido a que el tamao de paquete se expresa en bytes y el ancho de banda en kpbs, necesitamos convertir bytes a kilobits. Basndonos en este procedimiento, podemos calcular el ancho de banda usado por una llamada VoIP en un enlace especfico. Para el planteamiento de los enlaces fsicos, consideraremos el nmero mximo de llamadas que se supone podra realizarse y el ancho de banda necesario para otras aplicaciones diferentes a VoIP. A su vez, debemos asegurarnos que exista suficiente ancho de banda para las seales de call setup y call teardown. Siguiendo los pasos del procedimiento de clculo del ancho de banda, usaremos la siguiente frmula:

    BANDWIDTH [EN KBPS] = (TAMAO PAQUETE TOTAL [EN BYTES POR PAQUETE] * 8/1000)*TASA DE PAQUETE [EN PPS]. [EN BYTES POR PAQUETE] = CARGA DE CAPA 2 [EN BYTES POR PAQUETE] + OTRA CARGA [EN BYTES POR PAQUETE] + CARGA IP [EN BYTES POR PAQUETE] + TAMAO DE EMPAQUETADO [EN BYTES POR PAQUETE].Si no conociramos el tamao de empaquetado, usaramos la siguiente frmula: TAMAO DE EMPAQUETADO [EN BYTES POR PAQUETE] = (PERODO DE EMPAQUETADO [EN MS POR PAQUETE] / 1000) * ANCHO DE BANDA DEL CDEC [EN KBPS]*1000/8. Debido a que el tamao de empaquetado

    Multiplicamos el tamao de paquete total x 8 y /1000 para convertir los bytes a Kbps. - CLCULO DEL TAMAO DE PAQUETE TOTAL: Usaremos la siguiente frmula: TAMAO DE PAQUETE TOTAL

    est en bytes y el ancho de banda del cdec est en kilobits por segundo, convertimos el ancho de banda del cdec multiplicndolo por 1000 y dividindolo entre 8. Adems, debido a que las unidades en el ancho de banda del cdec (Kbps) y el perodo de empaquetado (ms por paquete) no son las mismas, el perodo de empaquetado tiene que convertirse multiplicando al mismo por 1000. - CLCULO DE LA TASA DE PAQUETE: La tasa de paquetes, especificada en pps, es la multiplicacin inversa del perodo de empaquetado, el cual se especifica en ms por paquete. Por ello, debemos convertir de ms a segundos para obtener un valor recproco: TASA DE PAQUETES [EN PPS] = 1 / (PERODO DE EMPAQUETADO [EN MS PP] / 1000). En ocasiones, no sabremos el perodo de empaquetado (ms pp), sino el tamao de empaquetado. En algunos dispositivos, se configura el tamao en lugar el perodo. Cuando esto suceda, calcularemos el perodo de empaquetado primero usando las siguiente frmula: PERODO DE EMPAQUETADO [EN MS PP] = (TAMAO DE EMPAQUETADO [EN BYTES PP]*8/1000) / (ANCHO DE BANDA DEL CDEC [EN KBPS] / 1000). Sumario: Asumiendo que conocemos el perodo de empaquetado (en ms pp), las frmulas para calcular el ancho de banda total se simplifican en:

    ANCHO DE BANDA [EN KBPS] = (8 * (CARGA CAPA 2 [EN BYTES PP] + OTRAS CARGAS [EN BYTES PP] + CARGA IP [EN BYTES PP] + PERODO DE EMPAQUETADO [EN MS PP] * ANCHO DE BANDA DEL CDEC [EN KBPS])/ PERODO DE EMPAQUETADO [EN MS PP].
    Si, en lugar del perodo de empaquetado se conoce el tamao de empaquetado (en bytes pp), usaremos la siguiente frmula:

    ANCHO DE BANDA (EN KBPS) = (ANCHO DE BANDA DEL CDEC [EN KBPS] / TAMAO DE EMPAQUETADO [EN BYTES PP])*(TAMAO DE EMPAQUETADO [EN BYTES PP] + CARGA CAPA 2 [EN BYTES PP] + OTRAS CARGAS [EN BYTES PP] + CARGA IP [EN BYTES PP]).

    2.4.7 Clculo de ancho de banda rpido


    En la figura se muestra una forma rpida de calcular el ancho de banda total cuando se da el tamao de empaquetado. El tamao del payload depende del intervalo de muestra y el cdec utilizado, siendo normalmente de 20 bytes para G.729 y 160 bytes para G.711, asumiendo intervalos de muestras de 20 ms. Las cabeceras siempre son de 40 bytes con IP, UDP y RTP, ms la cabecera del protocolo de capa 2. En nuestro caso, est es de 6 bytes ya que se usa Frame Relay como protocolo de capa 2. El resultado es de un ancho de banda por llamada de 26.4 kbps, tomando como cdec G.729, como vemos en la figura. Existen calculadoras en red que nos permiten realizar este clculo de forma automatizada, dndole solamente los valores que aparecen en la frmula de la figura.

    25

    CCNP ONT 2.4.8 Efectos de VAD en el ancho de banda


    En una red telefnica switcheada, debido a la naturaleza de la red, el ancho de banda de una llamada est permanentemente disponible y dedicado a esa llamada. No hay forma de aprovecharse de las pausas de voz, las transmisiones de audio de una va o cosas similares cuando un enlace no est siendo usado. En una red de paquetes, sin embargo, la VAD (Voice Activity Detection) puede tomar ventaja del hecho de que un tercio de la media de la llamada consiste en silencios. VAD detecta el silencio causado, por ejemplo, por pausas de voz o por transmisiones de una va, mientras un usuario est oyendo una meloda de espera (Music on Hold MoH) cuando est siendo transferido. VAD suprime la transmisin del silencio y, por tanto, salvaguarda ancho de banda. El total de ancho de banda salvado por VAD depende de varios factores: - TIPO DE AUDIO: Durante una conversacin humana, las 2 partes generalmente no hablan a la vez. Cuando se ejecuta MoH, la llamada normalmente se vuelve de una va. La persona que escucha la msica no enva ningn audio y no tienen que transmitirse paquetes mientras que la llamada est en espera. - NIVEL DE RUIDO DE FONDO: VAD necesita detectar silencio para ser capaz de suprimir los silencios. Si el fondo es demasiado ruidoso, VAD no podr detectar silencio y continuar la transmisin. - OTROS FACTORES: Las diferencias en el lenguaje y el carcter de los interlocutores tienen un impacto en el total de silencio detectado en una llamada. Algunas llamadas, como conferencias o difusiones donde slo uno de los pocos participantes habla y la mayora de los dems escucha, permite un mayor ahorro de ancho de banda que otro tipo de llamadas.

    Como media, VAD permite el ahorro de alrededor a un 35 % del ancho de banda. En la figura se muestra una estadstica segn varios factores.

    2.5 Implementacin de VoIP en una red empresarial


    2.5.1 Implementaciones empresariales de Voz
    Los gateways interconectan a sistemas de telefona tradicional, como telfonos analgicos o digitales, PBX o la PSTN. En la figura se muestra una compaa con el HQ en Chicago, 2 oficinas en San Francisco, y una pequea en Dallas. En Chicago, existen 3 HQ que se conectan mediante una MAN. La oficina principal de West Coast de San Francisco se conecta con la de San Jose mediante una MAN. Dallas tiene una nica oficina en su distrito. Las 3 localizaciones principales de la compaa (Chicago, San Francisco y Dallas) se conectan mediante una WAN IP. Las 3 localizaciones tienen cada una un clster Cisco Unified CallManager sirviendo a los telfonos IP locales y a los telfonos IP localizados en los sitios MAN interconectados. En el campus Airport en Chicago, los telfonos IP no se usan ya que la compaa est usando un servicio de gestin telefnica ofrecido por el propietario del edificio. Sin embargo, un gateway de voz se conecta a la PBX, permitiendo llamadas VoIP hacia y desde la oficina Airport a travs del gateway. Adems, cada sitio tiene un gateway de voz que conecta a la PSTN, permitiendo llamadas fuera de la red. Estos routers gateway se equipan con DSPs que proveen recursos de conferencia y transcoding. Dentro de cada rea, se usa el cdec G.711, mientras que las llamadas entre las 3 reas usan el cdec G.729. Si la WAN IP falla, o si las llamadas se deniegan por CAC, las llamadas se re-enrutan a travs de la PSTN.

    26

    CCNP ONT 2.5.2 Despliegue de CAC


    La telefona IP ofrece CAC para limitar el nmero de llamadas de voz simultneas permitidas de forma que previene la extenuacin de los recursos WAN. Sin CAC, si se activan demasiadas llamadas y se enva demasiado trfico de voz a la vez, pueden producirse retardos y borrado de paquetes. An dando a los paquetes RTP una prioridad absoluta sobre los dems tipos de trfico no eliminamos el problema de que el ancho de banda total fsico del enlace sea suficiente para los paquetes de voz, puesto que todos los paquetes RTP se tratan por QoS de la misma forma (no se puede dar ms prioridad a ciertos paquetes RTP). En la figura, existe un escenario con 2 sitios y 3 telfonos en cada sitio conectados a un gateway VoIP a travs de una PBX. Los 2 gateways se conectan mediante una red IP. La red se ha diseado para permitir un mximo de 2 llamadas simultneas. SI no se usa CAC, en cualquier momento en el existan 3 llamadas activas, las 3 llamadas experimentarn severas degradaciones en la calidad de la voz. Cuando se usa CAC, el gateway se configura para permitir no ms de 2 llamadas a la vez. Cuando se intenta la tercera llamada, la misma se bloquea. Con su uso, no se deben experimentar problemas de calidad.

    2.5.3 Funciones del Gateway de Voz en un router Cisco


    Los routers Cisco, especialmente los ISR, pueden equiparse con interfaces de telefona tradicional para actuar como gateways para dispositivos analgicos y digitales, incluyendo telfonos, faxes, PBX y PSTN, permitiendo a los mismos interactuar con redes VoIP. Los gateways con interfaces analgicas convierten las seales analgicas a un formato digital antes de encapsular la voz dentro de paquetes IP. Pueden comprimir la voz digitalizada antes de que se produzca la encapsulacin. Esta compresin reduce el ancho de banda necesario para cada llamada. Los routers Cisco soportan H.323, SIP y MGCP para la sealizacin de la voz. Adems, los gateways pueden equiparse con DSPs, donde se proveen recursos de conferencia y transcoding. En entornos de telefona IP, los gateways pueden soportar escenarios de fallo para telfonos IP que pierden la conectividad IP con su call agent (CallManager). Esta prestacin, llamada SRST (Cisco Survivable Remote Site Telephony) habilita al gateway a tomar el rol del agente de llamada durante un fallo WAN. Las llamadas locales pueden realizarse an si se ha perdido la conectividad con el CallManager. Adems, los routers Cisco IOS pueden actuar permanentemente como un agente de llamada para telfonos IP. La prestacin que provee esta funcionalidad es Cisco Unified CallManager Express. El router provee funciones de CallManager. Si el router es tambin un gateway de voz, el router combina funciones de telefona IP y gateway VoIP en un nico chasis.

    2.5.4 Funciones de Cisco Unified CallManager


    Cisco Unified CallManager es una PBX basada en IP. Acta como agente de llamada para telfonos IP y gateways MGCP y puede interactuar con dispositivos H.323 o SIP. Se puede realizar un clster de mltiples servidores Cisco Unified CallManager con propsitos de balanceo de carga y redundancia. Las 6 funciones principales realizadas por Cisco Unified CallManager son: - PROCESAMIENTO DE LLAMADA: Procesa llamadas entre dispositivos finales y gateways. El procesamiento incluye decisiones de enrutamiento de llamada, sealizacin entre los dispositivos afectados y auditora de llamadas. Adems, se pueden configurar CoS (clase de servicio) y gestin de ancho de banda para influenciar el procesamiento de las llamadas. - ADMINISTRACIN DEL PLAN DE MARCADO: Acta como un agente de llamadas para los telfonos IP y los gateways MGCP eliminando la necesidad de tablas de enrutamiento locales en estos dispositivos. Slo el call agent (lo que sera el Cisco Unified CallManager) necesita saber el plan de marcado. Esto significa que todo el plan de administracin de marcado se realiza en el Cisco Unified CallManager. - SEALIZACIN Y CONTROL DE DISPOSITIVOS: En el rol de call agent, el Cisco Unified CallManager controla telfonos IP y gateways MGCP diciendo a estos dispositivos qu hacer en ciertos eventos. Por ejemplo, cuando un telfono IP informa al Cisco Unified CallManager que el usuario ha descolgado el telfono, el Cisco Unified CallManager le dice al telfono IP que actualice la pantalla y le d un tono de marcado. - ADMINISTRACIN DE PRESTACIONES DEL TELFONO: La configuracin completa del telfono IP se ingresa y almacena en el Cisco Unified CallManager. El telfono IP carga su fichero de configuracin durante el arranque. La administracin de telfonos IP est totalmente centralizada. - SERVICIOS DE DIRECTORIO Y XML: El Cisco Unified CallManager provee acceso a directorios. Los telfonos IP pueden usarse para realizar bsquedas en directorios disponibles. Tambin, los telfonos IP pueden usarse como aplicaciones conscientes de XML.

    27

    CCNP ONT
    - PROGRAMACIN DE INTERFAZ PARA APLICACIONES EXTERNAS: A travs de una interfaz programada, las aplicaciones externas pueden integrarse con la solucin telefnica del Cisco Unified CallManager. Ejemplos de ello son la aplicacin de PC Cisco IP Communicator, Cisco IP Interactive Voice Response (IVR), Cisco Personal Assistant, y la consola Cisco Unified CallManager Attendant. El Cisco IP Communicator es un telfono virtual, representado por una pantalla interactiva en un PC. En la figura se muestra una compaa utilizando Cisco Unified CallManager. La compaa tiene 2 sitios: HQ y una oficina. Un clster Cisco Unified CallManager se localiza en el HQ. Cada sitio tiene un gateway de voz para el acceso a la PSTN. En el ejemplo, un usuario en la oficina branch quiere hacer una llamada a un usuario localizado en HQ. El proceso de la llamada sera el siguiente: - PASO1: Cuando el usuario de la sucursal marca el nmero de telfono, el telfono IP enva un mensaje de sealizacin a un miembro del clster Cisco Unified CallManager. - PASO2: El servidor Cisco Unified procesa la llamada buscando el nmero marcado en la tabla de enrutamiento de llamadas Cisco Unified CallManager. - PASO3: Cuando el servidor Cisco Unified CallManager determina la direccin IP del telfono de destino, enva un mensaje de sealizacin al telfono de destino. El telfono de destino comienza a sonar, y el usuario al que se est llamando puede aceptar la llamada. - PASO4: Una vez aceptada, el telfono comienza a enviar y recibir paquetes RCP que portan seales de aucio.

    2.5.5 Modelos de despliegue de telefona IP empresariales

    SITIO NICO: Una empresa puede desplegar una solucin VoIP en un nico sitio. En este caso, hay un cluster Cisco Unified que sirve slo a telfonos locales.

    MULTISITIO CON PROCESAMIENTO DE LLAMADA CENTRALIZADO: La empresa puede desplegar


    una solucin VoIP en mltiples sitios con un procesamiento de llamada centralizado. Con este modelo, existe un nico clster Cisco Unified que se localiza en uno de los sitios. El clster Cisco Unified sirve a los telfonos locales y remotos.

    MULTISITIO CON PROCESAMIENTO DE LLAMADA DISTRIBUIDO: La empresa puede


    desplegar una solucin de telefona IP en mltiples sitios con un procesamiento de llamada distribuido. Con este modelo, hay un clster Cisco Unified en cada sitio. Cada clster Cisco Unified sirve a los telfonos IP locales.

    28

    CCNP ONT
    CLUSTERS SOBRE WAN: Una empresa puede desplegar una solucin VoIP en mltiples sitios. En este despliegue, los servidores Cisco Unified se localizan en ms de un sitio. Sin embargo, todos los servidores pertenecen a un clster nico. Los miembros de este clster se separan por una WAN IP. Los telfonos IP normalmente usan el servidor local como su agente de llamada. En este modelo se requiere que exista un retardo no mayor a 40 ms entre cada pareja de servidores.

    2.5.6 Configuracin Cisco IOS para VoIP


    Los routers Cisco pueden usarse como gateways VoIP. Para una configuracin VoIP bsica, se necesitan 2 gateways. Ambos necesitan una conexin a un dispositivo de telfono tradicional, como un telfono analgico. Los gateways tienen que tener conectividad IP.

    En la figura, el primer router tiene estas configuraciones: Nombre R1 // IP: 10.1.1.1/24 // Interfaz IP: Fa 0/0 // Puerto de voz: 1/0/0 // Extensin del telfono conectado al puerto de voz: 1111. En el segundo router, las configuraciones son similares: Nombre R2 // IP: 10.2.2.2/24 // Interfaz IP: FA 0/0 // Puerto de voz: 1/0/0 // Extensin del telfono conectado al puerto de voz: 2222. Un dial-peer describe donde encontrar un nmero de telfono, y la coleccin de dial peers forma la tabla de enrutamiento de llamadas de un gateway de voz. Dos tipos de dial peers se muestran en este ejemplo: pares de llamada POTS y pares de llamada VoIP. POTS indica que el nmero de telfono especificado en el dial-peer se encuentra en un puerto fsico. Un dial peer VoIP se refiere a la IP del dispositivo VoIP. Comando Descripcin Dial-peer voice <etiqueta> <tipo> Ingresamos al modo de subconfiguracin de dial peer. El valor de etiqueta es un nmero que ha de ser nico para todos los dial peers dentro del mismo gateway. El valor del tipo indica el tipo de dial peer (POTS o VoIP). Destination-pattern <n telfono> Ingresado en el submodo dial peer, define el nmero de telfono que se le aplica al dial peer. Una llamada enviada a este nmero se enruta de acuerdo al tipo de configuracin y de puerto (en el caso de un dial peer tipo POTS) o sesin objetivo (en el caso de un dial peer del tipo VoIP) del dial peer. Nmero de Puerto El comando port, ingresado en el submodo POTS del submodo dial peer define el nmero de puerto que se aplica al dial peer. Las llamadas que se enrutan usando este dial peer se envan al puerto especificado. Este comando se usa slo en dial peers POTS. Session target ipv4: <direccin IP> Ingresado en el modo de subconfiguracin de dial peer en VoIP, defina la IP del dispositivo VoIP

    29

    CCNP ONT
    objetivo que se aplica al dial peer. Las llamadas que se enrutan usando este dial peer se envan a la direccin IP especificada. Este comando slo puede configurarse en dial peers de VoIP.

    30

    CCNP ONT

    Tema 3. Introduccin a QoS IP


    3.1 Introduccin a QoS
    3.1.1 Tareas de calidad en redes convergentes
    Antes de que la convergencia de red fuera algo comn, la ingeniera de red se centraba en la conectividad. En las redes de datos se pueden dar olas de informacin. Por ejemplo, cuando recibimos un e-mail, generalmente no se percibe un retraso de unos pocos segundos. Un retraso de varios minutos puede ser molesto, pero no serio. Cada aplicacin tiene caractersticas diferentes de trfico y de requisitos. En una red convergente, constante, pequeos paquetes de voz fluyen compitiendo con olas de flujos de datos. Aunque los paquetes de voz son tpicamente muy pequeos, stos no toleran retrasos o variaciones, donde la voz que portan puede ser incomprensible en el destino. Por el contrario, los paquetes que portan archivos son tpicamente grandes y la naturaleza de IP les permite retrasos e inclusive prdidas. Las redes convergentes deben proveer seguridad y servicio garantizado. Los administradores de red y arquitectos logran el funcionamiento requerido gestionando los retardos, variaciones de los retardos (jitter), aprovisionamiento de ancho de banda y tcnicas QoS. Los streams multimedia, como los usados en VoIP o videoconferencia son muy sensibles a demoras de entrega y crean demandas QoS nicas. Si el proveedor de servicio se basa en una red de mayor esfuerzo, los paquetes pueden no llegar en orden o de forma oportuna. El resultado son imgenes distorsionadas, movimientos lentos y sonido no sincronizado con la imagen.

    3.1.2 Tareas de calidad en redes convergentes


    Los retardos causan una interactividad en la llamada pobre, la cual causa eco y superposicin de interlocutores. El eco es el efecto del reflejo de la seal de voz emitida por un interlocutor volviendo por el altavoz del mismo. La superposicin de interlocutores se causa cuando se producen retardos de una va mayores a 250 ms. La peor causa del retardo es la desconexin de una llamada. Si existen interrupciones en el habla, alguna de las 2 partes colgar la llamada. Si existen problemas de sealizacin, la llamada se desconectar. Las redes convergentes empresariales deben realizar 4 tareas mayores: - CAPACIDAD DE ANCHO DE BANDA: Ficheros de grficos grandes, usos multimedia y el incremento del uso de voz y vdeo causan problemas de capacidad de ancho de banda en redes de datos. - RETARDOS DE EXTREMO A EXTREMO (FIJOS Y VARIABLES): El retardo es el tiempo que tarda un paquete en alcanzar al extremo receptor despus de transmitirse por el emisor. Este perodo se conoce como retardo de extremo a extremo, y consiste en 2 componentes: o RETARDO DE RED FIJO: Los 2 tipos de retardos de red fijos son la serializacin y los retardos de propagacin. La serializacin es el proceso de colocar los bits en el circuito. A mayor velocidad del circuito, mayor velocidad del enlace y menos retardo de serializacin. El retardo de propagacin es el tiempo que tardan las tramas en transmitirse por el medio fsico. o RETARDO DE RED VARIABLE: El retardo de procesamiento es un tipo de retardo variable y es el tiempo requerido por un dispositivo de red en buscar una ruta, cambiar las cabeceras y completar otras tareas de conmutacin. En muchos casos el paquete es manipulado, como por ejemplo en el cambio del valor TTL. Cada uno de estos pasos contribuyen en el retardo de procesamiento. - VARIACIN DEL RETARDO (JITTER): El jitter es la diferencia en los valores de retardo totales de extremo a extremo, o de 2 paquetes de voz en el flujo de voz. - PRDIDA DE PAQUETES: La congestin WAN es la causa ms comn de prdida de paquetes. En el caso del trfico de voz, la prdida de paquetes puede ocasionar prdidas de habla. Las conversaciones sern difciles de seguir y la comunicacin ser confusa.

    3.1.3 Medida del ancho de banda disponible


    En la figura se muestra una red vaca con 4 saltos entre un servidor y un cliente. Cada salto usa un medio diferente con distinto ancho de banda. El ancho de banda total disponible mximo es igual al ancho de banda menor de cualquier enlace en el camino. El clculo del ancho de banda disponible, sin embargo, es bastante ms complejo en casos donde existen mltiples flujos atravesando la red. Un flujo IP es una serie unidireccional de paquetes IP de un protocolo dado viajando entre un origen y un destino dentro de un perodo dado. Cuando existen

    31

    CCNP ONT
    mltiples flujos, usaremos la siguiente frmula para calcular la media de ancho de banda disponible por flujo: ANBANDADISPONIBLE = ANBANDAMAX/FLUJOS. Un ancho de banda inadecuado puede tener impactos en el funcionamiento de las aplicaciones de red, especialmente en aquellas que son sensibles al tiempo (como la voz), o que consumen mucho ancho de banda (como la videoconferencia).

    3.1.4 Incremento del ancho de banda disponible


    El ancho de banda es uno de los factores clave que afectan al QoS de una red. Cuanto mayor ancho de banda, mejor QoS. Sin embargo, incrementar solamente el ancho de banda no resuelve necesariamente la congestin y los problemas de flujo. Incrementar el ancho de banda es una solucin cara y se tarda tiempo en implementarse. Adems, en una red ms rpida, el trfico se incrementar y los problemas volvern. En la figura se muestra un enfoque ms racional usando colas avanzadas y tcnicas de compresin. Queuing significa clasificar el trfico dentro de clases QoS y priorizar cada clase de acuerdo a su importancia relativa. El mecanismo de colas bsico por defecto es el FIFO (primero en entrar, primero en salir). El trfico de voz debe recibir un envo prioritario, y el trfico menos importante debe recibir el ancho de banda no utilizado existente despus de que se ha acomodado al trfico prioritario. El software QoS Cisco IOS provee varios mecanismos que pueden usarse para asignar prioridades a distintas clases de trfico: FIFO / Cola Prioritaria (PQ) o Cola Personalizada (CQ) / Dficit Modificado Round Robin (MDRR) / Cola Basada en Tipo de Servicio Distribuido (ToS) y Basada en Grupos QoS (WFQ) / Cola Basada en Clases (CBWFQ) / Cola de Baja Latencia (LLQ). Una forma de incrementar el ancho de banda del enlace es optimizar el uso del mismo usando compresin en el payload o en las tramas. Sin embargo, la compresin incrementa el retardo debido a la complejidad de los algoritmos de compresin. Usar un hardware de compresin puede acelerar la compresin de los payloads de los paquetes. En el IOS se incluyen los mtodos Stacker y Predictor. Otro mecanismo para aumentar la eficiencia del ancho de banda de los enlaces es la compresin de las cabeceras. Un ejemplo tpico es la compresin de cabeceras TCP y RTP. En la figura se muestra un ejemplo de cmo usar la eficiencia de ancho de banda utilizando mecanismos de colas y de compresin de cabeceras. En este escenario, un enlace WAN de baja velocidad conecta 2 oficinas. Ambos lugares poseen telfonos IP, PCs y servidores que ejecutan aplicaciones interactivas, como servicios de terminal. Debido a que el ancho de banda disponible es limitado, una estrategia apropiada para usar el ancho de banda de forma eficiente debe ser determinada e implementada.

    3.1.5 Efectos del retardo de extremo a extremo y del Jitter


    El retardo de extremo a extremo es la suma de todos los tipos de retardos. Cada salto en la red tiene su propio conjunto de procesamientos y colas, lo cual puede resultar en variaciones en el retardo (jitter). El RETARDO DE PROCESAMIENTO depende de los siguientes factores: velocidad de la CPU, uso de la CPU, modo de conmutacin IP, arquitectura del router (uso de CEF o no) y prestaciones configuradas en las interfaces de entrada y de salida. El RETARDO DE COLA es el tiempo que un paquete reside en la cola de salida de un router. Depende del nmero de paquetes que ya estn en la cola y del tamao de los mismos. El RETARDO DE SERIALIZACIN es el tiempo que se tarda en colocar una trama en el medio fsico para su transporte. Es normalmente inversamente proporcional el ancho de banda del enlace. El RETARDO DE PROPAGACIN es el tiempo que tarda un paquete en atravesar el enlace de un extremo a otro. Depende de si se transmiten datos, voz o vdeo.

    32

    CCNP ONT

    El ITU considera los retardos de red para aplicaciones de voz en el apartado de recomendaciones G.114. Estas recomendaciones definen tres bandas de retardos de una va, como vemos en la figura.

    3.1.6 Reduccin del Impacto del retardo en la calidad


    En la figura se muestra como los administradores pueden acelerar el despacho de paquetes para flujos sensibles a demoras de las siguientes formas:

    INCREMENTAR LA CAPACIDAD DEL ENLACE: Un ancho de banda adecuado


    ocasiona colas reducidas y paquetes que no deben esperar mucho para ser transmitidos.

    PRIORIZAR PAQUETES SENSIBLES A DEMORAS: Este enfoque puede ser ms


    efectivo a nivel de coste que el anterior. WFQ, CBWFQ y LLQ pueden servir ciertos paquetes primero (esto es una forma proactiva de servicios de colas). RE-PRIORIZAR PAQUETES: En algunos casos, los paquetes importantes necesitan ser re-priorizados cuando entran o salen de un dispositivo. Por ejemplo, cuando los paquetes dejan la red privada para pasar a la red de ISP, el ISP puede requerir que los paquetes sean repriorizados. PAYLOAD COMPRIMIDO: Mediante esta tcnica reducimos el tamao de los paquetes, lo cual incrementa de forma virtual el ancho de banda. Si usamos alguna de estas tcnicas, debemos asegurarnos que el tiempo necesario para comprimir el payload justifica los beneficios de tener menos datos que transferir sobre en enlace. COMPRESIN DE CABECERAS: La compresin de cabeceras no hace un uso tan intensivo de la CPU como la compresin del payload. Este tipo de compresin reduce los retardos cuando se usa en conjunto con otros mecanismos. Este tipo de compresin es especialmente til para paquetes de voz que tienen una relacin mala de payload-cabecera (una cabecera relativamente grande en comparacin con el payload), lo cual se mejora reduciendo las cabeceras del paquete (compresin de cabecera RTP cRTP).

    3.1.7 Prdida de Paquetes


    Tras el retardo, la siguiente tarea ms importante para las redes es la prdida de paquetes. Normalmente, la prdida de paquetes sucede cuando los routers tienen el buffer de una interfaz en particular (output queue) saturado. Una cola de salida llena, causa que los nuevos paquetes que deben colocarse en la misma sean eliminados. El trmino usado para los paquetes borrados por este motivo se conoce como BORRADO DE SALIDA. Los routers pueden borrar paquetes tambin por las siguientes razones comunes: - BORRADO DE COLA DE ENTRADA: La CPU central est ocupada y no puede procesar paquetes. - IGNORAR: El router funciona fuera del espacio de memoria. - SOBREESCRIBIR: La CPU del router est demasiado ocupada y no puede asignar un espacio de buffer libre al nuevo paquete. - ERROR DE TRAMA: El hardware detecta un error en una trama (como CRC, runts o giants).

    3.1.8 Gestin de la congestin. Formas de prevenir el borrado de paquetes


    La prdida de paquetes suele ser el resultado de la congestin de una interfaz. Para prevenir esta situacin, podemos usar uno de los siguientes enfoques: - Incrementar la capacidad de los enlaces para prevenir la congestin. - Garantizar suficiente ancho de banda e incrementar el espacio de buffer para acomodar trficos. Existen varios mecanismos en el software Cisco IOS QoS que pueden garantizar ancho de banda y proveer prioridades enviando aplicaciones sensibles a borrados. Ejemplos son WFQ, CBWFQ y LLQ. - Prevenir la congestin borrando paquetes de prioridad baja antes de que la misma se produzca. El software Cisco IOS QoS provee mecanismos de colas que empiezan a borrar paquetes de baja prioridad antes de que se produzca la congestin. Un ejemplo es WRED (Deteccin temprana aleatoria de prioridades). El software Cisco IOS QoS tambin provee los siguientes mecanismos para prevenir la congestin: - POLTICA DE TRFICO (POLICING): La poltica de trfico propaga rfagas. Cuando el radio del trfico alcanza el mximo configurado, el trfico excedido se borra (o se marca). El resultado es un radio de salida que aparece como un grfico en sierra con crestas y valles.

    33

    CCNP ONT
    - POLTICA DE CORTA DURACIN (SHAPING): A diferencia de la anterior, se retiene el trfico de paquetes excedidos en una cola y se programa el exceso para una transmisin posterior. El resultado es un radio de salida liso. El shaping implica la existencia de una cola y de suficiente memoria para almacenar paquetes retrasados, mientras que el policing no. La cola es concepto de salida: los paquetes van a una interfaz saliente y pueden colocarse en una cola. En la figura se muestra las diferencias entre policing y shaping. Las tcnicas de prevencin de congestin monitorean la carga de trfico de red en un esfuerzo de anticiparse y prevenir la congestin antes de que la misma sea un problema. Estas tcnicas proveen un tratamiento preferente al trfico Premium cuando existe congestin, mientras que maximiza la capacidad de la red con una prdida de paquetes y un retardo mnimos. El algoritmo WRED permite prevencin de congestin en interfaces de red proveyendo gestin del buffer y permitiendo al trfico TCP decrecer, antes que los buffer se saturen.

    3.2 Implementando QoS Cisco IOS


    3.2.1 Qu es QoS?
    QoS es un trmino genrico que se refiere a algoritmos que proveen diferentes niveles de calidad a diferentes tipos de trficos de red. El QoS gestiona las siguientes caractersticas de la red: - ANCHO DE BANDA: El radio al cual el trfico es portado a travs de la red. - LATENCIA: El retardo en la transmisin de datos desde el origen al destino. - JIITER: La variacin en el retardo. - FIABILIDAD: El porcentaje de paquetes descartados por un router. Las redes simples procesan el trfico en colas FIFO. Sin embargo, QoS permite proveer un mejor servicio a ciertos flujos dndoles una prioridad superior o inferior. Es a su vez importante asegurarse que proveer prioridades a uno o ms flujos no hace que otros flujos fallen. El Cisco IOS QoS es una caja de herramientas, donde varias herramientas pueden obtener el mismo resultado. Estas herramientas pueden ayudar a aliviar problemas de congestin. Sin embargo, en ocasiones existe demasiado trfico para el ancho de banda disponible. En estas situaciones, QoS slo ser una solucin temporal. - GESTIN DE CONGESTIN: Debido a la naturaleza inconstante del trfico de voz, vdeo y datos, el total de trfico en ocasiones excede la velocidad del enlace. En este punto, qu debe hacer el router? el router almacenar el trfico en una cola nica y permitir al primer paquete de la misma ser el primero en salir?o el router pondr los paquetes en diferentes colas y servir ciertas colas ms a menudo?. Las herramientas de gestin de congestin dirigen estas preguntas. Para ellos se incluyen PQ, CQ, WFQ y CBWFQ. - GESTIN DE COLAS: Debido a que las colas son finitas en su tamao, estas pueden desbordarse. Cuando una cola est llena, cualquier paquete adicional no puede colocarse en la misma y el flujo es eliminado. Esto se conoce como tail drop o cola borrada. Por ello, se necesita un mecanismo que realiza las siguientes 2 tareas: o Intentar asegurarse de que las colas no se llenen, donde exista un habitculo para paquetes de alta prioridad. o Usar ciertos tipos de criterios de eliminado de paquetes, como eliminar paquetes de baja prioridad antes que paquetes de alta prioridad. WRED provee ambos mecanismos. - EFICIENCIA DE ENLACES: En ocasiones, los enlaces de baja velocidad representan una tarea para los paquetes pequeos. La fragmentacin en ciertos enlaces segmenta un paquete en paquetes ms pequeos, pudiendo perderse la sincronizacin en los paquetes de voz. No hay razn para fragmentar un paquete de voz ya que estos suelen ser normalmente pequeos. Otra mejora en la operacin es eliminar bits de las cabeceras. Por ejemplo, la cabecera RTP tiene un tamao de 20 bytes. La compresin de RTP reduce su cabecera a un tamao ms gestionable. - TRAFFIC SHAPING Y POLICING: El shaping se usa para crear un flujo de trfico que limita el ancho de banda total potencial del flujo. Se usa para prevenir los problemas de desbordamiento mencionados anteriormente. Policing es similar a shaping, pero difiere en un factor muy importante: el trfico que excede el lmite configurado no se almacena, si no que se borra directamente. Sumarizando, QoS es la habilidad de la red para proveer servicios mejorados o especiales a usuarios especficos y aplicaciones.

    34

    CCNP ONT 3.2.2 Herramientas de gestin de congestin


    - FIFO; CAPACIDADES DE ALMACENAMIENTO Y ENVO BSICAS: En su forma ms simple, las colas FIFO representan paquetes almacenados cuando la red est congestionada y el envo de los mismos en el mismo orden de llegada a travs del enlace congestionado. Es el algoritmo de colas por defecto en muchas ocasiones. FIFO no toma decisiones sobre prioridad de paquetes. Las redes ms sofisticadas de hoy en da necesitan algoritmos ms inteligentes. - PQ COLA DE PRIORIDAD; TRFICO PRIORIZADO: PQ se asegura que el trfico importante se manipula ms rpido en cada punto donde se utiliza. Se diseo para dar una prioridad estricta al trfico importante. Las colas de prioridad pueden flexibilizar prioridades de acuerdo al protocolo de red (como IP, IPX o AppleTalk), interfaces de entrada, tamaos de paquete, direcciones de origen y destino, etc. Con PQ, cada paquete se coloca en una de las 4 colas existentes: Alta / Media / Normal / Baja, basndose en la prioridad asignada. Los paquetes sin clasificar se colocan en la cola normal por defecto. - CQ - COLA PERSONALIZADA; ANCHO DE BANDA GARANTIZADO: CQ permite a varias aplicaciones u organizaciones compartir la red entre aplicaciones con un mnimos requisitos de ancho de banda o latencia. En estos entornos, el ancho de banda debe compartirse de forma proporcional entre aplicaciones y usuarios. CQ manipula el trfico asignndole una cantidad especfica de espacio en la cola a cada clase de paquetes, y sirviendo a las colas de una forma round-robin. El algoritmo de colas coloca los mensajes en una de las 17 colas (la cola 0 porta mensajes de sistema como keepalives, sealizacin y otros) y se vaco con los pesos de las prioridades. El router sirve colas de la 1 a la 16 de una forma round-robin. Esta prestacin se asegura de que ninguna aplicacin (o grupo de aplicaciones) logra ms que la proporcin predeterminada de capacidad cuando la lnea est saturada. - WFQ - BASADO EN FLUJO; CREANDO JUSTICIA ENTRE FLUJOS: Para situaciones en las cuales se desea proveer un tiempo de respuesta consistente a usuarios sin tener que agregar un ancho de banda excesivo, la solucin es WFQ, referido normalmente como WFQ equitativo o justo. WFQ es una de las colas preferidas por Cisco como tcnica de gestin de congestin. Es un algoritmo de colas basado en flujos que permite que cada cola sea servida de forma justa en trminos de contadores de bytes. Por ejemplo, si la cola 1 tiene paquetes de 100 bytes y la cola 2 tiene paquetes de 50 bytes, el algoritmo WFQ tomar 2 paquetes de la cola 2 por cada paquete de la cola 1. - CBWFQ - WFQ BASADO EN CLASES; ASEGURAR EL ANCHO DE BANDA DE LA RED: CBWFQ es una de las herramientas de gestin de congestin ms nuevas de Cisco que provee una flexibilidad mayor. Provee una cantidad mnima de ancho de banda a una clase, en oposicin a proveer una cantidad mxima de ancho de banda cuando el trfico es de corta duracin. CBWFQ permite al administrador de red crear clases de anchos de banda mnimos garantizados. En lugar de proveer una cola para cada flujo individual, el administrador define una clase que consiste en uno o ms flujos, cada clase con un ancho de banda mnimo garantizado. CBWFQ previene que mltiples trficos de baja prioridad inunden un flujo nico de alta prioridad. Por ejemplo, WFQ proveer un stream de vdeo que necesita la mitad del ancho de banda de una lnea T1 si hay 2 flujos. Pero, si se aaden ms flujos, el stream de vdeo obtiene menos ancho de banda porque los mecanismos WFQ son equitativos. Si hay 10 flujos, el stream de vdeo obtendr slo una dcima parte del ancho de banda. CBWFQ provee el mecanismo necesario para proveer la mitad del ancho de banda que el vdeo necesita. El administrador de red define una clase, coloca al stream de vdeo en la clase, y le dice al router que provea 768 kbps (la mitad de una lnea T1) a esa clase. El vdeo, por tanto, obtiene el ancho de banda que necesita. El resto de flujos reciben una clase por defecto.

    3.2.3 Gestin de Colas (Herramientas de prevencin de congestin)


    La herramienta principal del Cisco IOS para prevenir la congestin es WRED. Los algoritmos RED previenen la congestin en las redes donde esta pueda volverse un problema. RED trabaja monitoreando la carga de trfico en puntos de la red y descartando aleatoriamente paquetes si la congestin se incrementa. El resultado del borrado es que el origen detecta el trfico borrado y transmite a una velocidad menor (reduce el tamao de ventana). RED se dise para trabajar preferentemente con TCP en entornos IP. WRED provee una manipulacin del trfico preferente en paquetes de prioridades mayores. Puede descartar de forma selectiva trfico de baja prioridad cuando la interfaz comienza a congestionarse y proveer funciones diferentes para diferentes clases de servicio (CoS). Como sabemos, cada cola puede albergar un nmero finito de paquetes. Una cola llena causar el descarte de nuevos paquetes que quieran ingresar en la cola. Esto no es deseable ya que los paquetes descartados podran tener una prioridad alta y el router no ha tenido la oportunidad de colocarlos en la cola. Si la cola no estuviera llena, el router podra mirar la prioridad de los paquetes y borrar slo aquellos que tengan una prioridad baja, permitiendo a los de prioridad alta entrar en la cola. WRED usa un umbral mnimo para determinar cundo borrar un paquete (el tamao de la cola debe exceder este umbral para que WRED considere a un paquete como candidato de descarte). Consideraremos el siguiente ejemplo para 2 clases de trfico. La primera clase tiene un umbral mnimo para la procedencia IP de 20. La siguiente cola del ejemplo tiene un umbral de borrado para la precedencia IP de 22. Si el tamao de la cola es de 21, WRED borrar paquetes para la primera clase,

    35

    CCNP ONT
    pero los paquetes de la segunda permanecern en la cola. Si el tamao de la cola aumenta y excede 22, los paquetes con la procedencia IP 20 tambin sern borrados.

    3.2.4 Preparacin para implementar QoS


    Existen 3 pasos bsicos para implementar QoS en una red: - PASO1- IDENTIFICAR TIPOS DE TRFICO Y SUS REQUISITOS: Estudiar la red para determinar el tipo de trfico que se origina y determinar los requisitos QoS necesarios para los diferentes tipos de trfico. - PASO2- DEFININIR CLASES DE TRFICO: Esta parte agrupa trficos con requisitos QoS similares dentro de clases. Por ejemplo, 3 clases de trfico podran definirse como voz, misin crtica y mejor esfuerzo. - PASO3- DEFINIR POLTICAS QOS: Las polticas QoS dictan los requisitos QoS para cada clase de trfico.

    3.2.5 Paso 1: Identificar tipos de trfico y sus requisitos


    Este paso consiste en las siguientes actividades: - DETERMINAR LOS PROBLEMAS DE QOS DE LOS USUARIOS: Mediremos el trfico de red durante perodos de congestin. Realizaremos un examen de uso de CPU en cada dispositivo de red durante perodos de congestin para determinar dnde pueden producirse los problemas. - DETERMINAR EL MODELO DE NEGOCIO Y LOS OBJETIVOS Y OBTENER UNA LISTA DE REQUISITOS: Esta actividad ayuda a definir el nmero de clases necesarias y permite determinar los requisitos empresariales para cada tipo de trfico. - DEFINIR LOS NIVELES DE SERVICIO REQUERIDOS POR LAS DIFERENTES CLASES EN TERMINOS DE TIEMPO DE RESPUESTA Y DISPONIBILIDAD: Una asignacin de nivel de servicio incluir la prioridad y el tratamiento de un paquete recibido. Por ejemplo, podramos asignar un nivel de servicio alto a aplicaciones de voz (prioridad alta, LLQ y cRTP). Podramos asignar un nivel de servicio bajo a otros flujos (prioridad baja, WFQ y compresin TCP). Determinar que aplicaciones son business-critical requieren revistar todas las aplicaciones que compiten por los recursos de la red. Existen herramientas para analizar patrones de trfico en la red, como NetFlow Accounting, NBAR (Network-based Application Recognition) y QDM (QoS Device Manager). - NETFLOW ACCOUNTING: Provee detalles sobre el trfico de red y puede usarse para capturar la clasificacin de trfico o la precedencia de cada flujo. - NBAR: Es una herramienta de clasificacin que puede identificar trfico hasta la capa de aplicacin. Provee estadsticas por interfaz, por protocolo para cada flujo de trfico que atraviesa una interfaz. - QDM: Es una herramienta de gestin basada en web que provee una interfaz de usuario grfica fcil de utilizar para configurar y monitorear funcionalidades avanzadas de QoS en routers.

    3.2.6 Paso 2: Definir clases de trfico


    Una clase es un grupo de flujos de red que tienen caractersticas similares. Por ejemplo, un ISP podra definir clases que representen diferentes niveles de servicio ofrecidos a sus clientes. Una empresa podra definir acuerdos de niveles de servicio (SLAs) para obtener distintos niveles de servicio a varias aplicaciones. Debido a sus requisitos de QoS estrictos de la voz, el trfico de voz es normalmente una clase en s misma. Cisco ha desarrollado mecanismos QoS especficos, como LLQ, para asegurarse que la voz siempre reciba un tratamiento prioritario sobre todos los dems flujos. Una empresa tpica define las siguientes 5 clases de trfico, como se muestra en la figura, basndose en los requisitos de departamentos o basndose en el predominio de una aplicacin: VOZ: Prioriza de forma absoluta el trfico VoIP. MISSION-CRITICAL: Pequeo conjunto de aplicaciones localmente definidas como crticas. Por ejemplo, una aplicacin que ejecuta una base de datos de pedidos que necesita funcionar 24 horas al da. TRANSACCIONAL: Acceso a bases de datos, servicios de transaccin, trfico interactivo y servicios de datos preferentes. Dependiendo de la importancia de la aplicacin de base de datos en la empresa, le daremos a la misma una cantidad mayor de ancho de banda y una prioridad mayor. Por ejemplo, nuestro departamento de nminas realiza trabajo sensible o crtico?. Su importancia en la organizacin determina la prioridad y la cantidad de ancho de banda que le otorgaremos en la red. MEJOR ESFUERZO: Aplicaciones como HTTP, FTP y correo electrnico podran constituir una clase. Nuestra poltica QoS debe garantizar que los empleados que usan estas aplicaciones tengan un ancho de banda para las mismas y un nivel de prioridad bajo en relacin con las anteriores.

    36

    CCNP ONT
    SCAVENGER: El trfico sin especificar se considera como menor a mejore esfuerzo. Aplicaciones como BitTorrent y otras son servidas por esta clase.

    3.2.7 Paso 3: Definir una poltica QoS


    Una poltica QoS generalmente define lo siguiente: - Grupos discretos de trficos de red (clases de servicio [CoS]) - Mtricas que regulen la cantidad de trfico de red para cada clase (metering) - Acciones a tomar a flujos de paquetes (comportamiento por salto- [PHB]) - Cualquier estadstica almacenada requerida para una CoS. Cuando los paquetes pasan por la red, QoS evala sus cabeceras. La poltica QoS determina la accin que QoS debe tomar. Definir una poltica QoS envuelve una o ms de las siguientes actividades: - Configurar un ancho de banda mnimo garantizado. - Configurar un ancho de banda mximo lmite. - Asignar prioridades a cada clase. - Usar tecnologas QoS, como colas avanzadas, para gestionar la congestin.

    EJEMPLO: DEFINIR UNA POLTICA QOS


    Como ejemplo, considerar una red que tiene una cantidad finita de ancho de banda disponible. Usando clases de trfico, las polticas QoS previamente definidas pueden ser usadas basndose en las siguientes prioridades (la prioridad 5 es la ms alta y la 1 la ms baja): PRIORIDAD 5: VOZ: Usa LLQ para dar a la voz la mxima prioridad siempre. Un ancho de banda mnimo de 1 Mbps. PRIORIDAD 4: MISSION-CRITICAL: Usa CBWFQ para prioridad flujos de trfico de la clase crtica. Un ancho de banda mnimo de 1 Mbps. PRIORIDAD 3: TRANSACCIONAL: Usa CBWFQ para priorizar flujos de trfico transaccionales. Un ancho de banda mnimo de 1 Mbps. PRIORIDAD 2: MEJOR ESFUERZO: Usa CBWFQ para priorizar trfico de mejor esfuerzo, con un ancho de banda de 500 Kbps. PRIORIDAD 1: SCAVENGER: Usa WRED para borrar estos paquetes si la red tiende a congestionarse. Les otorga un ancho de banda de100 Kbps.

    3.3 Seleccin de un modelo de Poltica QoS apropiado


    3.3.1 Los 3 modelos QoS
    MODELO BEST-EFFORT: Este modelo no utiliza QoS. Si no es importante cuando o como lleguen los paquetes, este modelo es el apropiado. INTSERV (SERVICIOS INTEGRADOS): Puede ofrecer un QoS muy alto a paquetes IP. Esencialmente, este modelo define un proceso de sealizacin para que las aplicaciones indiquen a la red que requieren un QoS especial durante el cual se debe reservar ancho de banda. Con este modelo, la entrega de paquetes est garantizada. Sin embargo, este modelo puede limitar severamente la escalabilidad de la red. DIFFSERV (SERVICIOS DIFERENCIADOS): Provee la mayor escalabilidad y flexibilidad del QoS de la red. Los dispositivos de red reconocen las clases de trfico y proveen distintos niveles de QoS a distintas clases de trfico.

    3.3.2 Modelo Best-Effort


    El diseo bsico de Internet provee una entrega best-effort y no provee garantas. Este modelo trata a todos los paquetes de la misma forma. BENEFICIOS: Escalabilidad ilimitada. La nica forma de alcanzar los lmites de escalabilidad es alcanzar los lmites del ancho de banda, punto en el cual todo el trfico es afectado de la misma forma. Este modelo es el ms fcil de desplegar. DESVENTAJAS: No existen garantas de entrega. Los paquetes tienen un tratamiento preferente. Los datos crticos se tratan de la misma forma que un e-mail ocasional.

    3.3.3 Modelo IntServ


    La necesidad de aplicaciones en tiempo real, como videoconferencias, realidad virtual, VoIP, etc. motivaron el despliegue del modelo e arquitectura IntServ (RFC 1633). IntServ provee una forma de entrega de extremo a extremo requerida para proveer QoS a streams de paquetes de usuarios especficos, a menudo denominados microflujos. IntServ usa una reserva de recursos y mecanismos de control de admisin para establecer y mantener el QoS. Esta prctica es similar al concepto conocido como hard QoS. Hard QoS garantiza caractersticas al trfico de extremo a extremo, como ancho de banda, retardos y umbrales de prdida de paquetes. IntServ usa el protocolo RSVP (Resource Reservation Protocol) para sealizar las necesidades de QoS del trfico de una aplicacin a lo largo de los dispositivos que existen en el camino de extremo a extremo a travs de la red. Si los dispositivos de red a lo largo de la ruta pueden reservar el ancho de banda necesario, la aplicacin origen puede comenzar a transmitir. En el caso contrario, la aplicacin origen no enviar ningn dato.

    37

    CCNP ONT
    El modelo IntServ hereda el enfoque orientado a conexin del diseo de red telefnico. Cada comunicacin individual debe especificar explcitamente su descripcin de trfico y los recursos solicitados a la red. El router borde realiza un control de admisin para asegurarse que los recursos disponibles son suficientes. El estndar IntServ asume que los routers a lo largo del camino configuran y mantienen el estado de cada comunicacin individual. En este modelo, la aplicacin solicita un tipo de servicio especfico desde la red antes de enviar datos. La aplicacin informa a la red del perfil de su trfico y solicita un tipo particular de servicio que cumpla sus requisitos de ancho de banda y retardo. La aplicacin enva datos slo despus de recibir una confirmacin de los requisitos solicitados. La red realiza un control de admisin basado en la informacin recibida desde la aplicacin y los recursos de red disponibles. La red cumple su compromiso manteniendo un estado por flujo y realizando entonces clasificacin de paquetes, polticas y colas inteligentes basadas en el estado. La prestacin QoS configurada en Cisco IOS incluye estas prestaciones: - RSVP: puede usarse por aplicaciones para sealizar sus requisitos QoS al router. - MECANISMOS DE COLAS INTELIGENTES: pueden usarse con RSVP para proveer los siguientes niveles de servicio QoS: o RADIO GARANTIZADO: Permite a las aplicaciones reservar ancho de banda para cumplir sus requisitos. Por ejemplo, una aplicacin VoIP puede reservar 32 Mbps de ancho de banda de extremo a extremo usando este servicio. El Cisco IOS QoS usa LLQ con RSVP para proveer un tipo de servicio garantizado. o CARGA CONTROLADA: Permite a las aplicaciones tener un retardo pequeo y un alto rendimiento, incluso en perodos de congestin. Por ejemplo, las aplicaciones adaptadas a tiempo real, como una videoconferencia, pueden usar este servicio. El Cisco IOS QoS usa RSVP con WRED para proveer un control de carga. Funciones IntServ Junto con la sealizacin de extremo a extremo, IntServ requiere varias funciones para estar disponible en routers y switches a lo largo de la ruta. Estas funciones incluyen las siguientes: - CONTROL DE ADMISIN: Determina si un nuevo flujo solicitado por los usuarios y sistemas puede ser garantizado sin afectar a las reservas existentes. El control de admisin se asegura que los recursos estn disponibles antes de permitir una reserva. - CLASIFICACIN: Implica el uso de un descriptor de trfico para categorizar paquetes dentro de un grupo especfico, para definir el paquete y hacer posible su manipulacin QoS en la red. La clasificacin es crucial para tcnicas de polticas que seleccionan paquetes de distintos tipos de servicios QoS. - POLTICAS: Toma acciones, incluyendo la posibilidad de borrar paquetes, cuando el trfico no cumple con sus caractersticas especificadas. - COLAS: Acomodan la congestin temporalmente en una interfaz de un dispositivo de red almacenando los paquetes excedentes en buffers hasta que el acceso al ancho de banda vuelva a estar disponible. - PROGRAMACIN: Un componente QoS, el calendario QoS, negocia solicitudes simultneas de acceso de red y determina que cola recibe prioridad. IntServ usa una programacin round robin. Este es un enfoque en el cual el programa le da un pedazo de tiempo pequeo a cada trabajo antes de moverse al siguiente trabajo, realizando cada tarea de esta forma. El modelo IntServ cuenta con varios y beneficios y algunas desventajas, como vemos a continuacin: - BENEFICIOS: Soporta control de admisin que permite a la red rechazar nuevas sesiones RSVP si una de las interfaces de la ruta alcanza su lmite (esto es, si todo el ancho de banda que puede reservar est utilizado. - RSVP sealiza las solicitudes QoS para cada flujo individual. En la solicitud, el usuario autorizado (objeto de autorizacin) y la poltica de trfico necesario (objeto de poltica) se envan. La red puede proveer garantas entonces a flujos individuales. - RSVP informa a los dispositivos de red de los parmetros del flujo (direcciones IP y nmeros de puerto). Algunas aplicaciones usan nmeros de puerto dinmicos, como las basadas en H.323, el cual es difcil de reconocer por dispositivos de red. NBAR (Network-Based Application Recognition) es un mecanismo que complementa a RSVP para aplicaciones que usan nmeros de puertos dinmicos y no usan RSVP. - DESVENTAJAS: Existe una sealizacin continua ya que la arquitectura con conexin de RSVP aade una sobrecarga al ancho de banda. RSVP contina sealizando durante la duracin entera del flujo. Si la red cambia, o un enlace falla, la red no es capaz de soportar la reserva realiza en un primer momento. - El enfoque basado en flujo no es escalable en implementaciones mayores, como la Internet pblica, ya que RSVP tiene que hacer seguimiento de cada flujo individual. Esta circunstancia hace la sealizacin de extremo a extremo difcil. Una solucin posible es combinar IntServ con elementos del modelo DiffServ para proveer la escalabilidad necesaria.

    38

    CCNP ONT 3.3.4 RSVP y el modelo QoS IntServ


    La arquitectura QoS de Cisco usa RSVP como uno de varios mtodos para proveer control de admisin de llamadas (CAC) para una red con VoIP. El mtodo RSVP para CAC es el nico mtodo que realiza una reserva de ancho de banda para cada llamada de voz admitida. Otros mtodos CAC pueden slo realizar una decisin basada en suposiciones del estado de la red en el inicio de la llamada. El uso de RSVP no provee slo CAC, tambin garantiza QoS para la duracin de la llamada sin importarle las condiciones de cambio de la red. Es el mtodo usado por Cisco Unified CallManager 5.0. Si existen recursos disponibles, RSVP acepta la reserva e instala un clasificador de trfico para asignar una clase QoS temporal al flujo de trfico en el camino de envo QoS. El clasificador de trfico le dice al camino QoS como clasificar paquetes desde un flujo particular y como tratar el envo provisto. RSVP es un protocolo IP que usa el ID de protocolo 46 y los puertos TCP y UDP 3455. Es importante anotar que RSVP no es un protocolo de enrutamiento. RSVP trabaja en conjunto con los protocolos de enrutamiento e instala las ACL dinmicas equivalentes junto con los clculos realizados por el protocolo de enrutamiento. En RSVP, un flujo de datos es una secuencia datagramas que tienen el mismo origen, destino (independientemente de si el destino es una o varias mquinas) y requisitos QoS. Los requisitos QoS se comunican a travs de la red mediante una especificacin de flujo, lo cual es una estructura de datos que se usa por los host de la internetwork para solicitar servicios especiales a la red. RSVP se centra en los siguientes 2 tipos de trfico principales: - TRFICO SENSIBLE A VELOCIDADES: El trfico que requiere una velocidad de transmisin garantizada y constante desde su origen a su destino. Un ejemplo de aplicacin es una videoconferencia H.323. RSVP habilita un servicio constante en redes conmutadas por paquetes a travs de un servicio de nivel sensible a velocidades. Este servicio se conoce como guaranteed-bit-rate. - TRFICO SENSIBLE A RETRASOS: Trfico que requiere entregas actualizadas y que vara su velocidad de acuerdo a las mismas. Por ejemplo, el vdeo MPEG-II, cubre de 3 a 7 Mbps, dependiendo de la velocidad a la que cambien las imgenes. Los servicios RSVP soportan trfico sensible a retrasos, refirindose a los mismos como servicios de retardo-controlado (para servicios que no son en tiempo real) y servicios predictivos (servicios en tiempo real).

    3.3.5 Operacin de RSVP


    A diferencia de los protocolos de enrutamiento, RSVP gestiona flujos de datos, ms que tomar decisiones para datagramas individuales. Los flujos de datos consisten en sesiones diferentes entre mquinas origen y destino especficas. La definicin de sesin es un flujo simple de datagramas a un destino particular y un protocolo de la capa de transporte. Los siguientes datos identifican sesiones: direccin de destino, ID de protocolo y puerto de destino. RSVP soporta sesiones unicast y multicast. RSVP especifica el QoS usado por hosts y routers. Los hosts usan RSVP para solicitar un nivel de QoS desde la red en representacin de un stream de datos de aplicacin. Los routers usan RSVP para entregar solicitudes QoS a otros routers a lo largo de la ruta del stream. Haciendo esto, RSVP mantiene los estados de router y host para proveer el servicio solicitado. Para iniciar una sesin RSVP multicast, un receptor primero participa en el grupo multicast especificado por una IP de destino usando el protocolo IGMP. Una vez es partcipe del grupo, un emisor potencial comienza enviado mensajes de ruta RSVP a la IP de destino. La aplicacin del receptor recibe un mensaje de ruta y comienza a enviar los mensajes apropiados de solicitud de reserva especificando los descriptores de flujo deseados usando RSVP. Cuando la aplicacin emisora recibe un mensaje de solicitud de reserva, comienza a enviar paquetes de datos.

    CMO TRABAJA RSVP?

    Cada nodo que usa RSVP tiene 2 mdulos de decisiones locales: - CONTROL DE ADMISIN: Mantiene el seguimiento de los recursos del sistema y determina si el nodo tiene suficientes recursos para proveer el QoS solicitado. El daemon RSVP monitorea ambas acciones. Si cualquiera de ellas falla, el programa RSVP devuelve un mensaje de error a la aplicacin que origin la solicitud. Si ambas son satisfactorias, el daemon RSVP configura parmetros en el clasificador de paquetes y los paquetes son programados para obtener el QoS solicitado. - CONTROL DE POLTICA: El control de poltica determina si el usuario tiene permisos administrativos para realizar la reserva. Si se satisfacen el control de admisin y de poltica, el daemon configura parmetros en 2 entidades, el clasificador de paquetes y el programador de paquetes: - CLASIFICADOR DE PAQUETES (PACKET CLASSIFIER): Determina la ruta y la clase QoS para cada paquete. - PROGRAMADOR DE PAQUETES (PACKET SCHEDULER): Ordena la transmisin de paquetes para lograr el QoS prometido a cada stream. - PROCESAMIENTO DE RUTA (ROUTING PROCESS): El daemon RSVP se comunica con el proceso de enrutamiento para determinar la ruta por la que se enviar su solicitud de reserva y para manipular los cambios de membresa y de rutas. Cada router participa en la reserva de rutas pasando los paquetes de datos entrantes al clasificador de paquetes y poniendo en cola los paquetes si es necesario en un programador de paquetes. Una vez que el clasificador de paquetes determina la ruta y la clase QoS de cada paquete, y el programador localiza recursos para la transmisin, RSVP pasa la solicitud a todos los nodos (routers y

    39

    CCNP ONT
    host) a lo largo de la ruta de datos inversa a los orgenes de la transmisin. En cada nodo, el programa RSVP aplica una decisin local llamado Control de Admisin para determinar si ese nodo puede proveer el QoS solicitado. Si el control de admisin pasa en la provisin del QoS requerido, el programa RSVP configura los parmetros del clasificador de paquetes y se programa para obtener el QoS deseado. Si el control de admisin falla en algn nodo, el programa RSVP devuelve una indicacin de error a la aplicacin que origin la solicitud.

    COMBINACIN DE LA RESERVA
    Cuando un receptor potencial inicia una solicitud de reserva, la solicitud no necesita viajar por toda la ruta al origen del emisor. En su lugar, esta viaja corriente arriba hasta encontrar otra solicitud de reserva para el mismo stream de origen. La solicitud entonces se combina con esa reserva. La combinacin de reserva gua la primera ventaja de RSVP, la escalabilidad. Esto permite que un amplio nmero de usuarios participen en un grupo multicast sin incrementar significativamente el trfico de datos. RSVP escala a grandes grupos multicast. La carga media del protocolo decrece a medida que el nmero de participantes se incrementa. Como ejemplo, en la figura se muestran los principios bsicos de cmo RSVP realiza CAC y reserva de ancho de banda en una red. En este ejemplo, RSVP est habilitado en cada interfaz de cada router. Una WAN habilitada para IntServ conecta 3 telfonos IP y un CallManager 5.0. Debido a que el ancho de banda est limitado en los enlaces WAN, RSVP determina si el ancho de banda solicitado para una llamada satisfactoria est disponible. Para ello, el CallManager usar RSVP. Una aplicacin de voz habilitada para RSVP quiere reservar 20 Kbps de ancho de banda para un stream de datos desde telfono IP 1 al telfono IP 2. RSVP usa los protocolos de enrutamiento subyacentes para determinar donde llevar las solicitudes de reserva. Como el enrutamiento cambia rutas para adaptarse a cambios en la topologa, RSVP adapta reservas a las nuevas rutas si existen reservas en ese momento. El protocolo RSVP intenta establecer una reserva de extremo a extremo comprobando los recursos de ancho de banda disponibles en todos los routers habilitados para RSVP a lo largo de la ruta desde IPPhone 1 a IP-Phone 2. A medida que los mensajes RSVP progresan a lo largo de la red desde el router R1, va R2 a R3, el ancho de banda RSVP disponible decrece en 20 Kbps en las interfaces del router. Para las llamadas de voz, la reserva debe realizarse en ambas direcciones. El ancho de banda disponible en todas las interfaces es suficiente para aceptar el nuevo stream de datos, por lo que la reserva es satisfactoria y se le notifica a la aplicacin para que comience a enviar los datos.

    3.3.6 El modelo DiffServ


    La arquitectura DiffServ especifica un mecanismo simple y escalable de clasificacin y gestin de trfico de red proveyendo garantas QoS en redes IP modernas. DiffServ puede proveer servicios de baja latencia garantizada (GS) a trficos de red crticos como voz o vdeo mientras provee garantas de trfico Besteffort a servicios no crticos como trfico web o transferencia de ficherso. El concepto soft QoS es la base del modelo DiffServ. IntServ usa sealizacin en la cual los host finales sealizan sus necesidades QoS a la red. DiffServ no usa sealizacin pero trabajo en el modelo de aprovisionamiento de QoS, donde los elementos de la red se configuran para servir mltiples clases de trfico cada una con unos requisitos QoS diferentes. Clasificando distintos flujos en clases (aggregates) y proveyendo un QoS apropiado a estas agregates, DiffServ puede evitar una complejidad significativa, costes, e introducir escalabilidad. Por ejemplo, DiffServ agrupa todos los flujos TCP en una clase nica, y localiza ancho de banda para esta clase, en lugar de realizar esta tarea por flujos individuales (Hard QoS). El modelo hard QoS (IntServ) provee una solucin rica de extremo a extremo, usando sealizacin de extremo a extremo, mantenimiento de estados y control de admisin en cada elemento de la red. Este enfoque consume una carga significativa, restringiendo la escalabilidad. Por otro lado, DiffServ no es una estrategia QoS de extremo a extremo, ya que no puede cumplir garantas de extremo a extremo, pero el QoS DiffServ es un enfoque ms escalable de implementacin QoS. DiffServ asigna a cada clase un conjunto de comportamientos QoS y cumple y aplica los mecanismos QoS en una base por salto (PHB). DiffServ divide el trfico de red dentro de clases basadas en los requisitos de la empresa. A cada clase puede asignrsele un nivel de servicio diferente. A medida que los paquetes atraviesan la red, cada dispositivo de red identifica la clase del paquete y sirve el paquete de acuerdo a su clase. Es posible escoger muchos niveles de servicio con DiffServ. Por ejemplo, el trfico de voz de los telfonos IP se le suele dar un nivel preferencial con respecto a otros trficos de aplicacin.

    40

    CCNP ONT
    DiffServ trabaja como un servicio de entrega de paquetes. Tu solicitas (y pagas) un nivel de servicio cuando envas tus paquetes. A travs de la red por paquetes, el nivel de servicio es reconocido y los paquetes tienen un servicio preferencial o normal, dependiendo de la solicitud. Sus beneficios son una muy alta escalabilidad y la provisin de muchos niveles distintos de calidad. Las desventajas son que no hay una garanta absoluta de calidad de servicio y que se requiere un conjunto de mecanismos complejos para trabajar en concierto a travs de la red.

    3.4 Uso de MQC (CLI Modular QoS) para implementar QoS


    3.4.1 Mtodos de implementacin de Polticas QoS
    Unos aos atrs, la nica forma de implementar QoS en una red era usando la CLI para configurar polticas QoS en cada interfaz. Cisco introdujo MQC para simplificar la configuracin QoS haciendo configuraciones modulares. MQC provee un enfoque en bloques que usa un mdulo nico repetidamente aplicado a una poltica y a mltiples interfaces. Cisco AutoQoS representa una tecnologa innovadora que simplifica el desafo de la administracin de red reduciendo la complejidad QoS. Incorpora una inteligencia en el software Cisco IOS y Catalyst para aprovisionar y asistir en la gestin de despliegues QoS a gran escala. La primera fase del AutoQoS VoIP ofrece capacidades sencillas de automatizar despliegues VoIP para clientes que quieren utilizar telefona IP pero les falta experiencia y personal para planear y desplegar servicios IP QoS e IP. La segunda fase, el Cisco AutoQoS Enterprise, aade estas prestaciones pero se soporta nicamente en interfaces del router. Cisco AutoQoS Enterprise usa NBAR para descubrir el trfico. Tras esta fase de descubrimiento, el proceso AutoQoS puede configurar la interfaz para soportar hasta 10 clases de trfico. Los clientes pueden de forma sencilla configurar, gestionar y resolver problemas de despliegues QoS usando asistentes del SDM. El asistente Cisco SDM AutoQoS provee un diseo QoS centralizado, administracin y monitoreo de trfico que escala a despliegues QoS mayores.

    3.4.2 Configuracin QoS con la CLI


    Cisco no recomienda el mtodo heredado CLI para iniciar la implementacin de polticas QoS. Sus limitaciones son las siguientes: Es la forma ms difcil y tarda de configurar QoS // Tiene pocas oportunidades de ajuste y una menor granularidad que otras tcnicas // Las funciones QoS tienen opciones limitadas, como por ejemplo, no podemos separar completamente la clasificacin del trfico desde los mecanismos QoS. La forma de construir una poltica QoS sera la siguiente, siguiendo estos pasos: - Identificar los patrones de trfico de nuestra red usando un analizador de paquetes. Esta actividad nos da la habilidad de identificar los tipos de trfico, como IP, TCP, UDP, AppleTalk, IPX, etc. - Tras el primer paso, comenzamos a clasificar el trfico. Por ejemplo, separamos la clase del trfico de voz de la clase del trfico de negocio-crtico. - Para cada clase de trfico, especificamos la prioridad de la clase. Por ejemplo, para la voz se asigna una prioridad mayor que para el trfico de negocio-crtico. - Despus de aplicar las prioridades, seleccionamos un mecanismo QoS apropiado, referente a la forma que tenga de manipular colas, compresin o una combinacin de ambos.

    EJEMPLO DE QOS CLI HEREDADO


    En este escenario, un enlace de baja velocidad WAN conecta la oficina a la central. Ambos sitios tienen PCs y servidores que ejecutan aplicaciones interactivas, como servicios de terminal. Debido a que el ancho de banda es limitado, debemos implementar una estrategia apropiada para un uso eficiente del mismo. En una red con sitios remotos que usan trfico interactivo para su negocio diariamente, la disponibilidad del ancho de banda es una tarea. Debido a que servicios nicos estn ejecutando tcnicas de colas bsicas, como PQ (cola prioritaria) o CQ (Cola personalizada) y mecanismos de compresin de cabeceras, como compresin de cabecera TCP, se necesita usar el ancho de banda de forma mucho ms eficiente.
    Nota: PQ y CQ son mecanismos de prioridad tradicionales de Cisco que han sido sustituidos por mecanismos ms avanzados, como WFQ, CBWFQ y LLQ.

    41

    CCNP ONT
    Dependiendo del tipo de trfico de la red, debemos escoger la cola apropiada y los mecanismos de compresin. En el ejemplo, la estrategia utilizada es CQ y compresin de cabecera TCP. Cada prestacin QoS necesita una lnea separada. CQ necesita 2 lneas, una lnea que configura la primera lista de la cola (en el ejemplo para el trfico telnet), y una segunda lnea que ata a la lista de cola a una interfaz y activa la lista. La configuracin PPP multienlace necesita 4 lneas y otra lnea ms para la compresin de cabecera TCP.

    3.4.3 QoS CLI Modular


    El MQC de Cisco permite a los usuarios crear polticas de trfico y adjuntar las mismas a interfaces. Una poltica QoS contiene una o ms clases de trfico y una o ms prestaciones QoS. Una clase clasifica trfico, y una prestacin QoS determina como tratar al trfico clasificado. El MQC ofrece ventajas significativas sobre el mtodo estudiado en el apartado anterior. Con MQC, el administrador puede reducir notablemente el tiempo y esfuerzo tomado en la configuracin QoS dentro de una red compleja. En lugar de configurar comandos a pelo en la CLI interfaz por interfaz, el administrador desarrolla un conjunto uniforme de conjuntos de clases de trfico y polticas QoS que son aplicados a las interfaces. El uso de MQC permite la separacin de clasificaciones de trfico definidos en la poltica QoS. Existen 3 pasos que deben seguirse en la configuracin de MQC. * CREACIN DE UN CLASS MAP: De qu trfico he de estar pendiente? El primer paso en un despliegue QoS es identificar el trfico interesante, es decir, clasificar los paquetes. Este paso define un agrupamiento de trficos de red (lo que sera propiamente un class map en terminologa MQC) con varias herramientas de clasificacin (ACL, direcciones IP, Procedencia ip, 802.1p, MPLS EXP, NBAR, etc. Usaremos el comando CLASS-MAP para clasificar el trfico. * POLICY MAP: Qu suceder con el trfico clasificado? Decidiremos en este paso que hacer con un grupo una vez que el trfico ha sido identificado. Este paso es la construccin actual de la poltica QoS. Escogeremos el grupo de trfico (class-map) en el cual realizar funciones QoS. Ejemplos de QoS son colas, borrados, marcas, etc En este paso, configuraremos cada poltica de trfico asociando la clase de trfico con una o ms prestaciones QoS usando el comando POLICY-MAP. * SERVICE POLICY: Dnde aplicamos la poltica? Aplicamos el policy-map apropiado a las interfaces deseadas, sub-interfaces o PVCs ATM o Frame Relay. Usamos el comando SERVICE-POLICY.

    En la figura tenemos un ejemplo del proceso. El paso de clasificacin es modular e independiente de qu sucede una vez que el paquete es clasificado.

    3.4.4 Paso 1 QoS CLI Modular: Configurar los Class Maps


    El paso 1 requiere decir al router que trfico obtendr QoS y a qu grado. Una ACL es la forma tradicional de definir cualquier trfico en un router. Un class-map define el trfico dentro de grupos con plantillas de clasificacin que se usan por los policy maps donde los mecanismos QoS son agrupados en clases. Podemos configurar hasta 256 class maps dentro de un router. Por ejemplo, queremos asignar a las aplicaciones de vdeo un class map llamado video, y a las aplicaciones de correo un class map llamado Mail. Podramos crear tambin un class map llamado VoIP e incluir todos los protocolos VoIP. El comando CLASS-MAP crea un class-map desde el modo de configuracin global. Identificamos el class map con nombres case-sensitive. Todas las referencias a dicho class map deben utilizar el nombre utilizado.

    42

    CCNP ONT
    Existen 2 formas de procesar condiciones cuando hay ms de una condicin en un class map: - MATCH ALL: Se deben cumplir todas las condiciones para atar el paquete a la clase. - MATCH ANY: Con cumplir una sola condicin se atar el paquete a la clase. La estrategia por defecto de los class map es match all. El comando MATCH especifica varios criterios para la clasificacin de paquetes. Los paquetes son examinados para determinar si estos coinciden con los criterios especificados en los comandos match. Si un paquete coincide con el criterio especificado el paquete es considerado un miembro de la clase y se enva de acuerdo a las especificaciones QoS configuradas en la poltica de trfico. Los paquetes que no cumplen con ninguna clase se clasifican como miembros de la clase de trfico por defecto. El comando MATCH NOT invierte la condicin especificada. Especifica un criterio de coincidencia que previene que los paquetes sean clasificados como miembros de la clase de trfico especificada. El comando DESCRIPTION se usa para documentar la funcin del class map. Existen muchas formas de clasificar trfico cuando configuramos class maps. El comando de la figura permite usar una ACL como criterio de coincidencia para la clasificacin de trfico.

    EJEMPLO: CLASES DE TRFICO DEFINIDAS


    En el siguiente ejemplo, se crearn 2 clases de trfico se definirn sus criterios de coincidencia. Para la primera clase de trfico, llamada class1, se usara la ACL 101 como toma de decisin de criterios. Para la segunda, class2, se usar la ACL 102. El router examinar los paquetes sobre los contenidos de estas ACL para determinar si los mismos pertenecen a estas clases. Router(config)# class-map class1 Router(config-cmap)# match access-group 101 Router(config-cmap)# exit Router(config)# class-map class2 Router(config-cmap)# match access-group 102 Router(config-cmap)# exit

    EJEMPLO: COMANDO MATCH NOT El comando MATCH NOT se usa para especificar un valor de poltica QoS especfico que no se usa como
    criterio de coincidencia. Cuando usamos este comando, todos los dems valores de la poltica QoS llegarn a ser satisfactorios como criterios de coincidencia. Por ejemplo, si se usa el comando MATCH NOT QOS-GROUP 4 en el modo de configuracin de class map, la clase especificada aceptar todos los valores de grupo QoS excepto el 4 como criterios de coincidencias. En la siguiente clase de trfico, se considerarn correctos todos los protocolos excepto IP: Router(config)# class-map noip Router(config-cmap)# match not protocol ip Router(config-cmap)# exit

    3.4.5 Paso 2: Configurar Policy Maps


    El comando POLICY-MAP crea una poltica de trfico. Su propsito es configurar prestaciones QoS que deberan asociarse con el trfico, el cual es entonces clasificado dentro de una clase de trfico. Podemos asignar ms ancho de banda a esa clase o darle ciertas prioridades. Una poltica de trfico contiene 3 elementos, un nombre case-sensitive, una clase de trfico (especificada en el paso anterior) y las polticas QoS. El comando policy-map especifica el nombre de la poltica de trfico. Tras ingresarlo entramos al modo de configuracin del policy-map. Desde aqu, podemos ingresar el nombre de una clase de trfico (class-map), mediante el comando CLASS <NOMBRE CLASS-MAP | CLASSDEFAULT>. Un paquete puede coincidir slo con una clase de trfico dentro de una poltica de trfico. Si un paquete coincide con ms de una clase de trfico en la poltica de trfico, la primera clase definida en la poltica ser la utilizada. MQC no requiere que asociemos slo una clase a una poltica de trfico. Mltiples clases de trfico puede asociarse con una poltica de trfico nica. Todo el trfico no identificado en cualquiera de los class maps usados por el policy map formar parte de la clase por defecto class-default. Esta clase no tiene garantas QoS por defecto. La clase default puede usar colas FIFO o WFQ.

    EJEMPLO DE POLTICA DE TRFICO CREADA

    En el siguiente ejemplo se define la poltica de trfico llamada policy1 que contiene especificaciones de polticas para 2 clases: class1 y class2. Los criterios de coincidencia fueron definidos anteriormente. Para la class1, la poltica incluye una solicitud de reserva de ancho de banda y un contador lmite de paquetes mximo para la cola reservado a la clase. Para la class2, la poltica especifica slo una solicitud de reserva de ancho de banda. Router(config)# policy-map policy1 Router(config-pmap)# exit Router(config-pmap)# class class1 Router(config-pmap)# class class2 Router(config-pmap-c)# bandwidth Router(config-pmap-c)# bandwidth 3000 2000 Router(config-pmap-c)# queue-limit Router(config-pmap)# exit 30

    43

    EJEMPLO DE CREACIN DE UN SUB-RATE


    En este ejemplo, necesitamos hacer valer un sub-rate (esto es, un cao de 10 Mbps virtuales en un enlace de 1Gbps) en un enlace particular, mientras ofrecemos un ancho de banda mnimo garantizado a aplicaciones como la voz, misin critica y vdeo dentro de un cao virtual, de la siguiente forma: Voz (1 Mbps) // Misin crtica (2 Mbps) // Vdeo (5 Mbps) // Ancho de banda restante localizado para trfico de mejor esfuerzo dentro del cao definido de 10 Mbps. La configuracin sera la siguiente: Router(config)# policy-map CHILD Router(config-pmap)# class VOICE Router(config-pmap-c)# priority 1000 Router(config-pmap-c)# class MCA Router(config-pmap-c)# bandwidth 2000 Router(config-pmap-c)# class VIDEO Router(config-pmap-c)# bandwidth 5000 Router(config)# policy-map PARENT Router(config-pmap)# class class-default Router(config-pmap-c)# shape average 10000000 Router(config-pmap-c)# service-policy CHILD Si una aplicacin en particular no usa el ancho de banda, puede compartirse el mismo con las demas aplicaciones activas, por lo que el ancho de banda no se desperdicia.

    EJEMPLO DE CONFIGURACIN DE LA CLASE DE TRFICO POR DEFECTO


    El trfico sin clasificar (que no ha cumplido ningn criterio de los class maps) se trata segn la poltica definida para esta clase. Por defecto, esta clase no tiene prestaciones configuradas, colocndose en colas FIFO. En el siguiente ejemplo se configura una poltica de trfico para la clase por defecto de la poltica de trfico llamada policy1. La clase por defecto tiene 2 caractersticas: 10 colas para el trfico que no cumple los criterios de las dems clases asociadas a la poltica // Un mximo de 20 paquetes por cola antes de que se comiencen a eliminar los ltimos paquetes llegados a la interfaz (tail-drop). Router(config)# policy-map policy1 Router(config-pmap)# class class-default Router(config-pmap-c)# fair-queue 10 Router(config-pmap-c)# queue-limit 20

    EJEMPLO DE CONFIGURACIN DE CLASS-MAP MATCH ANY Y CLASS-MAP MATCH-ALL Las opciones MATCH-ANY y MATCH-ALL determinan como se evaluarn los paquetes cuando existen
    mltiples criterios de coincidencia. Los paquetes deben cumplir todos los criterios de un match-all y uno o ms criterios de un match-any para que se les considere miembros de la clase de trfico. Router(config)# class-map match-all cisco1 Router(config-cmap)# match protocol ip Router(config-cmap)# match qos-group 4 Router(config-cmap)# match access-group 101 Si un paquete llega a un router con trfico clasificado como cisco1 configurado en la interfaz, el router evala el paquete para determinar si cumple ser un paquete IP, un grupo QoS 4 y la lista de acceso 101. Si es as, el paquete se le considera miembro de esta clase.

    3.4.6 Paso 3: Asociar la poltica a las interfaces


    Como sucede con las ACL, debemos aplicar el policy map a la interfaz especfica donde queremos que afecte. Lo podemos colocar de entrada o de salida. Utilizamos el comando SERVICE-POLICY para su insercin.

    En el ejemplo se muestra el uso de un policy map para separar el trfico HTTP de otros tipos de trfico. El trfico HTTP tiene un ancho de banda garantizado de 2 Mbps. Todo el dems trfico pertenece a la clase por defecto y tiene garantizado 6 Mbps de ancho de banda.

    3.4.7 Class Maps Anidados


    EJEMPLO: TRFICO ANIDADO PARA MANTENIMIENTO
    En el siguiente ejemplo, la clase de trfico llamada class1 tiene las mismas caractersticas que la clase de trfico llamada class2, a excepcin que la clase class2 ha aadido una direccin de destino como criterio de coincidencia. En lugar de configurar la clases de trfico class1 lnea a lnea, el usuario puede utilizar la clase class2 y aadir el valor adicional de la clase class1. En las siguientes lneas se muestra la configuracin utilizada:

    CCNP ONT
    Router(config)# class-map match-any class2 Router(config-cmap)# match protocol ip Router(config-cmap)# match qos-group 3 Router(config-cmap)# match access-group 2 Router(config-cmap)# exit Router(config)# class-map match-all class1 Router(config-cmap)# match class-map class2 Router(config-cmap)# match destination-address mac 1.1.1 Router(config-cmap)# exit

    3.4.8 Ejemplo MQC


    En el escenario, la oficina se conecta mediante un enlace WAN lento a la central. Los 2 sitios poseen telfonos IP, PCs y servidores que ejecutan aplicaciones interactivas, como servicios de terminal. La estrategia debe cumplir con los requisitos del trfico de voz (una mayor prioridad, mejor retardo y ancho de banda constante). Los requisitos de clasificacin tambin afectarn a la estrategia.

    En la figura se muestra un ejemplo de las tareas complicadas de configuracin envueltas en el uso de MQC en el router Office.

    3.4.9 Comandos de verificacin bsica de MQC


    Comando Show class-map Show policy-map Show policy-map interface Descripcin Muestra las clases configuradas Muestra las polticas configuradas Muestra el policy map aplicado a una interfaz

    3.5 Implementar QoS con SDM QoS Wizard


    3.5.1 Configurar QoS con Cisco SDM QoS Wizard
    En la seccin de configuracin QoS del SDM existen varias prestaciones en la definicin de clases de trfico y configuracin de polticas QoS. El asistente QoS ofrece una optimizacin LAN, WAN y VPN efectiva y fcil. Existen 3 categoras predefinidas de necesidades de negocio: - TIEMPO REAL: VoIP y trfico de sealizacin de la voz. - CRTICO DE NEGOCIO: Trfico importante para un entorno corporativo particular. Protocolos que podran incluirse en esta categora son Citrix, SQLNet, LDAP, etc. Los protocolos de enrutamiento tambin pertenecen a esta categora. - MEJOR ESFUERZO: trfico restante.

    3.5.2 Creacin de la Poltica QoS


    -

    PASO PASO PASO PASO

    1: Pulsar botn de configuracin en la ventana SDM. 2: Pulsar Calidad de Servicio en la barra de tareas en la parte izquierda de la ventana. 3: Click en la pestaa Crear Poltica QoS. 4: Pulsamos ejecutar el asistente.

    45

    CCNP ONT
    - PASO 5: El asistente QoS SDM informa que configurar 2 clases: real-time y crtico de negocio. Le damos a siguiente. - PASO 6: Seleccionamos una interfaz. Pulsamos siguiente. - PASO 7: Nos aparecer una pantalla de Generacin de Poltica QoS solicitndonos el ingreso de los porcentajes para cada clase. Despus de ingresar los nmeros, el SDM automticamente calcular las clases de mejor esfuerzo y los requisitos de ancho de banda para cada clase. Pulsamos siguiente y nos aparecer un sumario de la configuracin.

    3.5.3 Monitoreo del Estado de QoS

    Entramos al modo monitor, y hacemos click en el botn QoS Status. Aparecen 3 estadsticas de trfico en la barra.

    46

    CCNP ONT

    Tema 4. Implementando el modelo QoS DiffServ


    4.1 Introduccin a la clasificacin y marcado
    4.1.1 Clasificacin
    La clasificacin es el proceso de identificar trfico y categorizarlo dentro de clases. La clasificacin usa un descriptor de trfico para categorizar un paquete dentro de un grupo especfico para definir ese paquete. Los descriptores de trfico usados habitualmente son: Interfaces entrantes // Procedencia IP // DSCP (Punto de cdigo de servicio diferenciado) // Direccin origen o destino // Aplicacin. Usando la clasificacin, los administradores de red pueden particionar el trfico de red en mltiples clases de servicio (CoS). Cuando se usan descriptores de trfico para clasificar paquetes, el origen implcitamente acuerda adherirse a los trminos contratados y las premisas QoS. La clasificacin debe realizarse en el borde de la red, normalmente en el armario de cableado, dentro de telfonos IP o en puntos finales de la red. Cisco recomienda realizar la clasificacin lo ms cerca posible del origen del trfico.

    4.1.2 Marcado
    El marcado se refiere a la clasificacin. El marcado permite a los dispositivos de red clasificar un paquete o una trama basndose en el descriptor de trfico especificado. Las herramientas de clasificacin QoS categorizan paquetes examinando los contenidos de la trama, celda y cabeceras de paquete. Para colocar a la voz y a los datos en colas separadas, por ejemplo, debemos usar alguna forma de clasificacin para diferenciar los 2 tipos de trfico y colocar cada trfico identificado en la cola correcta. El marcado permite a las herramientas QoS cambiar bits de la cabecera del paquete para indicar el nivel de servicio que el paquete debe recibir. Sin el marcado, la trama, el paquete o la celda permanece sin cambios. El marcado utiliza un valor dentro de un pequeo nmero de campos bien definidos diseados especficamente para el marcado QoS. Aunque las herramientas de clasificacin o marcado no afectan directamente al ancho de banda, retardo, jitter o prdidas, son los pilares de todas las dems herramientas QoS. Con el marcado y la clasificacin, todo el trfico de la red se identifica para que la siguiente herramienta QoS haga su funcin. Los descriptores de trfico que se usan habitualmente incluyen: - CAPA DE ENLACE DE DATOS: CoS (ISL, 802.1P) // bits EXP MPLS // Frame Relay - CAPA DE RED: DSCP // Procedencia IP.

    4.1.3 Clasificacin y marcado en la capa de enlace de datos


    El estndar 802.1Q es una especificacin del IEEE para redes conmutadas que usan VLAN. El 802.1Q define 2 campos de 2 bytes (TPID: Identificador de etiqueta del protocolo (protocolo encapsulado) // TCI: Informacin de etiqueta de control) que se insertan dentro de una trama Ethernet siguiente a la direccin MAC de origen. El campo TPID actualmente es fijo y tiene asignado el valor de 0x8100, lo cual indica una etiqueta 802.1Q. El campo TCI se compone de 3 campos, como vemos en la figura: - BITS DE PRIORIDAD DE USUARIO (PRI): Las especificaciones de este campo estn definidas por el IEEE 802.1P. Estos bits pueden usarse para marcar paquetes como pertenecientes a un CoS especfico. Estos 3 bits permiten 8 niveles de clasificacin, permitiendo una correspondencia directa con la procedencia IP (valor ToS de la cabecera IPv4).La imagen muestra las definiciones de cada CoS especificadas por el estndar 802.1P. Una desventaja de usar marcado CoS es que las tramas pierden la marca cuando transitan de un enlace no-802.1Q a un enlace no-802.1P. Tan pronto como un paquete se enva a nivel de capa 3, ya sea por un router o por un switch multicapa, la cabecera LAN antigua se descarta perdindose as el valor del campo CoS. Esto se soluciona habitualmente traduciendo las marcas CoS en otras marcas o, simplemente, usando un mecanismo de marcado diferente. - CFI (INDICADOR DE FORMATO CANNICO): Este bit indica si el orden de los bits es cannico o no. Es utilizado para la compatibilidad entre redes Ethernet y Token Ring. - VLAN IDENTIFIER (VLAN ID): Es un campo de 12 bits que define la VLAN usada por el 802.1Q. El hecho de que el campo sea de 12 bits de longitud restringe el nmero de VLANs soportadas por 802.1Q a 4096. Para la mayora de los clientes, estas son suficientes. Para las aplicaciones de proveedores de servicio, probablemente 4096 VLAN no sean suficientes.

    47

    CCNP ONT
    CLASIFICACIN Y MARCADO EN LA EMPRESA
    Antes que el IETF definiera mtodos QoS en la capa de red, el ITU-T y el Foro Frame Relay (FRF) ya realizaron estndares QoS para la capa de enlace de datos en las redes Frame Relay. Frame Relay provee un conjunto simple de mecanismos QoS para asegurar una CIR (Velocidad contratada asegurada). Un componente del QoS Frame Relay es el descarte de paquetes cuando existe congestin en la red. Frame Relay permitir que se enve trfico a velocidades superiores al CIR. Las tramas que excedan la velocidad del CIR pueden marcarse como elegibles para el descarte (DE a 1) en el switch Frame Relay de entrada. Si existe congestin en la red, las tramas marcadas con el bit DE sern descartadas dando preferencia a las no marcadas. Los bits FECN y BECN informan de la existencia de congestin hacia delante y hacia atrs para que los switches borren del buffer las tramas que tengan con el bit DE que pudieran seguir saturando el enlace.

    MARCADO EN MPLS
    Cuando un cliente transmite paquetes IP de un sitio a otro, el campo de procedencia IP (los primeros 3 bits del campo DSCP de la cabecera del paquete IP [ToS]) especifican el CoS. Basndose en el marcado de procedencia IP, al paquete se le da el tratamiento deseado, como ancho de banda garantizado o latencia. Los bits experimentales MPLS (EXP) se componen de un campo de 3 bits que podemos usar para mapear la procedencia IP (ToS) a la etiqueta MPLS. Esto permite que routers habilitados para MPLS puedan realizar labores QoS basndose en el campo de procedencia IP original dentro del paquete IP encapsulado por MPLS, sin necesidad de gastar recursos en buscar dentro de la cabecera IP y examinar el campo ToS. El campo MPLS EXP permite al SP proveer QoS sin sobreescribir el valor de procedencia IP del cliente. La cabecera IP se mantiene disponible para el cliente, y el paquete marcado IP del paquete no se cambia mientras el mismo atraviesa la red MPLS. MPLS usa un etiqueta de 32 bits (cabecera shim), la cual es insertada entre las cabeceras de capa 2 y de capa 3 (en el modo trama). El campo MPLS EXP soporta hasta 8 CoS. Por defecto, el software Cisco copia los 3 bits ms significantes del DSCP de la cabecera IP al campo EXP. Los bits EXP se conservan a travs de la cabecera MPLS.

    4.1.4 Modelo DiffServ


    La arquitectura DiffServ se basa en un modelo simple en el cual los paquetes de datos son colocados dentro de un nmero limitado de clases de trfico, ms que diferenciar el trfico de red basndose en los requisitos de un flujo individual. Cada router en la red se configura para diferenciar trficos basndose en su clase. Cada clase de trfico puede ser gestionada de forma diferente, asegurando un tratamiento preferente al trfico de alta prioridad. Los routers habilitados para DiffServ implementan conductas por salto (PHB Per Hop Behaviors), las cuales definen las propiedades de envo de paquetes asociadas con una clase o trfico. Todo el trfico que fluye a travs de un router que pertenece a la misma clase se le conoce como BA (comportamiento asociado). Los valores DSCP marcan paquetes para seleccionar un PHB. Dentro del ncleo de la red, los paquetes se envan de acuerdo al PHB asociado con el DSCP. Uno de los principios fundamentales de DiffServ es que los paquetes deben marcarse lo ms cerca del borde de la red posible. La clasificacin de pertenencia de los paquetes es a menudo una tarea difcil y larga. Deberemos clasificar los datos el menor nmero de veces posible. Marcando el trfico en el borde de la red, los dispositivos del ncleo y otros existentes en el trayecto sern capaces de forma rpida de determinar el CoS correcto a aplicar a un flujo de trfico dado. Un beneficio clave de DiffServ en comparacin con IntServ es una escalabilidad ms fcil. DiffServ se usa para aplicaciones de misin-crtica y para proveer QoS de extremo a extremo. DiffServ describe servicios y permite que varios servicios definidos de usuario usen una red habilitada para DiffServ. Los servicios son definidos como requisitos QoS y garantas provistas para un conjunto de paquetes con el mismo valor DSCP. Los servicios son provistos a clases. Una clase puede ser identificada como una aplicacin simple o mltiples aplicaciones con similares necesidades de servicio, o puede basarse en direcciones IP de origen y destino, o en flujos de trfico.

    48

    CCNP ONT
    La idea es que la red reconozca una clase sin tener que recibir solicitudes especficas desde las aplicaciones. Esto permite que los mecanismos QoS se apliquen a otras aplicaciones que no tienen funcionalidades RSVP (Protocolo de Reserva de Recursos), lo cual es el caso del 99% de las aplicaciones que usan IP.

    4.1.5 Procedencia IP y compatibilidad DSCP


    La introduccin de DSCP reemplaza la procedencia IP, un campo de 3 bits en el byte ToS de la cabecera IP original usado para clasificar y priorizar tipos de trfico. Sin embargo, DiffServ mantiene la interoperabilidad con dispositivos no habilitados para DiffServ (es decir, aquellos que todava usan la procedencia IP). Debido a esta compatibilidad retrospectiva de DiffServ, podemos desplegarlo granularmente en redes grandes. El significado de los 8 bits del campo DiffServ del paquete IP ha cambiado con el tiempo para alcanzar una expansin en los requisitos de las redes IP. Originalmente, el campo se refera al campo ToS, y los primeros 3 bits definan un valor de procedencia IP. Un paquete podra ser asignado a 6 prioridades basndose en el valor de procedencia IP (2 valores de los 8 quedan reservados). La procedencia IP de 5 tena la prioridad ms alta que podra ser asignada. En 1998, el RFC 2474 reemplaz el campo ToS con el campo DiffServ, en el cual un rango de 8 valores (selector de clase) se usaba para compatibilidad retrospectiva con la procedencia IP. No hay compatibilidad con los dems bits del campo ToS. El RFC 1812 simplemente prioriza paquetes de acuerdo al valor de procedencia IP. Por ejemplo, consideremos un SP que ofrece un servicio de clases llamado Olympic (Oro, Plata y Bronce). Los paquetes de la clase oro tendrn una prioridad mayor, y as hacia abajo.

    4.1.6 Comportamientos por Salto


    Un PHB es una descripcin de un comportamiento de envo de un nodo DiffServ aplicado a una clase (BA) de DiffServ particular. Por ejemplo, en el evento que slo un BA ocupe un enlace, el comportamiento de envo observable (esto es, prdidas, retrasos y jitter) depender a menudo slo de la carga relativa del enlace. Las distinciones de comportamientos ms tiles se observan principalmente cuando existen mltiples BAs compitiendo por los recursos de buffer y ancho de banda de un nodo. Un PHB puede ser especificado en trminos de sus recursos (como buffer, ancho de banda, etc.), prioridad relativa con respecto a otros PHBs, o en trminos de sus caractersticas de trfico relativas observables (como retardos o prdidas). Una definicin de grupos PHB debe indicar posibles conflictos con grupos PHB previos que para prevenir una operacin simultnea. La arquitectura DiffServ define el campo DS (DiffServ), el cual sustitye el campo ToS en IPv4 para realizar decisiones PHB sobre la clasificacin de paquetes y las funciones de condiciones de trfico, como metering, marking, shaping y policing. Como recordatorio: - METERING (MEDIR): Es el proceso de medir las propiedades temporales (por ejemplo la cantidad) de un stream de trfico seleccionado por un clasificador. El estado instantneo de este proceso puede usarse para afectar la operacin de moldeo (Shaper), borrado, etc. - MARKING (MARCAR): Es el proceso de configurar el DSCP de un paquete basndose en reglas definidas. - SHAPING (MOLDEAR): Es el proceso de retrasar paquetes dentro de un stream de trfico para provocar que el trfico se adapte a algunos perfiles de trfico definidos. - POLICING (DECIDIR SI BORRAR): Es el proceso de descartar paquetes dentro de un stream de trfico de acuerdo al estado de una medida correspondiente. El IETF define los siguientes PHBs: - PHB POR DEFECTO: Usado para un servicio de mejor esfuerzo (bits 5 a 7 de DSCP = 000). - PHB ENVO GIL (EF): Usado para un servicio de baja retardo (bits 5 a 7 de DSCP = 101). - PHB ENVO ASEGURADO (AF): Usado para servicios de ancho de banda garantizado (bits 5 a 7 del DSCP iguales a 001, 010, 011 o 100).

    49

    CCNP ONT
    - SELECTOR DE CASE PHB: Usado para compatibilidad retrospectiva con dispositivos no habilitados para DiffServ (RFC 1812, bits 2 a 4 del DSCP = 000).

    EF PHB
    En la figura se aporta una vista detallada de EF PHB usado por DSCP. El PHB EF se identifica basndose en lo siguiente: - EL PHB EF ASEGURA UNA CANTIDAD MNIMA DE PARTIDA: Provee el retardo ms baja posible a aplicaciones sensibles a demoras. - EL PHB EF GARANTIZA ANCHO DE BANDA: Previene la saturacin de un enlace si existen mltiples aplicaciones usando PHB EF. - PHB EF DESCARTA CUANDO EXISTE CONGESTIN: El EF PHB previene la inanicin de otras aplicaciones o clases que no estn usando este PHB. Los paquetes que requieren EF deben marcarse con un DSCP de 101110 (46 o CX2E). Los dispositivos que no estn habilitados para DiffServ consideran un valor 101110 como valor de procedencia IP de 5 (101). Esta procedencia es el valor mayor definible de procedencia IP para estos dispositivos, y es tpicamente usado para trfico sensible a demoras (como VoIP).

    AF PHB
    El AF PHB se identifica basndose en lo siguiente: - El AF PHB garantiza una cierta cantidad de ancho de banda a una clase AF. - El AF PHB permite acceder a ancho de banda extra, si existe disponible. Los paquetes que requieren AF PHB deben marcarse con un valor DSCP de aaadd0, donde aaa es el nmero de la case y dd es la probabilidad de borrado (como se ve en la figura). Existen 4 clases estndar de AF definidas: AF1, AF2, AF3 y AF4. Cada clase debe tratarse de forma independiente y debera tener su ancho de banda localizado basndose en la poltica QoS.

    CLASE PROBABILIDAD BORRADO AF CLASS 1 AF11 (bajo)


    AF12 AF13 AF CLASS 2 AF21 AF22 AF23 (medio) (alto) (bajo) (medio) (alto)

    DSCP
    001 001 001 010 010 010 01 10 11 01 10 11 0 0 0 0 0 0

    CLASE PROBABILIDAD BORRADO AF CLASS 3 AF31 (bajo)


    AF32 AF33 AF CLASS 4 AF41 AF42 AF43 (medio) (alto) (bajo) (medio) (alto)

    DSCP
    011 011 011 100 100 100 01 10 11 01 10 11 0 0 0 0 0 0

    4.1.7 Grupos PHB Estndar


    Con la habilidad del sistema para marcar paquetes de acuerdo a la configuracin DSCP, una coleccin de paquetes (con la misma configuracin DSCP y enviados a una direccin particular) pueden ser agrupados dentro de un BA. Los paquetes desde mltiples orgenes o aplicaciones pueden pertenecer al mismo BA. El IETF define un grupo PHB como un conjunto de una o ms PHBs que pueden ser especificadas e implementadas en simultneo, debido a una restriccin comn aplicada a todas las PHBs del conjunto, como un servicio de colas o una poltica de gestin de colas. En otras palabras, un grupo PHB se refiere a una programacin de paquetes, colas, polticas o comportamientos de moldeo de un nodo o cualquier paquete perteneciente a una BA. La PHB por defecto especifica que un paquete marcado con un valor DSCP de 000000 recibe un servicio de mejor esfuerzo desde un nodo habilitado para DiffServ. Si un paquete llega a un nodo habilitado para DiffServ y el valor DSCP no se mapea a uno PHB, el paquete es mapeado a esta servicio. El PHB AF define 4 clases AF. Cada clase tiene asignada cantidad especfica de espacio en el bfer y ancho de banda. Est permitido obtener ancho de banda desde otras clases AF si el mismo est disponible. Los PHB EF definen una clase, la cual asigna a una cantidad fija de ancho de banda slo para esa clase.

    50

    CCNP ONT

    4.1.8 Mapeo del CoS al QoS de la capa de Red


    Las cabeceras IP se mantienen de extremo a extremo cuando los paquetes IP se transportan a lo largo de una red, sin embargo las cabeceras de capa 2 no. Esto significa que la capa IP es el lugar ms lgico donde marcar paquetes para un QoS de extremo a extremo. Sin embargo, existen dispositivos que pueden marcar tramas slo en la capa 2, y existen otros dispositivos que operan slo en la capa 3. Para proveer un QoS real de extremo a extremo, es esencial el mapeo de marcas QoS entre la capa de enlace de datos y la capa de red. Las redes empresariales consisten tpicamente de un nmero de sitios remotos conectados a un HQ va WAN. Los sitios remotos consisten tpicamente en una LAN switcheada, y la red de campus del HQ es switcheada y enrutada. Si se provee QoS de extremo a extremo se requiere que las marcas CoS que se configuran en el borde LAN se mapeen dentro de marcas QoS (como procedencia IP o DSCP) para el trnsito a travs de los routers del Campus o WAN. Los routers de campus y WAN tambin pueden mapear las marcas QoS a nuevas cabeceras de capa 2 para su trnsito. Los proveedores de servicio tambin ofrecen servicios IP con soluciones robustas de QoS a sus clientes. La compatibilidad entre MPLS y la capa de red es lograr mapear los bits EXP de MPLS a los bits de procedencia IP o DSCP.

    4.1.9 Clase de servicio QoS definida


    Cuando creamos una poltica administrativa que requiere QoS, debemos determinar cmo se tratar al trfico de red. Como parte de la definicin, el trfico de red debe asociarse con una clase de servicio especfica. Una clase de servicio, siendo ello un grupo lgico, puede definirse de varias formas: - Por organizacin o departamento (por ejemplo, marketing, ingeniera y ventas). - Un cliente especfico o conjunto de clientes. - Aplicaciones especficas o conjuntos de aplicaciones (por ejemplo Telnet, FTP, voz, Oracle, etc). - Usuarios especficos o conjuntos de usuarios (basados en MAC, IP, puerto LAN, por ejemplo). - Destinos de red especficos (como interfaces tnel y VPN. En la figura se muestra como definir clases de servicio QoS. Un administrador de red quiere aplicar QoS a la red corporativa para mejorar el control de localizacin de ancho de banda para las diferentes aplicaciones de red. Antes que el QoS pueda aplicarse, se debe definir primero una poltica QoS administrativa, como vemos en el ejemplo. En el ejemplo, el 15% restante de ancho de banda disponible se reserva para la gestin, sealizacin y enrutamiento. Estos porcentajes no son valores necesariamente recomendados, simplemente representan este ejemplo en particular.

    4.1.10 Implementar una poltica QoS usando una clase de servicio QoS
    Especificar una poltica administrativa QoS requiere que un conjunto de clases de servicio especficas se definan. Los mecanismos QoS se aplican de forma uniforme a estas clases de servicio individuales para cumplir los requisitos de la poltica. El primer paso es identificar el trfico de la red y los requisitos QoS para cada trfico. Entonces, el trfico puede ser agrupado dentro de un conjunto de clases de servicio para un tratamiento diferenciado QoS en la red. Aunque existen muchas variaciones, en la figura se muestra un modelo de cliente que define varias clases de servicio tpicas: LA CLASE DE VOZ: entrega servicios de voz con baja lantencia. LA CLASE MISIN-CRTICA: Garantiza latencia y entrega para el transporte de aplicaciones crticas para el negocio. LA CLASE TRANSACCIONAL garantiza entrega y se usa para aplicaciones generales que no son sensibles a demoras en comparacin con las

    51

    CCNP ONT
    misin-critica.

    LA CLASE DE MEJOR ESFUERZO usada para dar soporte a correos electrnicos y otras aplicaciones de mejore esfuerzo. Una poltica administrativa debe ser proactiva y requiere cuantas menos clases de servicio mejor. Una buena regla es limitar el nmero de clases de servicio a no ms de cuatro o cinco. Un elemento clave a la hora de definir clases de servicio QoS es comprender las necesidades de calidad bsicas de las aplicaciones de red. Es esencial que las aplicaciones reciban un tratamiento QoS acorde a sus necesidades. EJEMPLO: CLASES DE SERVICIO DE APLICACIN
    Aunque existen documentos para usar como guas para determinar una poltica QoS, ninguno de ellos puede determinar de forma exacta cual es el correcto para una red especfica. Para implementar correctamente el QoS, se deben declarar metas medibles, y entonces se debe formular e implementar un plan para logar estas metas. QoS debe ser implementado de forma consistente a lo largo de la red entera. En este ejemplo, se desplegar una poltica QoS y se definirn varias clases de servicio para los flujos. Como vemos en la figura, los flujos de trfico pueden ser clasificados con una procedencia IP de 5, PHB EF, o un DSCP de 46. Dependiendo del diseo QoS de la red, los valores de clasificacin se mapean en los bits MPLS, por ejemplo.

    4.1.11 Lmites de Confianza


    Un lmite de confianza es el punto dentro de la red donde ocurre un marcado CoS o DSCP que ser aceptado. En la figura vemos una estructura jerrquica de red. La localizacin del lmite de confianza depende de las capacidades de los dispositivos de acceder al borde de la LAN. El lmite de confianza puede ser implementado en una de las siguientes 3 localizaciones: Sistema final // Capa de acceso // Capa de distribucin. Los puntos finales de confianza tienen capacidades e inteligencia para marcar trfico de aplicacin a los valores CoS y/o DSCP apropiados. Los puntos finales tambin tienen la capacidad de re-marcar trfico que ha sido previamente marcado por un dispositivo sin confianza. Ejemplos de puntos finales de confianza son: Sistemas y gateways de videoconferencia // Estaciones de Conferencia // Puntos de acceso Wireless. Cuando un dispositivo de confianza se conecta a un puerto de switch, se requiere tpicamente ingresar solamente el comando (config-if)#mls qos trust dscp en la interfaz del switch. Si el punto final no es de confianza y el switch del armario de cableado tiene inteligencia QoS, el lmite de confianza ser movido a dicho dispositivo. Si el punto final no es de confianza y el switch del armario de cableado al que conecta no tiene capacidades QoS, el lmite de confianza ser movido a la capa de distribucin, dentro del switch o el router que recibe el trfico de la capa de acceso.

    LMITES DE CONFIANZA: TELFONOS IP Y ORDENADORES


    En la figura se muestra el desafo de seleccionar el lugar apropiado donde marcar el lmite de confianza. No se recomienda generalmente confiar en usuarios finales y sus PCs ya que los nuevos sistemas operativos como XP, Vista o Linux hacen relativamente sencillo configurar marcas CoS o DSCP en la NIC. El uso de marcas incorrectas QoS puede afectar a los niveles de servicio de otros usuarios de la empresa. Una de las principales ventajas de la

    52

    CCNP ONT
    telefona IP es la simplicidad y ahorro en costes es aadir, mover o cambiar a un usuario. Para mover un usuario, este simplemente coge el telfono IP y lo coloca en su nueva localizacin. Los telfonos IP son dispositivos de confianza, mientras que los PC no. Esto puede ser un problema cuando se aprovisiona lmites a un entorno mvil. Por ejemplo, el puerto A se configura para confiar en el punto final conectado a l, el cual inicialmente es un telfono IP. El puerto B se configura para no confiar en el punto final conectado a l, el cual es inicialmente un PC. Debido al cambio, estos dispositivos se conectarn a los puertos opuestos. Este cambio provocar fallos en la calidad de las llamadas VoIP desde el telfono IP y abrir a la red a un abuso sin intencin o deliberado de aprovisionamiento QoS por el PC. Los switches Cisco con inteligencia QoS usan CDP para descubrir si el dispositivo que se conecta a su puerto puede ser de confianza. Si el dispositivo es de confianza (como un telfono IP9, el switch extiende el lmite hasta el mismo de forma dinmica. Si CDP determina que el dispositivo puede que no sea de confianza (como un PC), el switch no extiende el lmite de confianza hasta el dispositivo. Generalmente se recomienda que el trfico de PC de usuario final no sea de confianza. Sin embargo, algunos PC ejecutan aplicaciones crticas que requieren un tratamiento QoS. Un ejemplo clsico es un PC que ejecuta el Cisco Ip Communicator. En este caso, la aplicacin necesita identificarse usando una ACL y marcando o re-marcando en el borde de acceso. Si el switch de la capa de acceso no es capaz de marcar trfico, deber ser la capa de distribucin la que realice la labor.

    4.2 Uso de NBAR para la clasificacin


    4.2.1 Reconocimiento de aplicacin basado en red (NBAR)
    NBAR es una prestacin de clasificacin y de descubrimiento de protocolo del software Cisco IOS que reconoce una amplia variedad de aplicaciones, incluyendo aquellas basadas en web y aplicaciones cliente/servidor que asignan de forma dinmica puertos TCP o UDP. Una vez que NBAR reconoce una aplicacin, la red puede invocar servicios especficos para esa aplicacin particular, como garantizar ancho de banda a aplicaciones crticas, limitar el ancho de banda a otras, borrar paquetes de forma selectiva para prevenir la congestin y marcar paquetes de forma apropiada para que la red y el ISP puedan proveer QoS de extremo a extremo. Algunos ejemplos de prestaciones QoS basadas en clases que pueden usarse en el trfico despus que el mismo ha sido clasificado por NBAR pueden ser: - Marcado basado en clases (el comando set) - CBWFQ (los comandos bandwidth y queue-limit). - Cola de baja latencia (LLQ) (el comando priority). - Poltica de trfico (el comando police). - Modelado de trfico (el comando shape). NBAR realiza las siguientes 2 funciones: Identificacin de aplicaciones y protocolos (capa 4 a capa 7) // Descubrimiento de protocolos.

    PRESTACIONES DE CLASIFICACIN

    NBAR introduce varias prestaciones nuevas de clasificacin que identifican aplicaciones y protocolos desde la capa 4 hasta la 7: - Nmeros de puerto TCP y UDP asignados de forma esttica. - Protocolos no UDP o TCP. - Nmeros de puerto TCP y UDP asignados de dinmicamente. La clasificacin de estas aplicaciones requiere una inspeccin stateful, esto es, la habilidad de descubrir conexiones de datos para ser clasificadas analizando las conexiones donde la asignacin de puertos se ha realizado. - Clasificacin de sub-puerto o clasificacin basada en una inspeccin profunda, esto es, clasificacin mirando profundamente dentro del paquete. NBAR puede clasificar puertos de protocolo estticos. Aunque las ACL tambin pueden usarse para este propsito, NBAR es ms fcil de configurar y puede proveer estadsticas de clasificacin que no estn disponibles con las ACL.

    DESCUBRIMIENTO DE PROTOCOLOS

    NBAR incluye una prestacin de descubrimiento de protocolo que provee una forma sencilla de descubrir protocolos de aplicacin que estn atravesando una interfaz. El descubrimiento de protocolos mantiene las siguientes estadsticas por protocolo en interfaces habilitadas para su uso: - Nmero total de paquetes de entrada y salida y bytes. - Cantidad de bits de entrada y salida.

    AGREGAR NUEVAS APLICACIONES

    Se pueden aadir nuevas aplicaciones a NBAR usando un PDLM (Mdulo de descripcin del lenguaje del paquete) que puede cargarse para extender la lista de protocolos reconocidos por NBAR. Esta funcin permite a NBAR reconocer nuevos protocolos sin necesidad de tener que utilizar una nueva imagen IOS.

    RESTRICCIONES

    Se debe habilitar CEF antes de configurar NBAR. NBAR no soporta lo siguiente: - Ms de 24 coincidencias simultneas de URLs, hosts o Extensiones de correo multipropsito (MIME). - Coincidencias posteriores a los primeros 400 bytes del payload. - Modos de conmutacin y multicast distintos a CEF. - Paquetes fragmentados.

    53

    CCNP ONT
    - Clasificacin de URL, hosts o MIMEs con HTTPS. - Paquetes originados desde o hacia el router que ejecuta NBAR. NBAR no es soportado en Fast EtherChannel, pero s lo es en interfaces Gigabit Ethernet. Las interfaces configuradas en modo tnel o con cifrado no soportan NBAR. NBAR no puede usarse para clasificar trfico de salida en un enlace WAN donde se usa tunneling o cifrado. Por tanto, NBAR debe configurarse en otras interfaces del router (como un enlace LAN) para realizar la clasificacin de entrada antes de que el trfico se conmute al enlace WAN de salida. Sin embargo, el descubrimiento de protocolos NBAR si es soportado en interfaces tnel o donde se usa cifrado. Podemos habilitar NBAR directamente en el tnel o en la interfaz donde se realiza el cifrado para obtener estadsticas clave acerca de las aplicaciones diferentes que atraviesan la interfaz. Las estadsticas de entrada muestran el total de paquetes tuneleados o cifrados recibidos.

    4.2.2 Soporte de aplicacin NBAR


    NBAR puede clasificar el trfico de aplicaciones mirando detrs de los nmeros de puerto TCP y UDP de un paquete. A esto se le conoce como clasificacin sub-puerto. NBAR mira dentro del payload TCP/UDP y clasifica paquetes segn el contenido del payload, como identificador de transaccin, tipo de mensaje u otros datos similares. La clasificacin de HTTP por URL, host o MIME es un ejemplo de la clasificacin subpuerto. NBAR clasifica el trfico HTTP por el texto dentro de la URL usando una coincidencia de expresiones regulares (REGEX). Las coincidencias HTTP URL de NBAR soportan la mayora de los mtodos de solicitud HTTP como GET, PUT, HEAD, POST, DELETE y TRACE. NBAR reconoce paquetes que pertenecen a diferentes tipos de aplicaciones: - Aplicaciones estticas que establecen sesiones con puertos de destino bien conocidos TCP y UDP. - Aplicaciones dinmicas que usan sesiones mltiples con puertos TCP y UDP dinmicos. - Algunos protocolos no IP, como IPX, pueden ser reconocidos por NBAR. - NBAR tambin tiene la capacidad de inspeccionar algunas aplicaciones para otra informacin y clasificar paquetes basndose en esta informacin. Por ejemplo, NBAR puede clasificar sesiones HTTP basndose en la URL solicitada.

    4.2.3 PDLM
    NBAR soporta actualizaciones dinmicas sin tener que cambiar de versin de IOS o reiniciar el router. Los PDLM contienen las reglas usadas por NBAR para reconocer una aplicacin coincidiendo patrones de texto en los paquetes de datos. Se puede cargar un PDLM externo para extender la lista de protocolos reconocidos por NBAR. Para extender la lista de protocolos reconocidos por NBAR a travs de un PDLM provisto por Cisco, usaremos el comando (config)#ip nbar pdlm <nombre-pdlm>. El parmetro nombre-pdlm debe estar en un formato URL, puede apuntar a la flash donde se almacena el cisco IOS (por ejemplo: flash://citrix.pdlm). El fichero tambin puede localizarse en un servidor TFTP. Para configurar NBAR para buscar un protocolo que usa un nmero de puerto diferente a los bien conocidos, usaremos el comando (config)#ip nbar port-map <nombre-protocolo> [tcp | udp ] <puerto>. Con el comando show de la figura mostramos los mapeos puertoprotocolo en uso por NBAR.

    4.2.4 Descubrimiento de Protocolos


    Para desarrollar y aplicar polticas QoS, NBAR incluye una prestacin de descubrimiento de protocolo que provee una forma fcil de descubrir protocolos de aplicacin que estn en trnsito en una interfaz. Esta prestacin captura estadsticas clave asociadas con cada protocolo en la red (contador de paquetes, de bytes y cantidad de bits) en una base por interfaz. El descubrimiento de protocolos puede aplicarse a interfaces y usarse para monitorear el trfico de entrada y de salida.

    4.2.5 Configurar y monitorear el descubrimiento de protocolos NBAR


    La prestacin NBAR tiene dos componentes: - Uno que monitorea aplicaciones que atraviesan la red. - Otro que clasifica el trfico por protocolo. Para monitorear aplicaciones que atraviesan la red, el protocolo de descubrimiento NBAR debe estar habilitado. La habilidad para clasificar trfico por protocolo usando NBAR y aplicar QoS al trfico clasificado se realiza usando la CLI Cisco Modular QoS (MQC). Para habilitar el descubrimiento de protocolos NBAR se usa el comando (config-if)#ip nbar protocol-discovery. Para mostrar las estadsticas donde se ha habilitado el protocolo de descubrimiento de NBAR se usa el comando #show ip nbar protocol-discovery.

    54

    CCNP ONT
    El descubrimiento de protocolos NBAR puede monitorear trficos de entrada y salid. Esta prestacin almacena estadsticas de paquetes conmutados a interfaces de salida. Estas estadsticas no son necesariamente paquetes salientes de la interfaz del router, ya que algunos de estos habrn sido borrados por varias razones (polticas de la interfaz de salida, ACL o colas de borrado).

    4.2.6 Configuracin de NBAR para protocolos estticos


    Cuando configuramos NBAR, el administrador no necesita comprender como trabajan ciertos protocolos. La configuracin simplemente requeire que el administrador ingrese el nombre del protocolo. Recordar que las configuraciones NBAR se realizan siempre desde la MQC. En el comando (config-cmap)#match protocol <nombre-protocolo>, el nombre del protocolo se refiere al protocolo usado como criterio de coincidencia. Algunos protocolos soportados seran los siguientes: arp, cdp, compressedtcp, dlsw, ip, ipx, etc. Algunos protocolos pueden usar puertos TCP y UDP adicionales (como un servidor web trabajando en el puerto 8080). Usaremos el comando (config-cmap)#ip nbar port-map para extender las funciones NBAR para protocolos bien conocidos asociados a nmeros de puerto nuevos. En la figura se muestra un ejemplo de configuracin para un servidor web que trabaja en los puertos 80 y 8080.

    4.2.7 Configuracin de NBAR stateful para protocolos dinmicos


    Como vemos en la figura, NBAR mejora las opciones de clasificacin para HTTP. Puede clasificar paquetes pertenecientes a flujos HTTP basndose en lo siguiente: - La porcin URL despus del nombre de host, la cual aparece en la solicitud GET de la sesin HTTP. - El nombre de host especificado en la solicitud GET.

    El siguiente ejemplo clasifica, dentro del class-map llamado class1, paquetes HTTP basados en cualquier URL que contenga la cadena whatsnew/latest seguida de cero o ms caracteres. class-map class1 match protocol http url whatsnew/latest* El siguiente ejemplo clasifica, dentro del class-map llamado class2, paquetes basados en cualquier nombre de host que contenga la cadena cisco seguido de cero o ms caracteres: class-map class2 match protocol http host cisco* El siguiente ejemplo clasifica, dentro del class map llamado class3, paquetes basados en el tipo JPEG: class-map class3 match protocol http mime *jpeg Una expresin regular se usa para identificar trfico FastTrack especfico. Aplicaciones que usan el protocolo punto a punto FastTrack son por ejemplo el KazaA, Grokster y Morpheus. Para especificar que todo el trfico FastTrack sea identificado por la clase de trfico, usamos la expresin regular *. En el siguiente comando se muestra como hacer coincidir todo el trfico FastTrack: match protocol fasttrack file-transfer * En el siguiente ejemplo, todos los ficheros FastTrack que tengan la extensin .mpeg sern clasificados dentro del class-map nbar: class-map match-all nbar match protocol fasttrack file-transfer *.mpeg En el siguiente ejemplo se configure NBAR para coincidir el trfico FastTrack que contenga la cadena cisco. match protocol fasttrack file-transfer *cisco*

    55

    CCNP ONT

    En la figura se alistan varias expresiones regulares y su descripcin.

    El protocolo RTP consiste en una parte de datos y otra de control. La parte de control se la conoce como RTCP. Es importante anotar que la clasificacin NBAR del payload RTP no identifica paquetes RTCP y que los paquetes RTCP ejecutan puertos raros, mientras que los paquetes RCP ejecutan puertos uniformes. La parte de datos de RTP es un protocolo delgado que provee soporte a aplicaciones con propiedades de tiempo-real (como un audio-vdeo continuo), el cual incluye reconstruccin de tiempo, deteccin de prdida, identificacin de contenido y seguridad. El tipo de payload RTP son los datos transportados por RTP en un paquete, por ejemplo muestras de audio y datos de vdeo comprimidos. La clasificacin del payload RTP por NBAR no slo permite identificar de forma stateful trfico de audio y vdeo a tiempo real, si no tambin diferenciar en base a los cdecs de vdeo y audio para proveer un QoS ms granular.

    EJEMPLO DE CLASIFICACIN DE UNA SESIN RTP


    En la figura se muestra una clasificacin simple de sesiones RTP, en las interfaces de entrada y salida del router. En la interfaz de entrada se han creado 3 class maps: voice-in, videoconference-in e interactive-in. El class-map voice-in coincidir el protocolo de audio RTP, el classmap videoconference-in coincidir el protocolo de vdeo RTP y el classmap interactive-in coincidir el protocolo Citrix. La poltica class-mark har entonces lo siguiente: - Si el paquete coincide con el class-map voice-in, el campo DSCP ser configurado a un valor EF (Expedited Forwarding). Si el paquete coincide con el class map videoconference-in, el campo DSCP se configurar con un AF41. Si el paquete coincide con el class map interactive-in, el campo DSCP se configurar a un AF31. - La poltica class-mark se aplica a la interfaz de entrada Ethernet 0/0. En la interfaz de salida se han creado 3 class maps: voice-out, videoconferencing-out e interactive-out. El class map voice-out coincidir con campos DSCP EF. El videoconferencing-out coincidir con campos DSCP AF41. El interactive-out coincidir con campos DSCP AF31. Como vemos en la figura, la poltica qos-policy har lo siguiente: - Si el paquete coincide con el class-map voice-out, la prioridad del paquete ser configurada a un 10% de ancho de banda. Si coincide con el videoconferencing-out, la prioridad del paquete ser configurada al 20% del ancho de banda. Si coincide con el interactive-out, la prioridad del paquete ser configurada al 30% del ancho de banda. Todos los dems paquetes sern clasificados como class-default. - La poltica qos-policy se aplica a la interfaz de salida serial 0/0.

    4.3 Introduccin a implementaciones de Colas


    4.3.1 Congestin y colas
    La congestin puede producirse en cualquier parte dentro de la red donde existan velocidades diferentes (por ejemplo, un enlace de 1000Mbps con otro de 100Mbps) o por la confluencia de 2 o ms streams de trfico.

    56

    CCNP ONT
    La gestin de la congestin controla la congestin cuando la misma se produce. Una forma de que los elementos de red manipulen una sobrecarga de trfico es usar un algoritmo de colas que clasifique el trfico y determine algunos mtodos de prioridad en el enlace de salida. Cada algoritmo de colas fue diseado para resolver un trfico de red especfico y tiene un efecto particular en el funcionamiento.

    EJEMPLO: CONGESTIN CAUSADA POR VELOCIDADES DISTINTAS


    Las diferencias de velocidad son la causa ms tpica de congestin en una red. Es posible tener congestiones continuas cuando el trfico se mueve de una LAN a una WAN.

    EJEMPLO: CONGESTIN CAUSADA POR AGREGADOS


    El segundo origen de congestin ms comn es un punto de agregados de una red, como vemos en la figura. Los puntos tpicos de agregacin ocurren en WANs donde mltiples sitios remotos se conectan a un sitio central. En un entorno LAN la congestin por agregados ocurre en la capa de distribucin donde los dispositivos de acceso se conectan al switch de distribucin.

    4.3.2 Gestin de Congestin: algoritmos de colas


    Las colas se disean para acomodar congestiones temporales en una interfaz de un dispositivo de red almacenando los paquetes excedentes en bfers hasta que el ancho de banda vuelva a estar disponible o hasta que la profundidad de la cola se exceda, y los paquetes tengan que borrarse. La gestin de la congestin comprende la creacin de colas, la asignacin de paquetes a estas colas basndose en la clasificacin del paquete, y la programacin de los paquetes en una cola para su transmisin. Los routers Cisco soportan varios mtodos de colas para alcanzar los requisitos de ancho de banda, jitter y retardo de las diferentes aplicaciones. El mecanismo por defecto en la mayora de las interfaces es una cola FIFO (primero en entrar, primero en salir). Algunos tipos de trfico, como voz y vdeo, tienen otros requisitos de de retardo y jitter, por lo que se deben configurar mecanismos de colas ms sofisticados en las interfaces usadas por el trfico de voz y vdeo.

    COLAS Y CONGESTIN
    Las colas complejas ocurren generalmente en interfaces salientes solo. Durante perodos con carga de trfico bajas, donde no existe congestin, los paquetes dejan la interfaz tan pronto como llegan a la misma. Durante perodos de congestin en la interfaz saliente, los paquetes llegan ms rpido de lo que la interfaz puede re-enviarlos. Cuando se usan prestaciones de gestin de congestin, los paquetes acumulados en una interfaz se colocan en colas de software de acuerdo a su prioridad asignada y el mecanismo de colas configurado en la interfaz. Estos son entonces programados para una transmisin cuando el bfer del hardware de la interfaz est libre para enviarlos. Los algoritmos de colas principales son FIFO, PQ (Priority Queuing), Round Robin y WRR (Weigthed Round Robin).

    57

    CCNP ONT 4.3.3 FIFO


    FIFO es el algoritmo de colas ms simple y el modelo predeterminado. En su forma ms simple, las colas FIFO, tambin conocidas como primero en entrar, primero en salir, almacenan paquetes cuando la red est congestionada y los envan en el orden de llegada cuando la red deja de estar congestionada. FIFO no toma decisiones acerca de la prioridad de los paquetes. Slo hay una cola y todos los paquetes se tratan por igual. FIFO es el mtodo de colas ms rpido y es efectivo en enlaces que tienen un retardo pequeo y una congestin mnima. Todas las colas son, en realidad, colas FIFO. NOTA: Las interfaces seriales a E1 (2048) y superiores usan WFQ por defecto.

    4.3.4 Prioridad de colas (PQ)


    PQ permite priorizar trfico en la red. Para ello configuramos 4 prioridades de trfico. Podemos definir una serie de filtros basados en las caractersticas del paquete para provocar que el router coloque el trfico en una de estas 4 colas. La cola con mayor prioridad se sirve primero hasta que est vaca, en ese momento las colas inferiores se sirven secuencialmente. Durante la transmisin, PQ da prioridad preferencial absoluta a las colas de mayor nivel. Los paquetes se clasifican en base a criterios especificados por el usuario. Una lista de prioridades es un conjunto de reglas que describen como se deben asignar los paquetes a las colas de prioridad. Esta lista tambin describe una prioridad por defecto y limites de tamao de colas. Los paquetes pueden ser clasificados en base a lo siguiente: Tipo de protocolo // Interfaz entrante // Tamao de paquete // Fragmentos // ACL. Los keepalives originados por el servidor de red siempre se asignan a la cola de mayor prioridad. El resto de trfico de gestin (como EIGRP, por ejemplo) debe ser configurado. PQ provee un tratamiento preferencial absoluto al trfico de alta prioridad, asegurndose que el trfico de misin-crtica que atraviesa varios enlaces WAN tenga un tratamiento preferente. Cuando escojamos usar PQ, debemos considerar que al trfico de baja prioridad a menudo se le deniega ancho de banda a favor del trfico de alta prioridad, por lo que en el peor caso el resultado es que este trfico nunca se transmita. Para prevenir este problema, podemos usar un moldeo de trfico (trafficshaping) para limitar la cantidad de trfico de alta prioridad. Con PQ habilitado, el sistema tarda ms en conmutar paquetes. Adems, PQ usa una configuracin esttica que no se adapta rpidamente a condiciones de cambio de la red.

    4.3.5 Round Robin


    El round robin se refiere a un arreglo que incluye escoger todos los elementos en un grupo de forma equitativa en algn orden racional, normalmente empezando de arriba abajo y volviendo de nuevo arriba, y as sucesivamente. Una forma sencilla de pensar que es round robin es un esquema por turnos. Con las colas round robin, se coge un paquete de cada cola y el proceso se repite. Si todos los paquetes son del mismo tamao, todas las colas comparten el mismo ancho de banda de forma equitativa. Ninguna cola pasa hambre con round robin ya que todas las colas tienen una oportunidad de despachar un paquete en cada turno. Como limitacin obtenemos que no se puede priorizar trfico.

    WEIGTHED ROUND ROBIN (WRR)


    Con WRR, se accede a los paquetes de una forma round robin, pero las colas pueden tener prioridades llamadas pesos (weights). Por ejemplo, en una vuelta, 4 paquetes de una clase de alta prioridad pueden ser despachados, seguidos de 2 de una clase de prioridad media y 1 de una clase de baja prioridad. Algunas implementaciones WRR proveen prioridades despachando un nmero configurable de bytes en cada vuelta, en lugar de paquetes. El mecanismo CQ de Cisco (Custom Queuing) es un ejemplo de esta implementacin. El lmite o peso de la cola se configura en bytes. La precisin de las colas WRR depende del peso (contador de bytes) y de la MTU. Si el radio entre el contador de bytes y la MTU es muy pequeo, WRR no localizar el ancho de banda de forma correcta. Si es muy grande, WRR causar grandes retardos.

    58

    CCNP ONT 4.3.6 Componentes de colas de router


    La formacin de colas consta de 2 partes, como vemos en la figura:

    UNA COLA DE HARDWARE: Que usa una estrategia FIFO (siempre) para transmitir paquetes uno por uno. La cola de hardware es a menudo referida como cola de transmisin.

    UNA COLA DE SOFTWARE O SISTEMA: Que programa paquetes dentro de la cola de hardware basndose en los requisitos QoS.
    A continuacin se describen las acciones que deben producirse antes de transmitir un paquete: - La mayora de los mecanismos de colas incluyen la clasificacin de paquetes. - Despus que un paquete es clasificado, un router tiene que determinar si puede colocar al mismo en la cola o borrarlo. La mayora de los mecanismos de colas borrar un paquete slo si la cola correspondiente est llena (tail drop). - Si el paquete tiene permitido entrar a la cola, se coloca en la cola FIFO para su clase particular. - Los paquetes son entonces tomados de las colas individuales por clase y colocadas en la cola de hardware.

    LA COLA DE SOFTWARE

    La implementacin de colas de software se optimiza para periodos donde la interfaz no est congestionada. El sistema de cola de software se pasa por alto si no hay paquetes en la cola de software y hay sitio en la cola de hardware. La cola de software se activa slo cuando los datos deben esperar para ser colocados dentro de la cola de hardware.

    LA COLA DE HARDWARE
    Si la cola de hardware es muy grande, contendr un gran nmero de paquetes programados de una forma FIFO. La cola de hardware es cola FIFO de la interfaz final que guarda tramas para ser inmediatamente transmitidas por la interfaz fsica. Cada vez que un paquete se transmite el driver de la interfaz interrumpe a la CPU y solicita ms paquetes para ser entregados a la cola de hardware. Algunos mecanismos de colas tienen programaciones complejas que toman cierto tiempo en entregar paquetes. La interfaz no enviar nada durante este tiempo. La CPU programa paquetes uno por uno, en lugar de muchos a la vez. Este proceso incrementa el uso de la CPU. El tamao de la cola de transmisin depende del hardware, software, medios de capa 2 y algoritmo de cola configurado en la interfaz. Algunas plataformas y mecanismos QoS ajustan el tamao de la cola de transmisin a un valor apropiado. Las interfaces rpidas tienen colas de hardware ms pequeas y producen menos retardo. Las interfaces ms lentas tienen colas de hardware ms pequeas para prevenir demasiado retardo en el peor caso en el cual la cola de hardware est llena. El comando #show controllers serial se usa para ver el tamao de la cola de transmisin. En la figura se muestra la salida de este comando. En el ejemplo, el tamao de la cola de hardware definida por la sentencia tx_limited es igual a 2 paquetes.

    CONGESTIN EN INTERFACES SOFTWARE


    Las subinterfaces y las interfaces de software no tienen sus propias colas de transmisin separadas, sino que usan la cola de transmisin principal. Estas interfaces incluyen dialers, tneles y subinterfaces Frame Relay, y slo se ven congestionadas cuando la interfaz de hardware principal transmisora est congestionada.

    4.4 Configuracin WFQ


    4.4.1 Weighted Fair Queuing
    Para situaciones en las cuales se desea proveer un tiempo de respuesta consistente a usuarios con mucha carga y con poca sin necesidad de aadir un ancho de banda excesivo, la solucin es WFQ. WFQ es una de las tcnicas de colas preferidas por Cisco. Usa un algoritmo basado en flujos que realiza 2 tareas en simultneo: - Programa el trfico interactivo al frente de la cola para reducir el tiempo de respuesta.

    59

    CCNP ONT
    - Moldea con justicia el ancho de banda para todos los flujos previniendo que los flujos de alto volumen monopolicen la interfaz de salida. La base de WFQ es tener una cola dedicada para cada flujo sin retrasos o jitters dentro de la cola. WFQ hace uso de los bits de la procedencia IP como peso cuando localiza ancho de banda. Los streams de trfico de bajo volumen, los cuales componen la mayor parte del trfico, reciben un servicio preferente. Los streams de alto volumen comparten la capacidad restante de forma proporcional entre ellos.

    4.4.2 Arquitectura WFQ y beneficios


    WFQ es un algoritmo basado en flujos que programa de forma simultnea trficos interactivos al frente de una cola de hardware para reducir el tiempo de respuesta y modelar de forma justa el ancho de banda restante con los flujos de alto ancho de banda.

    Como vemos en la figura, WFQ permite dar al trfico de bajo volumen, como sesiones Telnet, prioridad sobre otros trficos de alto volumen, como sesiones FTP. WFQ provee la solucin para situaciones en las cuales se desea proveer tiempos de respuesta consistentes tanto a usuarios pesados como ligeros, sin necesidad de aadir un ancho de banda excesivo. Adems, WFQ puede gestionar flujos de datos dplex, como aquellos producidos entre un par de aplicaciones, y flujos de datos simples, como la voz o el vdeo. Aunque WFQ se adapta de forma automtica a las condiciones del trfico de red cambiante, no ofrece el grado de precisin de control sobre la localizacin de ancho de banda que CQ (Custom Queuing) y que CBWFQ. La limitacin ms significativa de WFQ es que no soporta tneles ni cifrados, ya que estas prestaciones modifican la informacin contenida en el paquete, requerida para la clasificacin de WFQ.

    4.4.3 Clasificacin WFQ


    La clasificacin WFQ tiene que identificar flujos individuales. La figura muestra como se identifica un flujo basndose en la informacin obtenida desde las cabeceras IP y TCP/UDP: Direccin IP origen // Direccin IP destino // Nmero de protocolo (TCP o UDP) // Campo ToS // Nmero de puerto TCP o UDP origen // Nmero de puerto TCP o UDP de destino. Estos parmetros son normalmente fijos en un flujo de trfico, aunque existen excepciones. Por ejemplo, un diseo QoS puede marcar paquetes con distintos valores de procedencia IP an perteneciendo al mismo flujo. Se debe evitar el uso de marcas cuando se usa WFQ. Los parmetros son usados como entrada de un algoritmo de hash que produce en nmero de tamao fijo usado como el ndice de la cola. WFQ usa un nmero fijo de colas. La funcin de hash se usa para asignar una cola a un flujo. Hay 8 colas adicionales para paquetes del sistema y, opcionalmente, hasta 1000 colas para flujos RSVP. El nmero de colas dinmicas que usa WFQ por defecto se basa en el ancho de banda de la interfaz. Con el ancho de banda por defecto en la interfaz, WFQ usa 256 colas dinmicas. El nmero de colas puede configurarse en un rango entre 16 y 4096. Si hay un gran nmero de flujos concurrentes, es probable que 2 flujos acaben en la misma cola. Tendremos muchas veces tantas colas como flujos (de media). Este diseo no es posible en entornos grandes donde el nmero de flujos concurrentes es de miles.

    60

    CCNP ONT

    4.4.4 Insercin WFQ y poltica de borrado


    WFQ usa los siguientes 2 parmetros que afectan al borrado de paquetes: - El CDT (Umbral de congestin de descarte) se usa para comenzar a borrar paquetes de los flujos ms agresivos, siempre antes que se alcance el lmite hold-queue. - El lmite hold-queue define el nmero mximo de paquetes que pueden ser almacenados en el sistema WFQ en cualquier momento. Existen 2 excepciones a la insercin WFQ y poltica de borrado: - Si el sistema WFQ est encima del lmite CDT, el paquete es todava metido la cola de flujo especfica si est vaca. - La estrategia de borrado no est influenciada directamente por la procedencia IP. El tamao de las colas (para propsitos de programacin) se determina no por la suma del tamao en bytes de todos los paquetes, sino por el tiempo que se tardara en transmitir todos los paquetes en la cola. El resultado final es que WFQ se adapta al nmero de flujos activos (colas) y localiza cantidades iguales de ancho de banda para cada flujo (cola).

    4.4.5 Ventajas y desventajas de WFQ


    El mecanismo WFQ provee una configuracin simple (no es necesaria una clasificacin manual) y garantiza capacidad a todos los flujos. Borrar paquetes de los flujos ms agresivos. Sin embargo, WFQ tambin tiene ciertas desventajas: - Mltiples flujos pueden acabar en una cola nica. - WFQ no permite a un ingeniero de red configurar manualmente la clasificacin. La clasificacin y la programacin son determinadas por el algoritmo WFQ. - WFQ es soportado slo en enlaces con un ancho de banda menor o igual a 2 Mb. - WFQ no puede proveer garantas fijas a flujos de trfico.

    4.4.6 Configuracin de WFQ


    Los routers Cisco habilitan WFQ automticamente en todas las interfaces que tienen un ancho de banda por defecto menor a 2,048 Mbps. El comando (config-if)#fair-queue habilita WFQ en interfaces donde no est habilitado por defecto fue previamente deshabilitado. La sintaxis completa del comando es: (config-if)#fair-queue [cdt [dynamic-queues [reservable-queues]]]. Parmetros: cdt (UMBRAL DE DESCARTE POR CONGESTIN) (opcional) Nmero de mensajes permitidos en el sistema WFQ. Por defecto son 64 mensajes, y un nuevo umbral debe ser una potencia de 2 en el rango de 16 a 4096. Cuando una conversacin alcanza este umbral, los nuevos mensajes son descartados. Dyna dynamic-queues (COLAS DINMICAS) (opcional) Nmero de colas dinmicas usadas para conversaciones de mejor esfuerzo. Los valores posibles son 16, 32, 64, 128, 256, 512, 1024, 2048 y 4096. reservable-queues (COLAS RESERVADAS) (opcional) Nmero de colas reservadas usadas para conversaciones reservadas en el rango de 0 a 1000. Por defecto es de 0. Estas colas se usan para interfaces configuradas con prestaciones del tipo RSVP.

    CONFIGURACIN DEL LMITE WFQ MXIMO


    El sistema WFQ generalmente nunca alcanzar el lmite hold-queue ya que el lmite CDT comienza a borrar paquetes de flujos agresivos en la cola de software. Bajo circunstancias especiales, puede ser posible alcanzar al sistema WFQ. Por ejemplo, un ataque DoS que inunda la interfaz con un gran nmero de paquetes (cada uno diferente) podra llenar todas las colas en la misma cantidad. El comando para dar un lmite al hold-queue es: (config-if)#hold-queue max-limit out. Especifica el nmero mximo de paquetes que pueden estar en todas las colas de salida en la interfaz al mismo tiempo. El valor por defecto es 1. Bajo circunstancias especiales, WFQ puede consumir muchos bfers, lo cual puede requerir disminuir este lmite.

    4.4.7 Monitoreo de WFQ


    El comando #show interface puede utilizarse para determinar la estrategia de colas. La salida muestra estadsticas sumarizadas. En el comando de la siguiente figura se muestra que actualmente no hay paquetes en el sistema WFQ. El sistema permite hasta 1000 paquetes (lmite hold-queue) con un CDT de 64. WFQ est usando 256 colas. El nmero mximo de flujos concurrentes (conversaciones, o colas activas es de 4). El comando show queue de la figura de la pgina siguiente se usa para mostrar los contenidos de los paquetes dentro de una cola de una interfaz en particular, incluyendo estadsticas de flujos (conversaciones). El queue depth es el nmero de paquetes en la cola. El peso es 4096 / Procedencia IP + 1, o 32824, dependiendo de la versin IOS. En la salida del comando, los discards se usan para representar el

    61

    CCNP ONT
    nmero de borrados debidos al lmite CDT. Los tail drops representan el nmero de borrados debidos al lmite hold-queue.

    4.5 Configurando CBWFQ y LLQ


    4.5.1 Combinacin de mtodos de colas
    Ni los mtodos bsicos de colas ni los ms avanzados (WFQ) resuelven por completo los problemas de calidad de servicio del trfico de red convergente. Los siguientes problemas permanecen: - Si slo se usa una cola de prioridad para una red habilitada para voz, la voz obtiene la prioridad deseada. Sin embargo, el trfico de datos sufrira. - Si slo se usa CQ (Custom Queuing) en una red habilitada para voz, el trfico de datos tendra asegurado cierto ancho de banda. Sin embargo, el trfico de voz sufrira retardos. - Si se usa WFQ, la voz todava experimentara retardos siempre que se le trate como fairly (equitativamente) por WFQ. - En PQ y CQ, todas las clasificaciones, marcado y mecanismos de colas son complicados de usar y consumen mucho tiempo cuando se aplican en una base por interfaz. Los nuevos mecanismos de colas combinan los mejores aspectos de los mtodos de colas existentes. LLQ (Cola de baja latencia) es una combinacin de WFQ basada en clases (CBWFQ), la cual asigna pesos de acuerdo al ancho de banda, y un sistema de prioridades basada en clases que da a la voz la prioridad que requiere mientras se asegura que los datos se sirven de forma eficiente.

    4.5.2 CBWFQ (Class-Based Weighted Fair Queuing)


    CBWFQ extiende la funcionalidad estndar de WFQ para dar soporte a clases de trficos de usuario definidos. Con CBWFQ, el usuario define la clase de trfico basado en criterios de coincidencia (match), incluyendo protocolos, ACL e interfaces de entrada. Los paquetes que cumplen con el criterio de una clase constituyen el trfico de esa clase. Una cola se reserva para cada clase, y el trfico que pertenece a la misma es dirigido a la cola de esa clase. Tras definir una clase y formular los criterios de coincidencia para la misma, podemos asignar caractersticas a la clase. Para caracterizar una clase, asignamos un ancho de banda a la misma y un nmero lmite mximo de paquetes. El ancho de banda asignado a la clase es el ancho de banda mnimo entregado a la misma durante una etapa de congestin. Para caracterizar a la clase, tambin especificamos el lmite de la cola para esa clase, lo cual es el nmero de paquetes mximo que pueden acumularse en la cola de la clase. La cola garantiza un ancho de banda mnimo, pero tambin da a la clase un acceso ilimitado a ms ancho de banda si el mismo est disponible. Cuando una cola alcanza el lmite de cola configurado, los paquetes adicionales dirigidos a la cola de esa clase provocan un borrado. Se pueden configurar hasta 64 clases en una poltica de servicio.

    62

    CCNP ONT 4.5.3 Arquitectura CBWFQ, Clasificacin y Programacin


    CBWFQ soporta mltiples class maps para clasificar el trfico dentro de sus colas FIFO correspondientes. Las clases CBWFQ usan tail drop (borrado de cola) a no ser que de forma explcita configuremos una poltica para una clase que use WRED (Weighted random early detection) para borrar paquetes cuando se produce congestin. Si usamos WRED en lugar de tair drop para una o ms clases en un policy map, debemos asegurarnos que WRED no est configurado en la interfaz en la cual asociaremos la poltica. Las interfaces seriales E1 (2,04 Mbps) e inferiores usan WFQ por defecto (otras interfaces usan FIFO). Habilitar CBWFQ en una interfaz fsica sobreescribe el mtodo de cola utilizado por defecto.

    CLASIFICACIN
    Podemos usar cualquier opcin de clasificacin para CBWFQ, dependiendo de la disponibilidad de la versin IOS que estemos utilizando. Los siguientes ejemplos ilustran algunas de las limitaciones relativas a las opciones de clasificacin: - Coincidencias en bits DE Frame Relay pueden ser usadas slo en interfaces con encapsulacin Frame Relay. - Coincidencias en los bits EXP de MPLS no tienen efecto si MPLS no est habilitado. - Coincidencias en los bits de prioridad ISL no tienen efecto si ISL no est en uso. CBWFQ se configura usando MQC (CLI QoS Modular). Las clasificaciones que pueden configurarse dependen de la versin IOS y el tipo de interfaz que se configure.

    MECANISMOS DE PROGRAMACIN

    El mecanismo CBWFQ calcula pesos basndose en el ancho de banda disponible. Estos pesos son usados por el mecanismo de programacin CBWFQ para despachar los paquetes. Podemos configurar garantas de ancho de banda usando uno de los siguientes comandos: - El comando bandwidth localiza una cantidad fija de ancho de banda especificando el total en Kbps. El ancho de banda reservado es restado al ancho de banda disponible de la interfaz donde se usa la poltica de servicio. - El comando bandwidth percent puede usarse para localizar un porcentaje del total de ancho de banda disponible en una interfaz. El ancho de banda total se define usando el comando bandwidth interface. Se recomienda que este comando refleje la velocidad real del enlace. El ancho de banda localizado se resta del ancho de banda disponible de la interfaz donde se usa la poltica. - El comando bandwidth remaining percent se usa para localizar el total de ancho de banda garantizado basado en un porcentaje relativo del ancho de banda disponible. Cuando se configura este comando, slo se asegura un ancho de banda relativo por clase. Esto quiere decir que los anchos de banda de clase son siempre proporcionales a los porcentajes especificados en el ancho de banda de la interfaz. Cuando el ancho de banda de la interfaz es fijo, la clase garantiza una proporcin de los porcentajes configurados. Si el ancho de banda es desconocido o variable, el ancho de banda de la clase en Kbps no puede computarse.

    CLCULO DEL ANCHO DE BANDA DISPONIBLE


    El ancho de banda disponible mostrado por el comando show interface se calcula sustrayendo todos las reservas de ancho de banda fijas del porcentaje del 75% por defecto del ancho de banda configurado en una interfaz. El ancho de banda disponible se calcula con la siguiente frmula:

    ANCHOBANDADISP =ANCHOBANDA * MAXIMORESERVABLE SUMA(TODOS GARANTIZADOS).

    El aprovisionamiento correcto de ancho de banda es un componente esencial de un diseo de red satisfactorio. Podemos calcular el ancho de banda requerido aadiendo los requisitos de ancho de banda de cada aplicacin mayor (ejemplo: voz, vdeo y datos). La suma resultante representa los requisitos de ancho de banda mnimos para un enlace dado, y no deben exceer el 75% del ancho de banda total disponible del enlace. El 25% restante se usa para otras cargas, incluyendo carga de capa 2 (ej: keepalives), trfico de enrutamiento, y trfico de mejor esfuerzo. Sin embargo, bajo circunstancias agresivas en las cuales queramos configurar ms del 75% del ancho de banda de la interfaz a clases, podemos sobreescribir el mximo del 75% usando el comando max-reserved-bandwidth.

    VENTAJAS Y DESVENTAJAS DE CBWFQ


    CBWFQ permite definir clases de trfico basadas en criterios de coincidencia personalizados como ACL, interfaz de entrada y tipo de protocolo. - CLASIFICACIN: CBWFQ permite clasificaciones personalizadas basadas en muchos parmetros, como ACL, interfaz de entrada, contadores de bytes, etc. - LOCALIZACIN DE ANCHO DE BANDA: CBWFQ permite especificar el ancho de banda mnimo que ser localizado para una clase de trfico especfica. Teniendo en cuenta el ancho de banda disponible en la interfaz, podemos configurar hasta 64 clases y controlar la distribucin entre las mismas. WFQ a secas aplica pesos al trfico para clasificarlo dentro de conversaciones y determina cuanto ancho de banda tiene permitido cada conversacin, en relacin a otras conversaciones. - GRANULARIDAD Y ESCALABILIDAD AFINADAS: CBWFQ permite definir la constitucin de una clase basndose en criterios que exceden el concepto de un flujo. No necesitamos mantener clasificaciones de trfico en una base por flujo. Ms an, podemos configurar hasta 64 clases en una nica poltica. La desventaja es que el trfico de voz puede todava sufrir retardos inaceptables si usamos CBWFQ como nico mecanismo de colas.

    63

    CCNP ONT 4.5.4 Configuracin y Monitoreo de CBWFQ


    El comando (config-pmap-c)#bandwidth se usa para especificar o modificar el ancho de banda localizado para una clase que pertenece al policy map. Todas las clases que pertenecen a un policy map debera usar el mismo tipo de ancho de banda garantizado, en Kbps, en porcentaje del ancho de banda de la interfaz o en porcentaje de ancho de banda disponible. bandwidth {bandwidth | percent percent | remaining percent percent} Las siguientes restricciones se aplican al comando bandwidth: - Si la palabra clave percent se usa, la suma de los porcentajes de ancho de banda de las clases no puede exceder el 100%. - El total de ancho de banda configurado debera ser lo suficientemente ajustado como para soportar la carga de capa 2. - Un policy map puede tener todos los anchos de banda de clases especificados en Kbps o en porcentajes, pero no en una mezcla de los mismos. El lmite de cola por defecto de 64 paquetes puede cambiarse usando el comando (config-pmapc)#queue-limit. No es recomendable cambiar el valor por defecto a no ser que se tenga muy claro el por qu hacerlo. La clase por defecto puede seleccionarse especificando el nombre de clase (config-pmap)#classdefault.La clase por defecto soporta 2 tipos de colas: una cola FIFO (por defecto) o un sistema basado en flujos WFQ. Ambos tipos pueden combinarse con WRED. Una cola FIFO puede tambin tener garantizado un ancho de banda mnimo.

    EJEMPLO: CONFIGURACIN DE UNA COLA FIFO PARA LA CLASE POR DEFECTO

    Este ejemplo muestra la configuracin de una cola FIFO para la clase por defecto. Esta clase tendr garantizado 1 Mbps de ancho de banda, y el tamao mximo de cola se limita a 40 paquetes.

    policy-map A class A bandwidth 1000 class class-default bandwidth 1000 queue-limit 40 EJEMPLO: CONFIGURACIN DE UNA COLA WFQ PARA LA CLASE POR DEFECTO
    En este ejemplo, el nmero de colas dinmicas se configura a 1024, y el umbral de descarte se configura a 50.

    policy-map A class A bandwidth 1000 class class-default fair-queue 1024 queue-limit 50 EJEMPLO: USAR CBWFQ PARA GARANTIZAR ANCHO DE BANDA Y MONITOREO

    En el ejemplo se muestra como WFQ garantiza un ancho de banda a cada una de las clases. El comando show policy-map interfaz muestra todas las polticas de servicio aplicadas a la interfaz.

    4.5.5 LLQ (Cola de Baja Latencia)


    Aunque WFQ provee una forma equitativa de compartir ancho de banda para cada flujo, no puede proveer ancho de banda garantizado y bajos retardos a aplicaciones seleccionadas.

    64

    CCNP ONT
    Con CBWFQ, el peso de un paquete que pertenece a una clase especfica se deriva desde el ancho de banda que se asigna a la clase donde colocamos a ese paquete. Por ello, el ancho de banda asignado a los paquetes de una clase determina el orden en el cual los paquetes son enviados. Todos los paquetes se sirven de forma equitativa basndose en su peso interno. Ninguna clase de paquetes tiene garantizada una prioridad estricta. Este esquema plantea un problema al trfico de voz, el cual es muy intolerante a retardos, especialmente tambin a la variacin en los retardos. Para el trfico de voz, las variaciones en el retardo introducen irregularidades en la transmisin del audio y jitter (prdida de sincronizacin) en la conversacin. LLQ reduce el jitter en conversaciones de voz. Para poner en cola al trfico en tiempo real a una cola de prioridad estricta, configuramos el comando priority para la clase despus de especificar el nombre de la clase dentro de un policy map. Dentro de un policy map, podemos dar a una o ms clases el estado de prioridad. Cuando mltiples clases dentro de un nico policy map se configuran como prioritarias, todo el trfico de estas clases se coloca en la misma cola nica de prioridad estricta.

    4.5.6 Arquitectura LLQ y Beneficios


    LLQ extiende VBWFQ aadiendo colas de prioridad estricta. Estas colas permiten a los datos sensibles a demoras como la voz ser enviados primero. Los paquetes de voz que entra en el sistema LLQ se envan a la cola prioritaria del sistema LLQ, donde tienen un ancho de banda fijo y donde son servidos primero. Los paquetes de datos que entran en el sistema CBWFQ se manipulan directamente por el mismo donde se asignan especficamente pesos para determinar cmo deben ser tratados los mismos.

    BENEFICIOS LLQ
    Usando LLQ como el criterio de entrada para una clase puede ser tan granular como queramos ya que definimos el mismo mediante una ACL. El trfico VoIP usa un rango de puertos UDP bien conocidos (16384-32767). Mientras que los puertos actuales usados son negociados dinmicamente entre los dispositivos finales o gateways, todos los productos Cisco VoIP usan el mismo rango de puertos.

    4.5.7 Configuracin y Monitoreo de LLQ


    Cuando especificamos el comando priority para una clase, podemos usar el argumento bandwidth para especificar el ancho de banda mximo en Kbps. Usamos este parmetro para especificar el total mximo de ancho de banda localizado para los paquetes que pertenecen a la clase configurado con el comando priority. Comando: (config-pmap-c)#priority {bandwidth | percent percentage} - BANDWIDTH: Ancho de banda garantizado, en Kbps. - PERCENT: Total de ancho de banda garantizado en relacin al porcentaje de ancho de banda disponible. Cuando se produce congestin, el trfico destinado a la cola prioritaria es medido para asegurarse que la localizacin de ancho de banda configurada para la clase a la cual pertenece el trfico no es excedida. La medicin de la prioridad del trfico tiene las siguientes cualidades: - El trfico prioritario se mide slo bajo condiciones de congestin. Cuando el dispositivo no est congestionado, el trfico de la clase prioritaria tiene permitido exceder el ancho de banda configurado. Cuando est congestionado, el trfico superior al ancho de banda configurado es descartado. - La medicin se realiza en una base por paquete. - La medicin contiene al trfico prioritario a su ancho de banda configurado para asegurarse que el trfico no prioritario, como los paquetes de enrutamiento y otros datos, no son eliminados. Con la medicin, las clases son limitadas individualmente. Esto es, aunque un nico policy map puede contener 4 clases de prioridades, cada una de ellas colocada en una cola de prioridad nica, estas son tratadas como flujos separados con localizaciones de ancho de banda separadas.

    65

    CCNP ONT

    En la figura se muestra un ejemplo donde la clase de trfico voip, clasificada basndose en la procedencia IP de 5, se pone en la cola LLQ prioritaria. La clase prioritaria est garantizada pero se limita al 10% del ancho de banda de la interfaz.

    MONITOREO DE LLQ
    El comando show policy-map interface muestra estadsticas de paquetes para todas las clases configuradas para polticas de servicio en la interfaz especificada. Los campos claves de este comando describen algunos de los siguientes parmetros: CLASS-MAP: clase de trfico que est siendo mostrado. OFFERED RATE: Cantidad, en Kbps, de paquetes entrando a la clase. DROP RATE: Cantidad, en Kbps, a la cual los paquetes son borrados de la clase. Este valor se calcula eliminando el nmero de paquetes transmitidos satisfactoriamente desde la cantidad ofrecida. MATCH: Criterio de coincidencia especificado para la clase de trfico. PKTS MATCHED/BYTES MATCHED: Nmero de paquetes (en bytes) que han coincidido con esta clase y que han sido colocados en la cola. DEPTH/TOTAL DROPS/NO-BUFFER DROPS: Nmero de paquetes, en bytes, descartados para esta clase. Nobuffer indica que no existe un servicio de buffer para estos paquetes.

    4.6 Prevencin de Congestin


    4.6.1 Gestin de la congestin en Interfaces con Tail Drop
    Cuando una interfaz en un router no puede transmitir paquetes inmediatamente, el paquee es puesto en cola. Los paquetes son entonces transmitidos eventualmente a travs de la interfaz. Si la cantidad de paquetes que llegan a la interfaz de salida excede la habilidad del router de poner en buffer y enviar el trfico, la cola se incremente hasta su mximo y la interfaz se vuelve congestionada. Tail Drop trata todo el trfico de la misma forma y no diferencia entre clases de servicio. Tail Drop ocurre por defecto. Las aplicaciones pueden sufrir una degradacin en forma de prdida de paquetes a causa de su intervencin. Cuando la cola de salida est llena y tail drop en uso, todos los paquetes que intente entrar a la cola son borrados hasta que la cola deje de estar llena. WFQ configurado en una interfaz, provee un esquema ms sofisticado de eliminar trfico. WFQ castiga a los flujos ms agresivos usando un umbral de congestin de descarte (CDT) basado en un algoritmo de borrado.

    66

    CCNP ONT 4.6.2 Limitaciones de Tail-Drop


    El esquema simple tail-drop no funciona bien en entornos con un gran nmero de flujos TCP o en entornos en los cuales se requiere un borrado selectivo. Tail drop tiene las siguientes desventajas: - Normalmente, cuando existe congestin, el borrado afecta a la mayora de las sesiones TCP, las cuales simultneamente vuelven de nuevo y se reinician. Este proceso causa un uso ineficiente del enlace en el punto de congestin. Para prevenir el borrado de paquetes TCP, TCP reduce el tamao de la ventana. - No existen mecanismos de borrado, y por tanto, el trfico de mayor prioridad es borrado de la misma forma que el de mejor esfuerzo.

    SINCRONIZACIN TCP

    Un router puede manipular mltiples sesiones TCP simultneamente. Sin embargo, las oleadas de trfico de red podran causar que un router falle si el trfico excede el lmite de la cola. Si el router receptor borra todo el trfico que excede el lmite de la cola (por defecto, con tail drop), muchas sesiones TCP cierran por prdida de ACK y se reinician automticamente, sincronizndose todas a la vez. A esto se le conoce como sincronizacin global.

    RETARDO TCP, JITTER E INANICIN

    Las colas se llenan durante periodos de congestin. Cuando la cola de salida est llena, tail drop borra paquetes para eliminarla. Esto causa retardos. Adems, las colas introducen retardos desiguales para paquetes pertenecientes al mismo flujo, resultando en el jitter. En la figura se ilustra este hecho. Otro fenmeno relativo a TCP que reduce el uso ptimo de las aplicaciones de red es la inanicin TCP. Cuando mltiples flujos estn siendo transmitidos a travs de un router, algunos de estos pueden ser mucho ms agresivos que otros. Por ejemplo, cuando el tamao de ventana TCP se incrementa para aplicaciones de transferencia de ficheros, la sesin TCP puede enviar un gran nmero de paquetes a su destino. Estos paquetes inmediatamente llenan la cola en el router, y otros, menos agresivos, pueden ser descartados ya que no hay un tratamiento especial indicando que paquetes son los que deben borrarse. Como resultado, los flujos menos agresivos son borrados en la interfaz de salida. Tail drop no es el mecanismo ptimo de prevencin de congestin y no debe utilizarse. En su lugar, existen mecanismos de prevencin de congestin ms inteligentes.

    4.6.3 Uso de RED (Rando Early Detection)


    RED es un mecanismo de borrado que borra paquetes aleatoriamente antes de que la cola est llena. La base de la estrategia de borrado es el tamao medio de la cola (esto es, cuando el tamao medio de la cola se incrementa). Debido a que RED borra paquetes aleatoriamente, no tiene una inteligencia por flujo. Su razn es que un flujo agresivo representa la mayora del trfico entrante, y es probable que RED borre un paquete de una sesin agresiva. Como resultado del uso de RED, la sincronizacin global de TCP es mucho menos probable, y TCP puede usar el ancho de banda del enlace de forma ms eficiente. En implementaciones RED, el tamao medio de la cola decrece significativamente ya que la posibilidad de que la cola se llene es reducida. Esto se debe a que RED es muy agresivo en el borrado cuando el trfico en oleadas ocurre y la cola ya est bastante llena.

    PERFILES DE BORRADO RED


    RED usa perfiles de trfico para determinar la estrategia de borrado de paquetes basada en el tamao de cola medio. La probabilidad de borrado de paquete se basa en el umbral mnimo, umbral mximo y la marca denominadora de la probabilidad. UMBRAL MNIMO: Cuando el tamao de la cola medio esta cerca del umbral mnimo, RED comienza a eliminar paquetes. La cantidad de paquetes borrados se incrementa de forma lineal a medida que el tamao medio de la cola crece, hasta que el tamao medio de la cola alcanza su umbral mximo. UMBRAL MXIMO: Cuando el tamao medio de la cola est cerca del umbral mximo, todos los paquetes son eliminados.

    67

    CCNP ONT
    MARCA DENOMINADORA DE PROBABILIDAD: Este nmero es la fraccin de paquetes que son eliminados
    cuando la profundidad media de la cola est en el umbral mximo. Por ejemplo, si el denominador es de 512, uno de cada 512 paquetes es eliminado cuando la media de la cola llega al umbral mximo. El umbral mnimo debe ser lo suficientemente grande para maximizar el uso del enlace. Si el umbral mnimo es muy pequeo, los paquetes pueden ser eliminados de forma innecesaria, y el enlace de transmisin no ser utilizado por completo. La diferencia entre los umbrales mnimo y mximo debe ser lo suficientemente grande para prevenir la sincronizacin global de TCP. Si la diferencia es pequea, pueden borrarse muchos paquetes a la vez, volviendo al problema de la sincronizacin global. - Cuando el tamao medio de la cola est entre 0 y el umbral mnimo, no ocurren borrados y todos los paquetes son puestos en cola. - Cuando el tamao medio de la cola est entre el umbral mnimo y el umbral mximo, se producen borrados aleatorios, lo cual es proporcional al denominador y al tamao medio de la cola. - Cuando el tamao medio de la cola est cerca o es mayor al umbral mximo, RED realiza un borrado total de la cola. Esta situacin es poco probable, ya que RED debe eliminar trficos TCP antes de la congestin.

    MODOS RED

    4.6.4 WRED (Weighted Random Early Detection)


    Curiosamente, Cisco no soporta RED. En su lugar, Cisco soporta WRED el cual combina RED con la procedencia IP o el DSCP y realiza el borrado de paquetes basndose en la procedencia IP o las marcas DSCP. Por ejemplo, un paquete con una procedencia IP de 0 puede tener un umbral mnimo de 20 paquetes, mientras que un paquete con una procedencia IP de 1 puede tener un umbral mnimo de 25 paquetes. De esta forma, los paquetes con una procedencia IP de 0 sern descartados de forma ms frecuente que los que tengan una procedencia IP de 1. Como sucede con RED, WRED monitorea el tamao de cola medio en el router y determina cuando comenzar a descartar paquetes basndose en el tamao de la cola de la interfaz. Cuando el tamao de cola medio excede el umbral mnimo especificado por el usuario, WRED comienza a borrar paquetes de forma aleatoria. Si el tamao de la cola contina incrementndose hasta ser mayor al umbral mximo, WRED se vuelve a una estrategia tail drop, en la cual todos los paquetes son eliminados. WRED, al contrario que RED, puede descartar de forma selectiva el trfico de menor prioridad cuando la interfaz est congestionada y puede proveer un funcionamiento diferenciado, para diferentes clases de servicio. Para interfaces configuradas con RSVP, WRED escoge paquetes desde otros flujos para borrar antes que los flujos RSVP. Tambin, la procedencia IP o el DSCP ayuda a determinar que paquetes eliminar, ya que el trfico de menor prioridad tiene una cantidad mayor de borrados que el trfico de mayor prioridad. Adems, WRED borra de forma estadstica ms paquetes de usuarios grandes que de pequeos usuarios. El origen del trfico que genera ms trfico tiene ms probabilidades de ir ms lento que el de los orgenes que generan pequeo trfico. WRED trata al trfico no IP con un nivel de procedencia 0, es decir, la menor. Por ello tiene ms probabilidades de ser borrado que el trfico IP. WRED debe ser usado si existe un enlace que pueda estar congestionado (cuello de botella). Los routers borde asignan una procedencia IP o DSCP a paquetes que entran a la red. WRED usa estos valores asignados para determinar cmo tratar a los diferentes tipos de trfico. Anotar que Cisco no recomienda WRED para una cola de voz, aunque podemos habilitar WRED en una interfaz que porta trfico de voz.

    BUILDING BLOCKS WRED

    En la figura se muestra como implementar WRED y los parmetros usados por WRED para influenciar las decisiones de borrado de paquetes. El router constantemente actualiza el algoritmo WRED con el tamao de cola medio calculado, el cual se basa en el historial reciente de tamaos de cola. Los perfiles de trfico configurados son los parmetros que definen las caractersticas de borrado usadas por WRED (umbral mnimo, mximo y marca denominadora de probabilidad). Cuando un paquete llega a la cola de salida, se usa el valor de procedencia IP o DSCP para seleccionar el perfil WRED correcto para el paquete. El paquete es entonces pasado a WRED para su procesamiento. Basndose en el perfil de trfico seleccionado y en el tamao medio de la cola, WRED calcula la probabilidad de borrado del paquete actual y, o lo borra, o lo pasa a la cola de salida.

    68

    CCNP ONT
    Si la cola ya est llena, el paquete es eliminado. Si no, el paquete es transmitido eventualmente por la interfaz de salida. Si el tamao medio de la cola es mayor que el umbral mnimo, pero menor que el mximo, basndonos en la probabilidad de borrado, WRED coloca el paquete en la cola o bien realiza un borrado aleatorio.

    WRED BASADO EN CLASES (CBWRED)


    Tradicionalmente, el IOS usaba RED y WRED para prevenir la congestin en una interfaz. Estos mecanismos podan realizar diferencias de borrado en base a la procedencia IP o el valor DSCP. CBWFQ soporta el uso de WRED dentro de su mecanismo de colas, declarado como CBWRED. Cada clase es puesta en cola en su cola separada y tiene su lmite de cola, realizando un tail drop por defecto. WRED puede configurarse como el mtodo de descarte preferido en una cola, implementando un descarte diferencia basada en la clase de trfico o en los valores de procedencia IP o DSCP.

    4.6.5 Perfiles de borrado WRED


    Con la habilidad del sistema para marcar paquetes de acuerdo a la configuracin DSCP, colecciones de paquetes (cada uno con la misma configuracin DSCP y enviado en una direccin particular) puede ser agrupado dentro de un BA DiffServ. Los paquetes desde mltiples orgenes o aplicaciones pueden pertenecer al mismo BA DiffServ. El selector de clase BA se usa para compatibilidad retrospectiva con los dispositivos no compatibles con DiffServ. Por ello, el rango de selector de clase de los valores DSCP se usa para compatibilidad con la procedencia IP.

    WRED BASADO EN DSCP (EXPEDITED FORWARDING) EF PHB (Expedited Forwarding Per Hop Behavior) es sugerido para aplicaciones que requieren una fuerte

    garanta de retardo y jitter. Tpicamente, las aplicaciones de misin crtica requeriran este servicio y tendran localizado un pequeo porcentaje de la capacidad total de la red. En DSCP, el EF PHB se identifica basndose en estos parmetros: - Una cantidad de partida pequea est asegurada para proveer un bajo retardo a aplicaciones sensibles al mismo. - El ancho de banda est garantizado para prevenir la inanicin de la aplicacin si existen mltiples aplicaciones usando EF PHB. - El ancho de banda se une a una poltica para prevenir la inanicin de otras aplicaciones o clases que no estn usando PHB. - Los paquetes que requieren EF deberan ser marcados con el valor binario DSCP 101110 (46). Para la clase de trfico EF DiffServ, WRED se configura a s mismo por defecto de forma que el umbral mnimo es muy alto, incrementando la posibilidad de que no se borren paquetes que pertenezcan a esta clase. Se espera que el trfico EF se borre muy tarde, comparado a otras clases, y el trfico EF es por tanto priorizado en caso de congestin.

    4.6.6 Configuracin de CBWRED


    El comando (config-pmap-c)#random-detect se usa para habilitar WRED en una interfaz. Por defecto, WRED est basado en la procedencia IP y usa 8 perfiles por defecto WRED, uno para cada valor de procedencia IP. Dentro del sistema CBWFQ, WRED se usa para realizar un borrado por colas dentro de las colas de cada clase. Por tanto, cada cola de clase tiene su propio mtodo WRED, el cual puede ser basado en pesos (procedencia IP o en valores DSCP). Cada cola puede por ello ser configurada con una poltica de borrado separada para implementar diferentes polticas de borrado para cada clase de trfico. WRED no puede ser configurado en la misma interfaz que CQ, PQ o WFQ. Sin embargo, CBWRED puede ser configurado en conjunto con CBWFQ.

    CAMBIO DEL PERFIL DE TRFICO WRED


    Cuando WRED est habilitado, los valores por defecto son seleccionados para cada perfil de trfico basndonos en el peso utilizado (procedencia IP o DSCP). Los administradores de red pueden modificar estos valores por defecto para cumplir sus metas QoS especficas. En la figura se muestra la sintaxis del comando:

    MINIMUN THRESHOLD: Cuando la profundidad media de la cola est cerca de este umbral, WRED
    comienza a borrar paquetes. La cantidad de paquetes borrados se incrementa linealmente a medida que el tamao medio de la cola crece, y hasta que el tamao de la cola alcanza el umbral mximo, momento en el cual se borran todos los paquetes. El tamao del contenedor es equivalente al nmero de paquetes que pueden ser almacenados sin una cola. MAXIMUM THRESHOLD: Cuando el tamao de la cola medio est cerca de este umbral, todos los paquetes son eliminados.

    69

    CCNP ONT
    -

    MARK PROBABILITY DENOMINATOR: Es la fraccin de paquetes borrados cuando la profundidad


    media de la cola est en el umbral mximo. Por ejemplo, si el denominador es de 10, uno de cada 10 paquetes se borra cuando se alcanza el umbral mximo en la media de la cola.

    EJEMPLO DE CBWFQ USANDO PROCEDENCIA IP CON WRED

    Este ejemplo de CBWFQ con WRED se centra en una red que provee los siguientes 3 tipos de niveles de servicio diferentes para 3 clases de trfico: - Clase misin crtica: Esta clase viene marcada con los valores de procedencia IP de 3 y 4 (3 es usado para un servidor de borrado alto y 4 para un servicio de borrado bajo dentro de la clase de servicio) y debera obtener el 30% del ancho de banda de la interfaz. - Clase Oleadas (Bulk): Esta clase se marca con los valores de procedencia IP de 1 y 2 (con el mismo motivo del anterior) y debera obtener el 20% del ancho de banda de la interfaz. - Clase de mejor esfuerzo: Esta clase debera obtener el ancho de banda restante compartido y debe ser puesta en cola de forma equitativa. Para reforzar esta poltica, un router usa CBWFQ para realizar la comparticin del ancho de banda y WRED dentro de las clases de servicio para realizar un borrado diferenciado.

    4.6.7 Perfiles WRED: WRED basado en DSCP (AF)


    En DSCP, los siguientes parmetros identifican AF PHB: - Garantizar una cierta cantidad de ancho de banda a una clase AF. - Permitir acceso a un ancho de banda extra, si est disponible. Los paquetes que requieran AF PHB seran marcados con el valor DSCP aaadd0, donde aaa es el nmero de la clase y dd la probabilidad de borrado (o preferencia de borrado) de la clase de trfico. Existen 3 clases definidas AF. Cada clase debe tratarse de forma independiente y tener localizado un ancho de banda que est basado en la poltica QoS. Para la clase de trfico AF DiffServ, WRED se configura a s mismo por defecto con 3 perfiles diferentes, dependiendo de los bits DSCP de preferencia de borrado. Por tanto, el trfico AF debera clasificarse dentro de 3 posibles clases, como AF de alto borrado, AF de borrado medio y AF de bajo borrado. Estas clases estn basadas en la sensibilidad a borrado de los paquetes de la aplicacin o aplicaciones representadas por la clase. Esto significara que la clase misin-crititcal tendra un AF de bajo borrado, un AF de borrado medio y un AF de alto borrado.

    CONFIGURACIN DE CBWRED BASADO EN DSCP


    El comando random-detect dscp-based se usa para habilitar WRED basado en DSCO en una interfaz. Podemos configurar WRED como parte de la poltica de una clase estndar o de la clase por defecto. El comando random-detect y el comando queue-limit son exclusivos mutuamente para la poltica de la clase. Si configuramos WRED, la capacidad de borrado de paquete se usa para gestionar la cola cuando los paquetes exceden el contador mximo configurado.

    EJEMPLO DE CBWRED CON DSCP


    Recordar que el modelo DiffServ provee por s mismo clases de trfico definidas y sus PHB asociadas. La clasificacin DiffServ se usa en este ejemplo de la siguiente forma: - CLASE MISIN CRTICA: Esta clase se marca usando DSCP AF clase 2 y debera obtener el 30% del ancho de banda de la interfaz. - CLASE OLEADAS: Esta clase se marca usando DSCP AF clase 1 y debera obtener el 20%del ancho de banda de la interfaz. - CLASE MEJOR ESFUERZO: Este trfico debera obtener el ancho de banda restante compartido y debera entregarse de forma equitativa. Para reforzar esta poltica de servicio, un router usa CBWFQ para gestionar la comparticin del ancho de banda y usa WRED dentro de las clases para realizar un borrado selectivo. En la figura vemos la configuracin. El ejemplo de configuracin muestra como se realiza la clasificacin del trfico usando las clases DSCP, representando el trfico de misin crtica con la clase AF2, y el trfico oleadas con la clase AF1. Los 3 valores de cada clase representan la distincin realizada por WRED a la hora de eliminar trfico, siendo el primero el umbral mnimo, el segundo el mximo y el tercero la marca de probabilidad. Cuando habilitamos WRED con el comando random-detect, los parmetros se configuran a sus valores por defecto. El factor de peso es 9. Para todas las precedencias, el marcado de probabilidad es 10, y el umbral mximo est basado en la capacidad del bfer de salida y la velocidad de transmisin de la interfaz.

    70

    CCNP ONT

    4.6.8 Monitoreo de CBWRED


    El comando show policy-map interface muestra la configuracin de todas las clases para las polticas de servicio en la interfaz especificada. Algunos de los campos clave son los siguientes: service-policy output: Nombre de la poltica de servicio aplicada a la interfaz especificada o el VC. class-map: clase de trfico que est siendo mostrado para cada clase configurada en la poltica. match: criterio de coincidencia especificado para la clase. exponential weigth: Exponente utsado en el clculo del tamao medio de la cola para un grupo de WRED. mean queue depth: Profundidad media de la cola basada en la profundidad actual de la cola de la interfaz y la constante del peso exponencial. Los umbrales mnimo y mximo se comparan sobre este valor para determinar las decisiones de borrado.

    4.7 Introduccin a las Polticas de Trfico y Modelado (Shaping)


    4.7.1 Vistazo a las Polticas de Trfico y Modelado (Shaping)
    La poltica de trfico borra el trfico excesivo para controlar que el trfico fluya dentro de la cantidad lmite especificada. Esta poltica puede causar ms retransmisiones TCP, ya que el trfico excesivo es eliminado. Los mecanismos de poltica de trficos como polticas basadas en clases o Asignacin de Cantidad de Acceso (CAR) tambin tienen capacidades de marcado adems de las capacidades de limitar cantidades. En lugar de borrar el trfico excedente, la poltica puede marcarlo y enviarlo. Esta prestacin permite que el trfico excedente sea re-marcado con una prioridad menor antes de ser enviado. Con el modelado del trfico, el trfico en rfagas es alisado colocando en colas el trfico excedente para producir un flujo fijo de datos.

    POR QU USAR POLTICAS?

    Las polticas de trfico se usan normalmente para satisfacer uno de los siguientes requisitos: - Limitar la cantidad de acceso a una interfaz cuando la infraestructura fsica de alta velocidad se usa en el transporte. Es normalmente utilizado por SPs para ofrecer a los clientes un acceso por debajo de lo normal. Por ejemplo, un cliente puede tener una conexin OC-3 al SP pero pagar slo una cantidad de acceso T1. - Modelar el ancho de banda para que la cantidad de trfico de ciertas aplicaciones o clases de trfico siga una poltica de cantidad de trfico especificada. Por ejemplo, el trfico desde aplicaciones de comparticin de ficheros puede limitarse a un mximo de 64 Kbps. - Re-marcar el trfico excedente con una prioridad menor en la capa 2 o 3 (o ambas) antes de enviarlo hacia fuera. Por ejemplo, el trfico en exceso puede ser re-marcado a un DSCP inferior y adems tener el bit DE en Frame Relay marcado cuando se enva hacia fuera.

    POR QU USAR MODELADOS (SHAPING)?


    El modelado se usa normalmente para prevenir y gestionar la congestin en redes ATM, Frame Relay o Metro Ethernet, donde los anchos de banda asimtricos se usan a lo largo de la ruta del trfico. Si no se utiliza este mtodo, los paquetes podran colocarse en un bfer final ms lento, el cual podra crear colas y causar retardos, y sobrecargas, las cuales causaran el borrado de paquetes.

    71

    CCNP ONT
    El shaping es un intento de controlar el trfico en redes ATM, Frame Relay o Metro Ethernet para optimizar o garantizar el funcionamiento, baja latencia y ancho de banda. Provee un mecanismo de control del volumen de trfico enviado dentro de una red (estrangulacin del ancho de banda, o bandwidth throttling) impidiendo al trfico en oleadas superar la cantidad suscrita. Tambin es necesario identificar el trfico con una granularidad que permita al mecanismo de control de modelado separar el trfico en flujos individuales y diferenciar los mismos

    4.7.2 Por qu usar condicionantes de trfico?


    Los traffic conditioners, mecanismos QoS que limitan el ancho de banda, incluyen las polticas y el modelado. Ambos de estos enfoques limitan ancho de banda, pero cada uno con diferentes caractersticas: - POLICING: Tpicamente limita el ancho de banda descartando el trfico que excede una cantidad especificada. Tambin puede remarcar el trfico de este tipo. Debe usarse en interfaces de alta velocidad. Se puede aplicar en las interfaces como de entrada o de salida. - SHAPING: Limita el trfico excesivo, pero en lugar de borrarlo lo guarda en un bfer. Este bfer o exceso de trfico puede acarrear retardos. Debido a este retardo, el shaping se recomienda en interfaces de baja velocidad. Shaping no puede re-marcar trfico. Como contraste final, puede aplicarse slo en direccin saliente en una interfaz. El traffic policing divide los recursos compartidos (el enlace de subida WAN) entre varios flujos. En el ejemplo de la figura, la interfaz Fast Ethernet del router tiene una poltica de entrada aplicada a la misma en la cual el trfico de misin critica no est limitado, pero la aplicacin de comparticin de ficheros tiene una limitacin de 56 Kbps. Todo el trfico de la aplicacin de comparticin de ficheros desde el usuario x que excede la cantidad lmite de 56 Kbps ser eliminado, tal como observamos en la figura.

    EJEMPLO DE TRAFFIC POLICING Y SHAPING


    Las herramientas de policing se configuran a menudo en interfaces del borde de la red para limitar la cantidad de trfico que entra o deja la red. En su configuracin ms comn, el trfico que conforma se transmite y el trfico que excede se enva con una prioridad rebajada o se borra. Estas prioridades pueden basarse en la procedencia IP o en DSCP. El administrador de red puede cambiar estas opciones para cumplir con sus necesidades. Las herramientas de shaping limitan la tasa de transmisin desde un origen poniendo en una cola el trfico excedente. Este lmite normalmente tiene un valor menor a la velocidad de la lnea de la interfaz transmisora. En la figura se muestran los 2 tipos de desacoples de velocidad: El sitio central puede tener un enlace de velocidad mayor que el sitio remoto. Por tanto, el shaping del trfico puede ser desplegado en el router del sitio central para modelar la cantidad de trfico que sale de la central para hacer coincidir la velocidad del enlace del sitio central con la del sitio remoto. Por ejemplo, el router central puede modelar el PVC de trfico saliente a 128 Kbps para coincidir con la velocidad del enlace remoto. En el router del sitio remoto, el shaping tambin se implementa para modelar el trfico saliente a 128 Kbps para coincidir con la CIR contratada. Los enlaces agregados de todos los sitios remotos puede ser superior que la velocidad del enlace del sitio central (oversubscription). En este caso, los routers del sitio remoto pueden configurarse para modelar trfico para prevenir la oversubscription del sitio central. Por ejemplo, podra hacerse un shaping en los 3 sitios inferiores para configurar el PVC con la central a 256 Kbps para prevenir en cierta medida esta situacin. En todos los enlaces entre el sitio central y los remotos, se pueden usar polticas de trfico para priorizar los paquetes y decidir, por ejemplo, qu paquetes que sean conformes pueden ser transmitidos, qu

    72

    CCNP ONT
    paquetes excedentes pueden ser configurados para enviarse con una prioridad disminuida y cules que violan la configuracin han de eliminarse directamente. Por ejemplo, los paquetes con una procedencia IP de 4 que no excedan 128 Kbps pueden ser transmitidos.

    4.7.3 Policing vs. Shaping


    Policing puede aplicarse en direccin saliente o entrante, mientras que shaping slo puede aplicarse de forma saliente. Policing borra el trfico no conforme en lugar de colocarle en una cola, como hace shaping. Policing tambin soporta el marcado de trfico. Policing es ms eficiente en trminos de uso de memoria que shaping debido a que no usa colas adicionales de paquetes. Ambos, policing y shaping se aseguran que el trfico no exceda un ancho de banda lmite, pero cada mecanismo tiene distintos impactos en el trfico: - Policing borra paquetes ms a menudo, generalmente causando ms retransmisiones de TCP. - Shaping aade un retardo variable al trfico, causando posiblemente jitter. Shaping pone en cola el trfico en exceso manteniendo a los paquetes en una cola shaping. Por tanto, shaping incrementa el uso del buffer en un router y causa retardos de paquetes impredecibles. Shaping tambin puede interactuar con una red Frame Relay, adaptando indicaciones de congestin de capa 2 en la WAN. Por ejemplo, si se recibe un BECN, el router puede disminuir el lmite de cantidad para ayudar a reducir la congestin en la red Frame Relay.

    4.7.4 Medida de cantidad de trfico con Tokens


    El cubo de tokens es un modelo matemtico usado por los routers y switches para regular el flujo de trfico. Este modelo tiene 2 componentes bsicos: - TOKENS: Cada token representa permisos para enviar un nmero fijo de bits en la red. Los tokens son puestos en un cubo de tokens a una cantidad determinada por el IOS. - CUBO DE TOKENS: Tiene la capacidad de mantener un nmero especifico de tokens. Cada paquete entrante, si es enviado, toma tokens desde el cubo representando el tamao del paquete. Si el cubo llena su capacidad, los nuevos tokens que lleguen son descartados. Los tokens descartados no estn disponibles para paquetes futuros. Si no hay suficientes tokens en el cubo para enviar el paquete, los mecanismos de condicionamiento de trfico pueden tomar las siguientes acciones: o Esperar que existan suficientes tokens acumulados en el cubo (shaping). o Descartar el paquete (policing). Usando un modelo simple de cubo de tokens, la cantidad de trfico medido puede ser conforme o exceder la cantidad de trfico especificada. La cantidad de trfico medido es conforme si hay suficientes tokens en el cubo de tokens para transmitir el trfico. La cantidad de trfico es excedente si no hay suficientes tokens en el cubo para transmitir el paquete. En la figura se muestra una implementacin de policing con cubo de tokens. Comenzando con una capacidad de 700 bytes de tokens validos acumulados en el cubo de tokens, cuando un paquete de 500 bytes llega a la interfaz, su tamao se compara con el del cubo de bytes. Los 500 bytes del paquete estn dentro del lmite, por lo que son conformes, y el paquete es transmitido. 500 bytes de tokens son eliminados del cubo, dejando 200 vlidos para el siguiente paquete. Continuando con este ejemplo, cuando el siguiente paquete de 300 bytes inmediatamente despus del primer paquete, no han sido todava tokens aadidos al cubo (lo cual se realiza peridicamente). Este paquete excede el lmite de 200 bytes que queda, con lo que se toma una accin de exceso. En la poltica de trfico, la accin de exceso puede ser borrar o marcar el paquete.

    EJEMPLO: CUBO DE TOKENS COMO HUCHA DE CERDITO


    Pensemos en un cubo de tokens como una hucha de cerdito. Cada da insertamos un dlar dentro de la hucha (el cubo de tokens). En un momento dado, podemos gastar slo lo que hemos guardado en ella. Si la cantidad de guardado es de un dlar al da, nuestra cantidad de gasto a largo plazo ser de 1 dlar al da si constantemente gastamos lo que guardamos. Sin embargo, si no gastamos nada en das, podremos guardar dlares hasta el mximo que pueda almacenar el cerdito. Por ejemplo, si el cerdito est limitado a almacenar 5 dlares, y pasan 5 das sin que gastemos nada, el cerdito tendr 5 dlares. En este momento, no podemos colocar ms dinero en el mismo, puesto que ya est lleno. Este ejemplo del cerdito es una metfora que representa muy bien el concepto del cubo de tokens, pero recordar que el cubo de tokens funciona a una velocidad infinitamente mayor.

    4.7.5 Poltica basada en clases de cubo de tokens simple


    La operacin del cubo de tokens recae en parmetros como el CIR, rfaga suscrita (Bc) e intervalo de tiempo suscrito (Tc). Bc es conocido como el tamao de rfaga normal. La relacin matemtica entre CIR, Bc y Tc es la siguiente: CIR (BPS) = BC (BITS) / TC (SEGUNDOS). Con la poltica de trfico, se aaden nuevos tokens al cubo basndose en la llegada entrante de paquetes y el CIR. Cada vez que un paquete es policed (que viene a ser despachado), se aaden nuevos tokens

    73

    CCNP ONT
    de vuelta al cubo de tokens. El nmero de tokens aadidos de vuelta al cubo se calcula con la siguiente frmula: N TOKENS = (TIEMPO DE LLEGADA DE PQT ACTUAL TIEMPO DE LLEGADA DE PQT ANTERIOR) * CIR. Una cantidad (Bc) de tokens es enviada sin limitacin en cada intervalo de tiempo (Tc). Por ejemplo, si 8000 bits (Bc) vlidos de tokens se colocan en el cubo cada 250 ms (Tc), el router puede transmitir sin cesar 8000 bits cada 250 ms si el trfico llega con esta frecuencia al router. La frmula sera: CIR = 80000 / 0.25 = 32 Kbps. Cuando se configura la poltica de trfico basada en clases en el IOS se recomienda que permitamos al IOS calcular automticamente los valores de Bc y Tc automticamente basndose en el CIR configurado.

    4.7.6 Mecanismos Cisco IOS de Policing y Shaping


    El policing basado en clases soporta un cubo de tokens simple o dual. La poltica tambin soporta multiaccin. Esto es, por ejemplo, marcar el bit DE Frame Relay y el valor DSCP antes de enviar el trfico excedente. Los 2 mecanismos de shaping soportados por el IOS se muestran en la figura: basado en clases y Frame Relay traffic shaping (FRTS). Class-Based usa MQC para permitir al trfico ser modelado por clase de trfico definida en el class-map. Puede usarse en conjunto con CBWFQ, en el cual el SHAPED RATE se usa para definir un lmite superior mientras que la sentencia BANDWIDTH dentro de la configuracin CBWFQ se usa para definir un lmite mnimo.7 FRST se usa slo para el trfico Frame Relay. Permite a un PVC individual ser modelado. Puede usar PQ, CQ o WFQ como cola de shaping y soporta slo FIFO como mtodo de cola. Los mecanismos de shaping pueden interactuar con una red Frame Relay para adaptarse a las indicaciones de congestin de capa 2 en la WAN. Por ejemplo, si se recibe un indicador BECN, el router puede bajar la cantidad lmite para ayudar a reducir la congestin en la red Frame Relay.

    4.7.7 Aplicar polticas de trfico


    En la figura se muestra como una poltica de trfico puede es a menudo implementada en una red empresarial. Tpicamente, la capa de acceso o de distribucin emplea polticas de trfico para limitar a ciertas clases de trfico antes de que el trfico salga del campus a la WAN. El shaping es a menudo implementado en el borde de la WAN donde hay distintas velocidades u oversubscription. En una red de TSP tpica, la poltica de trfico se implementa a menudo de entrada en el router PE para limitar la cantidad de trfico entrante desde el router CE, para asegurarse que el cliente no excede la cantidad contratada.

    4.8 Comprensin de los Mecanismos de eficiencia de los enlaces WAN


    4.8.1 Mecanismos de eficiencia de enlaces
    Aunque hay muchos mecanismos QoS diferentes para optimizar el ancho de banda y reducir el retardo en el trfico de red, los mecanismos QoS no crean ancho de banda. En su lugar, optimizan los recursos existentes y habilitan la distincin de trfico de acuerdo a una poltica. Los enlaces WAN pueden usar mecanismos QoS para optimizar la eficiencia del ancho de banda de los enlaces como la compresin del payload, compresin de la cabecera, y la fragmentacin del enlace.

    74

    CCNP ONT
    - COMPRESIN DEL PAYLOAD: La compresin del payload si que crea ancho de banda adicional, ya que comprime el payload del paquete, y por tanto incrementa la cantidad de datos que pueden ser enviados a travs de un recurso de transmisin en un periodo de tiempo dado. Esta compresin se realiza mayormente en tramas de capa 2, que como resultado, comprimen el paquete entero de capa 3. - COMPRESIN DE LA CABECERA: La base de la compresin de cabecera, como otros mtodos de compresin, es la eliminacin de redundancias. Esto se aplica especialmente a otras cabeceras de protocolos. La informacin de cabecera de los paquetes del mismo flujo no cambia mucho durante el tiempo que dura dicho flujo. La compresin de cabecera lee la informacin de cabecera slo al principio del flujo y posteriormente almacena esta informacin en un diccionario para una referencia posterior a travs de un ndice corto del diccionario. - LFI: LFI es una tcnica de capa 2 en la cual las tramas grandes se rompen en pequeos fragmentos, del mismo tamao y se transmiten sobre el enlace de una forma intercalada. Usando LFI, las tramas pequeas son priorizadas, y una mezcla de fragmentos se enva sobre el enlace. LFI reduce el retardo de cola, ya que las tramas pequeas se envan casi inmediatamente. Los 3 mecanismos de LFI primarios usados por cisco son: o MLP (MULTILINK PPP): Usado en enlaces PPP. o FRF.12: Usado en enlaces de VoIP sobre Frame Relay (VoIPovFR). o FRF.11 ANEXO C: Usando en enlaces de Voz sobre Frame Relay (VoFR).

    4.8.2 Vistazo a la compresin


    La compresin de datos trabaja identificando patrones en los streams de datos. La compresin escoge un mtodo ms eficiente para representar la misma informacin. Esencialmente, un algoritmo de compresin elimina toda la redundancia que sea posible. El radio de compresin mide la eficiencia y efectividad del esquema de compresin. Una compresin de radio 2:1 (relativamente comn) significa que los datos son comprimidos a la mitad del tamao original. Existen varios algoritmos de compresin. Algunos algoritmos toman ventaja de un medio especfico y la redundancia encontrado en el mismo. Sin embargo, cuando se cambia de medio el trabajo que realizan es pobre. Por ejemplo, MPEG se beneficia de la diferencia relativamente pequea entre una trama de vdeo y otra. Realiza una compresin excelente en imgenes en movimiento, pero no comprime bien un texto. Para un texto, resulta mejor un algoritmo Huffman. La compresin por hardware y software se refiere al lugar donde se aplica el algoritmo de compresin. En la compresin por software, la compresin se implementa en la CPU principal como un proceso de software. En la de hardware, los clculos de compresin se pasan a un mdulo de hardware secundario. Esto libera a la CPU de realizar tareas intensivas de clculos de compresin. La compresin del payload estruja payloads, ya sean de capa 2 o de capa 3. Con la compresin de capa 2, la cabecera de capa 2 permanece intacta, y su payload (Capa 3 y superiores) son comprimidos. Con el de capa 3, las cabeceras de capa 2 y capa 3 permanecen intactas, y se comprimen las capas superiores. Con la compresin del payload se incrementa el ancho de banda y se disminuye la latencia en la transmisin, ya que los paquetes al ser ms pequeos se toman menos tiempo en transmitirse. La compresin de capa 2 se realiza en una base enlace por enlace, mientras que la de capa 3 se realiza en una base sesin por sesin. Los mtodos de compresin trabajan evitando repetir informacin en cabeceras de paquete a lo largo de una sesin. Los 2 pares de una conexin PPP de capa 2 (un enlace de marcado) estn de acuerdo en los ndices de una sesin que se guardan en un diccionario de cabeceras de paquete. El diccionario se construye en el inicio de cada sesin y se usa para todos los dems paquetes subsecuentes. Slo los parmetros que cambian, o inconstantes, de las cabeceras son enviados junto con el ndice de sesin. La compresin de cabecera no puede ser realizada a lo largo de mltiples routers ya que estos necesitan informacin completa de capa 3 para ser capaces de enrutar el paquete al salto siguiente. La compresin incrementa la cantidad de datos enviados a travs de un recurso de transmisin. La mayora de los esquemas de compresin de payload trabajan en tramas de capa 2. Como resultado se comprime el paquete de capa 3 entero. Los mtodos de compresin de payload de capa 2 incluyen los siguientes: STACKER // PREDICTOR // MPPC (MICROSOFT POINT-TO-POINT COMPRESSION). Estos algoritmos difieren principalmente en la eficiencia de compresin y en el uso de recursos de router. La compresin elimina redundancias. La cabecera de protocolo es un elemento de datos repetidos. La informacin de protocolo de la cabecera en cada paquete del mismo flujo no cambia mucho sobre el tiempo que dura dicho flujo. Usando mecanismos de compresin, la mayora de la informacin de cabecera puede enviarse slo al inicio de la sesin, guardarse en un diccionario, y referenciar los paquetes

    75

    CCNP ONT
    subsecuentes mediante un pequeo ndice en el diccionario. Los mtodos de compresin de cabecera incluyen: TCP // RTP // TCP BASADO EN CLASES // RTP BASADO EN CLASES.

    4.8.3 Compresin del payload de Capa 2


    En la figura se muestra el concepto de compresin del payload de capa 2. Cuando un router enva un paquete, el paquete est sometido al mtodo de compresin de capa 2 despus de que ha sido encapsulado a la salida. El mtodo de compresin estruja el payload de la trama de capa 2 (el paquete completo de capa 3) y transmite el mismo a la interfaz. La compresin del payload de capa 2 es una tarea de uso intensivo de la CPU y puede aadir un retardo de compresin por paquete debido a la aplicacin de la compresin en cada trama. El retardo de serializacin, sin embargo, ms reducido, ya que la trama resultante es menor. Este retardo se refiere al retardo fijo que se requiere para colocar la trama en la interfaz de red. Los routers Cisco soportan compresin asistida por hardware para reducir la carga a la CPY y el retardo de compresin del payload de capa 2. La compresin del payload envuelve la compresin del payload del protocolo WAN de capa 2, como PPP, Frame Relay, HDLC, X.25 o LAPB. La capa 2 permanece intacta durante la compresin. Sin embargo, los contenidos completos del payload son comprimidos, usando Stacker o Predictor.

    RESULTADOS DE LA COMPRESIN DEL PAYLOAD DE CAPA 2

    Si no se usa compresin, el ancho de banda est limitado por el ancho de banda del enlace, y la media de retardo se ve influenciada por el retardo de envo o de buffer, la serializacin y el retardo de propagacin. Si se habilita la compresin, el retardo de compresindescompresin incrementa la latencia total entre 2 saltos. El ancho de banda percibido es generalmente incrementado ya que el tamao del payload de capa 2 se reduce, permitiendo ms tramas de capa 2 ser enviadas a travs de un recurso de transmisin en un perodo dado. Si se usa una compresin por hardware del payload de capa 2, los retardos de compresin o descompresin pueden llegar a ser insignificantes comparados a los de envo y serializacin, y la latencia general decrece.

    4.8.4 Compresin de cabecera


    La compresin de cabecera incrementa la capacidad de ancho de banda y reduce el retardo comprimiendo las cabeceras de protocolo. Esta compresin es ms til para aplicaciones que general pequeos payloads ya que las cabeceras de protocolo de estas aplicaciones usan un porcentaje significativo de ancho de banda en un enlace en relacin al payload. La compresin de cabecera se basa en tcnicas de diccionario de sesin que trabajan reemplazando frases en la cadena de entrada con ndices de una tabla de diccionario. Cuando la compresin se aplica en una cabecera TCP/IP, algunos de los campos redundantes de la conexin son eliminados. La compresin de cabecera mantiene una copia de la cabecera original en cada final del enlace, elimina completamente los campos redundantes, y diferencia cdigos de los campos restantes de forma que se permite una compresin de 40 bytes a 5 bytes de media. Este proceso usa un algoritmo muy especfico diseado sobre la estructura constante de las cabeceras TCP/IP. No toca el payload del paquete TCP en ningn momento. La compresin TCP y RCP se aplica a todos los flujos TCP y RTP. Por ejemplo, si la compresin TCP est habilitada en un enlace, no existe un mecanismo para restringir su funcin a aplicaciones especficas. La compresin de cabecera TCP basada en clases puede realizar se en clases de trfico especficas, como por ejemplo la clase telnet. La compresin de cabecera TCP basada en clase permite configurar compresin de cabecera RTP o TCP/IP en una base por clase, cuando una clase se configura dentro de un policy map. Los policy maps se crean usando la MQC. El algoritmo de compresin sigue las conexiones activas de la capa de transporte en una interfaz. Cuando un paquete ha sido enviado, el algoritmo comprime las cabeceras de capa 3 y capa 4 dentro de la trama y reemplaza las cabeceras con un ndice de sesin desde un diccionario de sesiones. Slo los parmetros no

    76

    CCNP ONT
    constantes de las cabeceras se envan junto con el ndice de sesin. El paquete es enviado a la cola de salida y transmitido al par remoto. Cuando el par remoto recibe el paquete, la cabecera es descomprimida usando la tabla de sesin local y pasada al proceso de envo. Por ejemplo, sin la compresin de cabecera RTP, la carga IP, UDP y RTP del paquete de voz es de aproximadamente el 67%. Con la compresin RTP, se puede reducir de un 9 a un 17%.

    RESULTADOS DE LA COMPRESIN DE CABECERA

    Si la compresin no est en uso, el ancho de banda se limita al ancho de banda del enlace, y la media de retardo se ve influenciada slo por el envo o el retardo del bfer, serializacin y retardo de propagacin. Con la compresin de cabecera habilitada, comprimir las cabeceras del protocolo provoca que el paquete sea ms pequeo, permitiendo a ms paquetes ser enviados a travs de un recurso de transmisin en un perodo de tiempo dado, incrementando la capacidad. Debido a que el paquete es ms pequeo, el retardo de serializacin tambin es menor, reduciendo el retardo general. La compresin de cabecera tiene un retardo de compresin bajo, y una carga sobre la CPU relativamente pequeo, por lo que siempre se recomienda en enlaces ms lentos a 2 Mbps.

    4.8.5 Exclusin de paquetes grandes de voz en enlaces WAN lentos


    Considerando el retardo entre dos saltos en una red, el retardo de cola en un router debe ser tomado en cuenta ya que puede ser comparable a, o incluso superior, al retardo de serializacin y propagacin en un enlace. En una red vaca, una sesin de voz interactiva experimenta un retardo bajo o ninguno, ya que las sesiones no compiten con otras aplicaciones en una cola de interfaz de salida. Tambin, los retardos pequeos no varan lo suficiente como para producir jitter en el lado receptor. En una red congestionada, los datos interactivos y las aplicaciones de voz compiten en la cola del router. Los mecanismos de colas deben priorizar el trfico de voz en esta cola, pero las colas de hardware siempre usan el mecanismo de envo FIFO. Despus que los paquetes de diferentes aplicaciones dejan la cola de software, los paquetes se mezclarn unos con otros en la cola de hardware, an cuando el procesamiento en la cola de software fuera explcito. Por tanto, un paquete de voz puede ser inmediatamente enviado a la cola de hardware donde 2 paquetes FTP grandes estn esperando su transmisin. El paquete de voz debe esperar hasta que los FTP se transmitan, produciendo un retardo inaceptable en la ruta de voz. Debido a que los enlaces se usan de forma variable, el retardo vara con el tiempo y puede producir un jitter inaceptable en aplicaciones sensitivas al mismo como la voz. En el ejemplo de la figura, el retardo de serializacin de un paquete de 1500 bytes sobre un enlace de 512 Kbps ser de 24.3 ms. Para el trfico VoIP, el mximo recomendado en una va, de extremo a extremo, es de 150 ms. Por tanto, teniendo un paquete de 1500 bytes por delante de uno VoIP en la cola de hardware de un enlace de 512 Kbps puede causar retardos.

    4.8.6 Fragmentacin de enlace e Intercalado


    El uso de un mtodo de colas hbrido como LLQ puede proveer baja latencia y bajo jitter para paquetes VoIP mientras se sirven otros paquetes de datos de una forma equitativa. Pero los paquetes VoIP todava tienen el riesgo de que exista el retardo de serializacin. Un paquete grande puede estar ubicado en la cola de hardware, que usa FIFO. Cuando el paquete VoIP se enva al frente de la cola de software, la serializacin del paquete grande en el hardware puede causar que el paquete VoIP tenga que esperar demasiado tiempo antes de transmitirse.

    77

    CCNP ONT
    La solucin es fragmentar los paquetes grandes de forma que no causen que un paquete VoIP tenga que esperar ms del tiempo predefinido. El paquete VoIP debe tambin tener permitido transmitirse entre fragmentos de los paquetes grandes (intercalado interleaving -). Cuando configuramos el tamao de fragmento correcto a usar en un enlace, una meta tpica es tener un retardo de serializacin de alrededor de 10 a 15 segundos. Dependiendo de los mecanismos LFI configurados, el tamao del fragmento puede configurarse en bytes o en milisegundos.

    4.8.7 Aplicando mecanismos de Eficiencia de Enlaces


    Usaremos las siguientes guas para aplicar mecanismos de eficiencia de enlaces: - Identificar enlaces lentos para ayudar a determinar donde se producen cuellos de botella en la red y decidir cmo aplicar los mecanismos de eficiencia de enlace a las interfaces adecuadas. - Calcular la carga de capa 2 y capa 3 de cada tipo de medio que transportar el trfico crtico para el negocio. Este proceso ayudar a escoger el tipo de compresin adecuado. - Decidir el tipo de compresin a utilizar. - Habilitar la compresin en los enlaces WAN.

    4.9 Implementar Ple-clasificacin QoS


    4.9.1 Redes Privadas Virtuales (VPN)
    Una VPN se establece entre dos sistemas o entre 2 o ms redes. Puede construirse usando tneles, cifrado o ambos. Es una infraestructura WAN alternativa que reemplaza las redes privadas que usan lneas alquiladas o redes Frame Relay. Las VPN proveen 3 funciones crticas: confidencialidad, integridad y autenticacin.

    TIPOS DE VPN

    Existen 2 tipos de VPN de acceso remoto: - INICIADAS POR EL CLIENTE: Los usuarios remotos establecen un tnel seguro a travs de una conexin a Internet a la empresa. - INICIADAS POR EL NAS (NETWORK ACCESS SERVER): Los usuarios remotos marcan el nmero de telfono en un ISP. El NAS establece un tnel seguro a la red privada de la empresa que soporta mltiples conexiones sesiones iniciadas por el usuario. Las VPN sitio a sitio incluyen 2 tipos principales: - VPN INTRANET: Conecta centrales corporativas, oficinas remotas y sucursales sobre una infraestructura pblica. - VPN EXTRANET: Enlaza clientes, proveedores, partners o comunidades de inters a una intranet corporativa sobre una infraestructura pblica.

    PROTOCOLOS VPN - L2TP: Acta como un protocolo de la capa de enlace de datos para tunelear trfico de red entre 2

    pares sobre una red existente (normalmente Internet). L2TP es en efecto un protocolo de sesin de capa 5, y usa el puerto UDP registrado 1701. El paquete completo L2TP, incluyendo el payload y la cabecera L2TP, se enva dentro de un datagrama UDP. - GRE: Este protocolo encapsula IP y cualquier otro paquete dentro de tneles IP. Con GRE, un router Cisco de cada sitio encapsula paquetes especficos en una cabecera IP, creando un enlace virtual punto a punto a routers Cisco en los otros extremo de una nube IP donde la cabecera IP adicional es eliminada. No provee cifrado y puede ser monitoreado con un analizador de protocolos. - IPSEC: Es la mejor eleccin para asegurar VPN corporativas. Es un marco abierto de estndares que provee confidencialidad de datos, integridad y autenticacin entre pares participantes.

    4.9.2 Implementar QoS con Pre-clasificacin


    La preclasificacin QoS est diseada para interfaces tnel. Cuando se habilita esta prestacin, la prestacin QoS de la interfaz saliente clasifica paquetes antes de cifrarlos, permitiendo que el trfico que fluyo sea gestionado en entornos congestionados. Esta prestacin provee una solucin para marcar servicios QoS que operan en conjunto con tneles y cifrados en una interfaz. Esto permite a los SP y empresas tratar voz, vdeo y trfico de misin crtica con una prioridad mayor a lo largo de la red del SP mientras se usan VPN para un transporte seguro.

    4.9.3 Aplicaciones de Pre-clasificacin QoS


    Cuando los paquetes se encapsulan por un tnel o protocolo de cifrado, la cabecera del paquete original deja de estar disponible para su examen. Desde la perspectiva QoS, proveer niveles diferentes de servicio es muy difcil sin la posibilidad de examinar la cabecera del paquete original. Las marcas QoS del paquete original deben estar visibles en la cabecera del paquete, sin importar el tipo de tnel en uso.

    TNELES GRE
    Los tneles GRE permiten que cualquier protocolo sea tuneleado en un paquete IP. Cisco ofrece soporte de encapsulacin de datos usando IPsec o GRE. En cualquiera de los escenarios, el IOS copia los valores ToS de la cabecera del paquete en la cabecera del tnel. Esta prestacin permite que los bits ToS sean copiados a la nueva cabecera cuando el router encapsula el paquete. En la figura de la pgina siguiente se muestra un ejemplo grfico.

    78

    CCNP ONT

    IPSEC AH
    IPsec no define algoritmos de seguridad especficos a usar. En su lugar, provee un marco abierto de algoritmos estndares de la industria. AH, un protocolo clave de la arquitectura IPsec, provee integridad no orientada a conexin y autenticacin del origen de datos para datagramas IP, y provee proteccin contra replays. Tambin provee servicios de no repudiacin. IANA ha asignado el nmero de protocolo IP 51 a AH. Por tanto, en la presencia de una cabecera AH, la cabecera IP usa un valor 51 en el campo protocolo. En la figura se muestra como el ToS se usa con el protocolo AH, mantenindose los bits ToS de la cabecera original.

    IPSEC ESP
    ESP es un protocolo clave en la arquitectura IPsec. Puede proveer cifrado y autenticacin. La cabecera ESP es de al menos 8 bytes. IANA ha asignado el nmero de protocolo IP 50 a ESP. Con el modo tnel, los bytes ToS se copian automticamente de la cabecera IP original a la cabecera tnel.

    4.9.4 Opciones de despliegue de pre-clasificacin QoS


    La clasificacin define el proceso de coincidir uno o ms campos de la cabecera de capa 2, 3 o 4 de un paquete y colocar ese paquete dentro de un grupo o clase de trfico. Usando la clasificacin de paquetes, el trfico de red puede ser dividido en mltiples niveles de prioridad o clases de servicio. Cuando configuramos IPsec con GRE, el enfoque de clasificacin ms simple es coincidir la procedencia IP o los valores DSCP. Adems, con la prestacin de mantenimiento del byte ToS, el router automticamente copia el valor ToS de la cabecera del paquete IP original a la nueva cabecera IP. Alternativamente, el trfico puede necesitar ser clasificado basado en valores diferentes a la procedencia IP o DSCP. Por ejemplo, los paquetes pueden necesitar clasificarse basados en flujos IP o informacin de capa 3, como IP origen y destino. Para ello, usamos la prestacin QoS para VPN con el comando qos pre-classify. Este comando permite a los routers Cisco hacer una copia de la cabecera interna IP y ejecutar la clasificacin QoS antes del cifrado, basada en los campos de la cabecera IP interna. En los criterios de clasificacin, no es necesario usar el comando qos preclassify, ya que el valor ToS se copia a la cabecera externa por defecto.

    En la siguiente pgina se muestra un ejemplo de su configuracin.

    79

    CCNP ONT

    En la interfaz serial 0/0 del router branch, hay una poltica de servicio que configura el ancho de banda de la interfaz a 256 Kbps y ejecuta polticas a una cantidad de 512 Kbps. Esta poltica se aplica a cualquier criterio que coincida con el class map branch 110. Se ha construido un tnel de trfico en la interfaz serial 0/0 (cuyo destino es el hq de esta sucursal). Es en este trfico donde la pre-clasificacin QoS ha sido configurada. El ejemplo muestra como la pre-clasificacin QoS ha sido configurada correctamente en el criptomap llamado vpn. Este crytpo map ha sido aplicado tambin a la interfaz serial 0/0. Si la pre-clasificacin QoS se habilita slo en el crypto map y no en la interfaz tnel, el router ver un flujo solamente, el tnel GRE (protocolo 47), en lugar de los mltiples flujos que requieren los beneficios del QoS los cuales estn dentro del tnel GRE.

    4.10 Despliegue QoS extremo a extremo


    4.10.1 SLAs QoS (Acuerdos de Nivel de Servicio QoS)
    Un SLA estipula la entrega y el precio de los niveles de servicio y detalla las penalizaciones para los dficits. SLA puede cubrir un surtido de servicios de datos, como Frame Relay, lneas alquiladas, Internet, hosting web, etc La mejor manera de entender una SLA es dividirla en 2 actividades: - Negociar el acuerdo de tecnologa. - Verificar el cumplimiento del acuerdo. Una SLA QoS provee tpicamente un seguro contractual de parmetros como retardo, jitter, prdida de paquetes, capacidad y disponibilidad. Con el rpido crecimiento de aplicaciones multimedia en tiempo real, como la telefona IP, video conferencia y e-learnign, las SLAs QoS se estn incrementando de forma importante en las redes empresariales.

    RED EMPRESARIAL CON SERVICIO TRADICIONAL DE CAPA 2

    En la figura se muestra un ejemplo de un SP que provee slo servicios de capa 2 al cliente. Los routers CE de varios sitios cliente estn interconectados por circuitos Frame Relay. Estos VC pueden ser malla completa, parcial o hub and spokes, dependiendo de los requisitos del cliente. En este entorno, el SP es responsable slo de las conexiones de extremo a extremo de capa 2. El SP provee slo una garanta SLA punto a punto para cada conexin PVC y no est relacionado con el QoS IP del cliente. Para proveer QoS IP para voz, vdeo y datos sobre los PVC de Frame Relay, el cliente debe configurar los mecanismos QoS correctos, como modelado de trfico, LLQ, FRF.12 y compresin RTP (cRTP) en los routers CE, ya que el enlace WAN Frame Relay es probable que quede congestionado.

    RED EMPRESARIAL CON SERVICIOS IP

    En este ejemplo, otro SP ofrece servicios de capa 3 a los clientes. Los routers CE de varios sitios de cliente se conectan a un router PE del SP. Desde la perspectiva particular de un sitio cliente, cada direccin IP que no se localiza en un sitio es alcanzable a travs de la red backbone IP del SP. En este entorno, el SP puede proveer servicios IP de valor aadido al cliente, proveyendo SLAs para conformar el trfico del cliente.

    80

    CCNP ONT

    Una SLA puede, por ejemplo, dividir el trfico del cliente en el borde de la red con clases de latencia controlada, carga controlada 1 y carga controlada 2, para proveer seguros QoS IP a cada clase de trfico conforme a la cantidad contractual sobre un backbone IP DiffServ. Para todo el trfico no conforme, el SP puede re-marcar y entregar este trfico con un servicio de mejor esfuerzo.

    CONOCER LA SLA OFRECIDA POR NUESTRO SP


    La SLA QoS IP tpica ofrecida por la mayora de los SP a menudo incluye 3 o 5 clases de trfico. Por ejemplo, la clase de trfico a tiempo real, la clase de trfico de misin crtica, una o dos otras clases de trfico de datos, y la clase de trfico de entrega de mejor esfuerzo. La SLA del trfico en tiempo real debe ser garantizada con un ancho de banda mximo garantizado, mientras que la clase de trfico de datos debera tener garantizado un ancho de banda mnimo. Tpicamente, la localizacin de ancho de banda se configura como un porcentaje del ancho de banda de la interfaz. Cada clase de trfico puede tambin tener garantas de latencia, retardo, jitter y prdida de paquetes. Si una nica interfaz fsica est sirviendo a slo un cliente, la SLA se configura tpicamente por interfaz. Para proveer actualizaciones de ancho de banda sencillas, los SP a menudo instalan enlaces de alta velocidad al cliente y ofrecen un acceso subrate. Si una interfaz fsica nica sirve a varios clientes, la SLA es normalmente configurada por PVC o por VLAN.

    4.10.2 Requisitos SLA tpicos de Voz


    Para encontrar los requisitos QoS de los distintos tipos de trfico, tanto la empresa como el SP deben implementar los mecanismos QoS correctos para proveer QoS de extremo a extremo para los paquetes que atraviesan una red IP del SP. En la figura, la empresa HQ y la empresa Branch se conectan a un SP que provee servicios de capa 3. En este ejemplo, el SP provee una SLA para el trfico de voz con una latencia de 60 ms o menos, un jitter de 20 ms o menos, y una prdida de paquetes del 0.5% o menos.

    4.10.3 Despliegue QoS extremo a extremo


    Para encontrar los requisitos de los distintos tipos de trfico, tanto la empresa como el SP deben implementar los mecanismos correctos QoS IP para proveer QoS de extremo a extremo para los paquetes que atraviesa la red del SP. Como se ve en la figura de la pgina siguiente, esto significa que en ambas localizaciones del cliente, necesita realizarse la clasificacin y el marcado, por ejemplo, para los datos de VoIP. Dependiendo de la conexin del cliente al SP, estas marcas pueden mapearse dentro de los bits EXP de MPLS, y darles prioridades.

    81

    CCNP ONT
    El proveedor debe ahora garantizar la transferencia correcta sobre el ncleo a la sucursal. El trfico llega a la misma con las mismas marcas que salieron desde la oficina central, permitiendo de nuevo la clasificacin necesaria para realizar un QoS de extremo a extremo. Para proveer QoS de extremo a extremo, tanto la empresa como el SP deben implementar mecanismos QoS correctos para asegurarse de una correcta conducta por salto (PHB) para cada clase de trfico a lo largo de la red. En el pasado, el QoS IP no se tena en cuenta en la red de campus, donde el ancho de banda era ms que suficiente. A medida que surgieron nuevas aplicaciones con mayor demanda de ancho de banda, tambin se ve implementado dentro del campus. En la siguiente figura se alista algunos de los requisitos dentro de los building blocks que constituyen la red de extremo a extremo. QoS en la capa de acceso se centra en las configuraciones de velocidad y dplex, clasificacin, requisitos de hardware y de colas. QoS en la capa de distribucin del campus, se centra en polticas, marcados, y prevencin de congestin. Las configuraciones QoS ms complejas ocurren normalmente en el borde WAN. En el ncleo IP (Nube SP), slo estn operativos mecanismos de gestin de congestin y de prevencin de congestin. Los mecanismos QoS clave usados en un ncleo IP incluyen LLQ y WRED.

    4.10.4 Implementaciones QoS en el Campus Empresarial


    Los datos de aplicaciones de telefona IP, videoconferencia, e-learning y misin crtica se estn volviendo ms comunes en redes empresariales. Las funciones QoS como la clasificacin, programacin y aprovisionamiento se requieren dentro del campus para gestionar los buffers de salida para minimizar la prdida de paquetes, retardos y jitter. Algunas de las guas generales a seguir cuando se implementa QoS en el campus, incluyen las siguientes: - CLASIFICACIN Y MARCADO DEL TRFICO LO ANTES POSIBLE: Este principio promueve PHB DiffServ de extremo a extremo. A veces, los puntos finales pueden ser de confianza configurando las marcas CoS y DSCP correctamente, aunque est prctica no se recomienda ya que los usuarios podran fcilmente abusar de las polticas QoS si los mismos tienen permitido marcar su propio trfico. Por ejemplo, si el DSCP EF recibe servicios prioritarios a travs de la red empresarial, un usuario podra fcilmente configurar la NIC del PC para marcar todo el trfico como DSCP EF. - CREAR POLTICAS DE TRFICO NO DESEADO LO MS CERCA POSIBLE DE SU ORIGEN: De esta forma logramos que la poltica borre el trfico antes de pasarlo al nodo siguiente. Esto es especialmente importante cuando se trata de un ataque DoS o un gusano. - REALIZAR SIEMPRE QOS A NIVEL DE HARDWARE EN LUGAR DE SOFTWARE, SI ES POSIBLE: Los routers Cisco realiza QoS a nivel de software. Este diseo provoca una demanda adicional de CPU, dependiendo de la complejidad de la poltica. Los switches Catalyst, sin embargo, realizan el QoS en un hardware dedicado (ASIC), el cual realiza uso de la CPU para administrar las polticas QoS.

    82

    CCNP ONT
    Podemos por tanto aplicar polticas QoS complejas en lneas de velocidad Gigabit y 10 Gigabit en estos switches. - ESTABLECER LMITES DE CONFIANZA CORRECTOS: Por ejemplo, en los switches de la capa de acceso, confiar slo en los el marcado CoS de los telfonos IP, y no en el de los PC. - CLASIFICAR VOZ EN TIEMPO REAL Y VIDEO COMO TRFICO DE ALTA PRIORIDAD. - USAR MLTIPLES COLAS EN LAS INTERFACES DE TRANSMISIN: Minimizamos con ello el borrado potencial o trfico retrasado causado por la congestin del buffer de transmisin.

    IMPLEMENTACIN QOS EN LA CAPA DE ACCESO Y DISTRIBUCIN


    Es bastante raro bajo condiciones operativas normales que una red de campus sufra congestin. Si la misma ocurre, es normalmente momentnea y no continua, como en el borde WAN. Sin embargo, aplicaciones como VoIP requieren garantas de servicio sin importar las condiciones de la red. La nica forma de proveer garantas de servicio es habilitar colas en cualquier nodo que tenga una congestin potencial. Este riesgo potencial existe en los enlaces uplink. La nica forma de garantizar el servicio en estos casos es habilitar colas en dichos enlaces. El QoS requerido dentro del campus es el siguiente: - SWITCHES DE LA CAPA DE ACCESO: Clasificacin en una base por paquete // Policing o Shaping // Fragmentacin // Compresin // Gestin de Congestin // Prevencin de Congestin. - SWITCHES DE LA CAPA DE DISTRIBUCIN Y DE NCLEO: Clasificacin en una base por paquete // Marcado // Gestin de Congestin // Prevencin de Congestin.

    4.10.5 Implementaciones QoS en el borde WAN


    Los routers que terminan el enlace WAN entre el CE y el PE requieren un esfuerzo de configuracin importante por parte de los administradores de red.

    REQUISITOS DE ROUTER CE Y PE PARA EL TRFICO QUE DEJA LA RED EMPRESARIAL


    Primero, consideremos que el trfico deja la red empresarial. Los requisitos QoS en los routers CE y el PE sern diferentes, dependiendo de si el SP gestiona el CE.

    En la figura se ilustran 2 posibilidades, un CE gestionado y un CE no gestionado. Para el trfico que deja la red empresarial por el router CE movindose hacia el PE, en la figura se muestran los requisitos QoS generales en los routers CE y PE.

    RESPONSABILDIADES QOS DEL SP PARA EL TRFICO QUE DEJA LA RED EMPRESARIAL


    En un servicio CE gestionado, el SP puede reforzar la SLA de cada clase de trfico usando la poltica QoS saliente en el CE. Por ejemplo, podemos usar LLQ o CBWFQ para dar una garanta de ancho de banda mxima a las clases de trfico de voz y vdeo, dar una garanta de ancho de banda mnima a los datos, y usar shaping basado en clases para proveer una cantidad lmite mxima a cada clase de trfico. En un servicio CE no gestionado, debido a que el SP no tiene control sobre el CE del cliente, el SP puede reforzar la SLA para cada clase de trfico slo en la entrada de dicho trfico por el router PE. En este modelo, la poltica de salida del CE es gestionada y configurada por el cliente, por lo que de cara al SP la misma es irrelevante. En la interfaz de entrada del PE, el SP tiene una poltica para clasificar, marcar o mapear trficos. El SP tambin tpicamente implementa polticas de trfico para limitar la cantidad de trfico de entrada desde el cliente, de forma que la misma no exceda la cantidad contratada especificada en la SLA.

    TRFICO QOS DEJANDO LA RED DEL SP


    Ya sea un servicio gestionado o no, el SP puede reforzar la SLA de cada clase de trfico usando la poltica QoS de salida en el PE. Puede habilitarse colas y compresin.

    EJEMPLO: BORDE CLIENTE GESTIONADO CON 3 CLASES DE SERVICIO

    En este ejemplo, el SP est implementado un backbone IP DiffServ ofreciente 3 clases de trfico con diferentes SLA para cada una:

    83

    CCNP ONT
    - CLASE TIEMPO REAL: Que incluye VoIP, vdeo y sealizacin de llamadas. LLQ con un ancho de banda mximo garantizado del 35% del ancho de banda del enlace. - DATOS CRTICOS (ENRUTAMIENTO, MISIN CRTICA, DATOS TRANSACCIONALES Y GESTIN DE RED): Puede tener un ancho de banda mnimo garantizado del 40% del ancho de banda del enlace despus que LLQ este servido. - MEJOR ESFUERZO: Puede tener un ancho de banda mnimo del 25% del enlace.

    4.10.6 Diseo del Borde WAN


    Para clase de trfico real-time, los paquetes VoIP sern marcados con EF e irn dentro de LLQ con los siguientes parmetros: - LLQ tendr un ancho de banda mximo del 35% del CIR. - Todo el trfico que sobrepase este ancho de banda ser borrado. - El trfico de sealizacin (5%) ser compartido con el LLQ del trfico VoIP. Para la clase critical data, los paquetes sern marcados con un AF31 e irn dentro de CBWFQ con los siguientes parmetros de clase: - La clase tendr una garanta de ancho de banda mnimo del 40% del ancho de banda disponible en el enlace. - Todo el trfico excedente ser re-marcado y enviado. - WRED ser usado en este trfico para optimizar la capacidad de TCP. Para la clase best-effort, los paquetes sern marcados con la clase CS0, e irn en CBWFQ con los siguientes parmetros: - Tendr una garanta de ancho de banda de alrededor al 23% del ancho de banda disponible en el enlace. - Se usar WRED en esta clase para optimizar la capacidad de TCP. Para la clase scavenger, los paquetes sern marcados con un CS2, con los siguientes parmetros de clase: - Tendr un garanta del 2% del ancho de banda restante disponible del enlace.

    QOS CE-A-PE PARA ACCESO FRAME RELAY: CE SALIENTE


    La poltica de trfico llamada OUT-POLICY se configura con 3 clases para proveer LLQ o CBWFQ y WRED. Cada clase de trfico y sus garantas de ancho de banda se configuran usando un porcentaje en lugar de un valor fijo en Kbps. El trfico de voz y de sealizacin ser identificado por una ACL (101) y ser servido por LLQ con un ancho de banda mximo del 25%. El trfico de misin crtica ser coincidido por la ACL 102 y tendr una garanta de ancho de banda del 75%. El trfico restante ser clasificado dentro de la clase por defecto, y tendr una garanta mnima del 25% del ancho de banda restante disponible. En la figura se muestra un enlace entre CE y PE usando Frame Relay, y el shaping se implementa en el PVC usando FRTS. FRTS se configura usando un class map Frame Relay con un CIR de 256 Kbps, un Bc de 2560 bits y un Be de 0. El CIR mnimo (mincir) es de 256 Kbps. El CIR es la velocidad a la cual enviaramos datos normalmente cuando no existe congestin. El Bc es la cantidad de bits que enviaremos por intervalo de tiempo. El CIR y el Bc se usarn para computar un Tc asignado, donde TC=BC/CIR. Para FRTS, la CLI

    84

    CCNP ONT
    slo permitir valores Bc que resulten en un Tc entre 10 ms. y 125 ms. El valor recomendado es de 10 ms. Para obtener un Tc de 10 ms., el Bc debe configurarse a 1/100 del CIR. Se requiere el parmetro mincir, ya que el IOS slo permitir el 75% del mincir para reservarlo a la poltica QoS aplicada a la clase FRTS. Si no se configura, tendr por defecto el 50% del valor del CIR, lo cual normalmente no es lo deseado. La fragmentacin FRF.12 y el intercalado, junto con cRTP tambin se habilitan dentro del class map Frame Relay. El tamao del fragmento en bytes se configura para derivar en un retardo mximo de 10 ms. a 15 ms. El tamao de fragmento ha de ser igual en ambos extremos. Finalmente, la poltica OUT-POLICY es aplicada dentro del class map Frame Relay.

    QOS CE-A-PE PARA ACCESO FRAME RELAY: PE ENTRANTE

    La salida de la figura muestra las configuraciones QoS de entrada. La interfaz entrante del router PE implementa la poltica QoS requerida para cada una de las 3 clases de trfico del SP. En el PE, una poltica llamada IN-POLICY se configura para proveer la poltica basada en clases requerida. Para la clase premium", la velocidad lmite se configura a un 25% del ancho de banda del enlace. Todo el trfico premium excedente es eliminado. Para la clase business, la velocidad lmite se configura al 38% del ancho de banda del enlace. Todo el trfico que excede y viola la clase business es re-marcado con una probabilidad de borrado mayor, y despus es enviado. La clase por defecto no tiene polticas. La poltica de trfico se aplica dentro del class map Frame Relay.

    4.10.7 Control Plane Policing (CoPP)


    Los ataques a la infraestructura se incrementan de forma comn, resaltado la necesidad de proteccin a la misma. La prestacin CoPP permite a los usuarios configurar un filtro QoS que gestiona un plano de control de flujo de trfico para proteger el control plane (donde est la tabla de enrutamiento y se decide qu hacer con los paquetes) de los routers y switches Cisco IOS de ataques DoS. Protegiendo el procesador de rutas, CoPP ayuda a asegurar la estabilidad de la red durante un ataque. Por ello, una recomendacin es desplegar CoPP como mecanismo clave de proteccin.

    PLANOS DE UN ROUTER CISCO

    Un router tiene 4 componentes funcionales bsicos (conocidos como planes): El data plane // El management plane // el control plane // el services plane. La mayor parte del trfico atravesado por el router va a travs del data plane. Sin embargo, el procesador de rutas debe manipular ciertos paquetes, como actualizaciones de enrutamiento, keepalives y gestin de red, referidos como planos de trfico de control y gestin (magamentent y control planes). Debido a que el procesador de rutas es crtico para la operacin de la red, cualquier interrupcin al procesador de rutas o a los planos de control y gestin pueden acarrear problemas de impacto en el negocio con relacin a la red. Un ataque DoS con el procesador de ruta como objetivo, el cual puede realizarse de forma inadvertida (sin querer) o maliciosa, tpicamente recae en altas cuotas de trfico que resultan en un uso excesivo de la CPU en el mismo procesador de rutas. Este tipo de ataque, el cual puede devastar la estabilidad y disponibilidad de la red, puede presentar los siguientes sntomas: - Alto uso de la CPU (cerca al 100%) - Prdida de keepalives y actualizaciones de enrutamiento. - Respuesta lenta o no obtencin de respuesta de la CLI debido al alto uso de la CPU. - Procesador de rutas exhausto, como buffers de memoria no disponibles para paquetes IP legtimos. CoPP dirige la necesidad de proteger los planos de gestin y control, asegurando la estabilidad de rutas, disponibilidad, y entrega de paquetes. Usa una configuracin dedicada a travs de la MQC para proveer filtros y capacidades de control de paquetes.

    85

    CCNP ONT
    DESPLIEGUE COPP
    CoPP usa la MQC para definir criterios de clasificacin de trfico y especificar acciones de poltica configurables para el trfico clasificado. El trfico de inters debe ser identificado en primer lugar a travs de class maps, los cuales se usan para definir paquetes de una clase de trfico particular. Tras la clasificacin, se crean acciones de poltica reforzadas para el trfico identificado a travs de policy maps. El comando (config)#control-plane permite adjuntar polticas de servicio al control plane. Existen 4 pasos requeridos para configurar CoPP: 1/ Definir un criterio de clasificacin de paquetes. 2/ Definir una poltica de servicio. 3/ Ingresar al modo configuracin del control plane. 4/ Aplicar la poltica QoS.

    POLTICA COPP Y MQC

    La MQC provee una interfaz flexible para crear polticas de servicio. El trfico puede ser identificado a travs de un class-map y borrar o permitir su acceso al procesador de rutas. El MQC tambin permite mltiples criterios de coincidencia dentro de una configuracin class-map. El router necesita determinar cmo se evaluarn los paquetes cuando hay mltiples criterios de coincidencia dentro de una clase nica. Los paquetes deben o cumplir todos los criterios de coincidencia especificados (match all) o alguno de los criterios (match any) para ser considerados miembros de la clase.

    86

    CCNP ONT

    5. Implementar AutoQoS Cisco


    5.1 Introduccin a AutoQoS
    5.1.1 AutoQoS Cisco
    Cisco AutoQoS automatiza el despliegue de polticas QoS en un entorno de negocio general, particularmente para compaas de tamao medio y sucursales, o grandes compaas. Cisco AutoQoS incorpora una inteligencia de valor aadido en el software IOS y el sistema operativo de los switches Catalyst para aprovisionar y gestionar despliegues QoS. Protege aplicaciones de datos crticos para el negocio para maximizar su disponibilidad. Provee aprovisionamiento QoS para routers y switches, simplificando su despliegue. Los clientes pueden implementar las prestaciones QoS necesarias para el trfico de voz, vdeo y datos sin un conocimiento profundo de las tecnologas subyacentes (PPP, Frame Relay, ATM, polticas de servicio, etc). Simplifica la implementacin QoS reduciendo los errores humanos potenciales y disminuyendo los costos de cursillos a personal. Crea class-maps y policy-maps basados en la experiencia de Cisco y una metodologa de las mejores prcticas. Sigue los estndares de la industria, como el modelo DiffServ, para logar un entorno interoperable. Los clientes, a su vez, puede usar comandos Cisco IOS existentes para modificar las configuraciones automticas generadas por el AutoQoS, para cumplir sus requisitos especficos.

    ELEMENTOS CLAVE DEL DESPLIEGUE AUTOQOS - CLASIFICACIN DE APLICACIONES: Cisco AutoQoS usa clasificacin inteligente en routers, usando NBAR
    para proveer una inspeccin de paquetes profunda y continua. Usa CDP para el reconocimiento de dispositivos, ayudando a asegurar que el dispositivo conectado a la LAN es realmente un telfono IP de Cisco. GENERACIN DE POLTICAS: Cisco AutoQoS evala el entorno de red y genera una poltica inicial. Automticamente determina las configuraciones WAN de fragmentacin, compresin, encapsulacin e internetworking de ATM y Frame Relay, eliminando la necesidad de comprender la teora y prcticas de diseo QoS en varios escenarios. Los clientes pueden modificar dicha poltica generada de forma automtica. CONFIGURACIN: Con un comando, AutoQoS configura la interfaz para priorizar trfico crtico. AutoQoS no slo detecta telfonos IP Cisco y habilita configuraciones QoS en el puerto del telfono, tambin deshabilita configuraciones QoS para prevenir actividad maliciosa cuando movemos o relocalizamos un telfono IP Cisco. MONITOREO Y REPORTES: AutoQoS provee visibilidad dentro de clases de servicio desplegadas usando loggings y alertas SNMP, con notificaciones de eventos anormales, como por ejemplo borrado de paquetes VoIP. El Cisco QoS Policy Manager (QPM) es la plataforma de monitoreo QoS, la cual usa la inteligencia de la red IP para proveer visibilidad dentro de la operacin de red. CONSISTENCIA: Las polticas Cisco AutoQoS trabajan juntas a lo largo de los dispositivos Cisco, ayudando a asegurar una configuracin QoS consistente de extremo a extremo. El QPM habilita a los usuarios a ver lo siguiente: o Estadsticas de coincidencia de polticas y filtros especficos, incluyendo los filtros de aplicaciones por NBAR. o Cantidad de trfico antes de cualquier accin de poltica QoS, trfico transmitido despus de las acciones de poltica QoS, y trfico borrad debido a las acciones de borrado de la poltica QoS. o Estadsticas de acciones QoS: WRED, policing, shaping y queuing.

    En la figura se muestra una configuracin QoS manual y una configuracin AutoQoS. Un total de 34 lneas han sido eliminadas de la figura, para que quepa en la pgina.

    87

    CCNP ONT 5.1.2 Evolucin AutoQoS


    Cisco AutoQoS ha evolucionado dentro de 2 implementaciones: AutoQoS para VoIP y AutoQoS empresarial.

    CISCO AUTOQOS VOIP


    AutoQoS VoIP ofrece capacidades directas de automatizar despliegues VoIP para clientes que quieren utilizar telefona IP pero que no tienen la experiencia suficiente para planear y desplegar QoS IP y servicios IP. Cisco AutoQoS VoIP fue la primera entrega de AutoQoS y automatiza configuraciones QoS para despliegues VoIP nicamente. Esta prestacin genera automticamente configuraciones de interfaz, policy maps, class maps, y ACLs. Automticamente emplea NBAR para clasificar el trfico de voz y marcar el mismo con el valor DSCP apropiado. Podemos instruir a AutoQoS a marcarlo o confiar en las marcas previamente aplicadas a los paquetes.

    CISCO AUTOQOS EMPRESARIAL

    Esta entrega de AutoQoS expande las capacidades a los requisitos QoS de una red empresarial convergente. Aade un paso importante: los usuarios pueden observar las aplicaciones descubiertas durante la fase de observacin (Auto Discovery) y revistar la poltica QoS que el AutoQoS sugiere sin desplegar esa poltica. Esta entrega mezcla el diseo y la implementacin de QoS, basado en la mayora de los escenarios empresariales comunes, en 2 pasos mayores: - Usando tcnicas de descubrimiento NBAR, AutoQoS descubre automticamente qu aplicaciones usa la red empresarial y genera una poltica optimizada. Este paso usa el mecanismo NBAR. - Posteriormente, AutoQoS implementa la poltica generada.

    5.1.3 Despliegue de AutoQoS en switches


    DESPLIEGUE DE AUTOQOS VOIP EN SWITCHES
    Existen varios comandos LAN, dependiendo de la plataforma y el sistema operativo. Para los Catalyst basados en IOS, hay 2 comandos de configuracin AutoQoS: uno para las conexiones de telfonos IP y otro para las conexiones seguras a otros dispositivos de red. Sin embargo, slo se necesita un nico comando para habilitar AutoQoS VoIP. Cisco AutoQoS VoIP en la LAN cumple con los siguientes requisitos QoS: - Un comando nico habilita AutoQoS VoIP en la LAN, y otro comando provee soporte a telfonos Cisco IP y equipos con Cisco IP Communicator. - AutoQoS automticamente configura parmetros QoS para un funcionamiento de la voz ptimo basados en las recomendaciones de mejores-prcticas de Cisco, un testeo de laboratorio intensivo, e informacin recibida desde instalaciones de clientes. - AutoQoS VoIP determina confianzas y extiende las configuraciones de lmites de confianza automticamente. Un usuario puede pasar por alto el telfono IP y conectar un PC directamente al switch, pero la confianza es deshabilitada cuando quitamos el telfono. - AutoQoS VoIP configura mapeos de clases de servicio (CoS) a DSCP. - Determina configuraciones PQ (cola prioritaria) y WRR (Round Robin basado en pesos) para VLAN estticas, de acceso dinmico, de voz (VVLAN) y puertos troncales. Para configurar prestaciones QoS y lmites de confianza para los telfonos VoIP, debemos habilitar la versin 2 CDP o posterior en el puerto del switch, donde el telfono es conectado. Si no nos aparecer un mensaje informndonos del hecho.

    CONFIGURACIN DE AUTOQOS EN SWITCHES CATALYST

    Para los switches basados en IOS, hay 2 comandos de configuracin AutoQoS VoIP. Un comando se usa para conexiones seguras a otros dispositivos de red, y el otro para conexiones a telfonos IP: El comando (config-if)#auto qos voip trust activa AutoQoS VoIP en un switch basado en IOS y configura la interfaz entrante para confiar en las marcas CoS QoS recibidas en los paquetes. El comando (config-ig)#auto qos voip cisco-phone habilita la prestacin de lmites de confianza. Esta prestacin usa CDP para detectar la presencia o ausencia de un telfono IP Cisco. Cuando AutoQoS detecta un telfono IP Cisco, la clasificacin de entrada de la interfaz se configura para confiar en las etiquetas QoS recibidas en los paquetes. Este comando extiende el lmite de confianza si se detecta un telfono IP. Cuando se habilita Cisco AutoQoS en la primera interfaz, QoS se habilita de forma global (se habilitara si no con el comando (config)#mls qos). En el ejemplo de la figura, se muestra como habilitar AutoQoS VoIP para confiar en las marcas QoS recibidas en los paquetes entrantes cuando el switch se conecta a un dispositivo de confianza (router) usando la interfaz Fast Ethernet 0/24. El ejemplo tambin puesta como habilitar AutoQoS para confiar en las marcas QoS recibidas en paquetes entrantes cuando el dispositivo conectado a la Fast Ethernet 0/11 se detecte como un telfono IP.

    88

    CCNP ONT 5.1.4 Cisco AutoQoS Empresarial: Restricciones de despliegue


    RESTRICCIONES GENERALES
    La prestacin VoIP es soportada slo en las siguientes interfaces, DLCI y PVCs: - Interfaces seriales con PPP o HDLC. - Frame Relay (slo en subinterfaces punto a punto). - Subinterfaces punto a punto ATM de baja y alta velocidad. - Enlaces de internetworking Frame Relay a ATM. Las interfaces seriales sncronas se clasifican como de baja velocidad si el ancho de banda es menor o igual a 768 Kbps. Esta clasificacin tambin es vlida para PVCs ATM.

    RESTRICCIONES DE INTERFACES SERIALES


    Para una interfaz serial con un enlace de baja velocidad, MLP (Multilink PPP) se configura de forma automtica. La interfaz serial ha de tener una direccin IP. Debemos cumplir las siguientes condiciones para asegurarnos que el trfico fluya a travs del enlace de baja velocidad: - Debemos tener Cisco AutoQoS Empresarial configurado en ambos finales del enlace. - El total de ancho de banda configurado debe ser el mismo en ambos finales del enlace.

    RESTRICCIONES DLCI FRAME RELAY


    Cisco AutoQoS tiene las siguientes restricciones en entornos Frame Relay: - No podemos configurarlo en un DLCI Frame Relay si existe un class map asociado al DLCI. - Para DLCIs de baja velocidad configurados para usar en internetworking Frame Relay a ATM, MLP sobre Frame Relay se configura automticamente. La subinterfaz debe tener una direccin IP.

    RESTRICCIONES DE PVC ATM


    AutoQoS tiene las siguientes restricciones en entornos ATM: - En un PVC ATM de baja velocidad, no se puede configurar AutoQoS si ya se ha configurado una plantilla virtual para el PVC ATM. - Para PVCs de baja velocidad ATM, MLP sobre ATM se configura automticamente. La subinterfaz debe tener una direccin IP.

    5.1.5 Consideraciones de Diseo


    Cuando configuramos AutoQoS, debemos tener en cuenta la plataforma de router, para tener en cuenta las consideraciones de la figura.

    - REQUISITOS QOS GENERALES: Mtodos recomendados y valores configurados para cumplir los requisitos QoS para el trfico en tiempo real. AutoQoS tiene en cuenta el tipo de interfaz y el ancho de banda cuando implementa las siguientes prestaciones QoS o COLA DE BAJA LATENCIA (LLQ): LLQ (especficamente, la cola prioritaria) se aplica a los paquetes de voz para cumplir sus requisitos de latencia. LLQ da a los paquetes de voz RTP prioridad sobre cualquier otro tipo de trfico cuando se comparte un enlace de salida con voz. o CRTP (RTP COMPRIMIDO): Con cRTP, la cabecera IP de 40 bytes se reduce a 2 o 4 bytes. Este mecanismo es utilizado en seriales de baja velocidad para mejorar la eficiencia del enlace y disminuir la carga RTP en el paquete causada por las cabeceras de paquete extensivas de voz. Se debe aplicar cRTP a ambos lados del enlace. o LFI (FRAGMENTACIN E INTERCALADO): LFI reduce el jitter en los paquetes de voz previniendo que los paquetes de voz sean retardados por grandes paquetes de datos en una cola cuando la voz en tiempo real y el trfico de datos en oleadas comparten el mismo enlace de salida de baja velocidad. Se debe aplicar a ambos lados del enlace. - IMPLICACIONES DE ANCHO DE BANDA: El ancho de banda de la interfaz serial determina la velocidad del enlace. La velocidad del enlace, sin embargo, determina la configuracin generada por AutoQoS: o Cambiar el ancho de banda durante la configuracin de AutoQoS no es recomendable. o AutoQoS usa el ancho de banda localizado en el momento que se configura la prestacin. AutoQoS no responde a cambios realizados al bandwith despus de ser configurada la herramienta. - FRAGMENTACIN EN REDES FRAME RELAY: Para redes Frame Relay, la fragmentacin se configura basndose en el cdec G.729 usando un retardo de 10 ms. y un tamao mnimo de fragmento de 60 bytes. Esta configuracin asegura que los paquetes VoIP no son fragmentados. Sin embargo, cuando

    89

    CCNP ONT
    usamos el cdec G.711 en enlaces de baja velocidad, el tamao de fragmento configurado por el AutoQoS puede ser menor que el tamao de un paquete G.711 VoIP. Para resolver este problema potencial, escogeremos una de las siguientes 2 opciones: o Cambiar el tamao de fragmento al valor requerido. o Cambiar el cdec G.711 con un cdec ms adecuado para los enlaces de bajo ancho de banda, como G.729.

    5.1.6 Pre requisitos del router


    Antes de configurar AutoQoS, debemos cumplir los siguientes pre-requisitos: - Asegurarnos que la interfaz no tiene polticas QoS (service-policies) adjuntadas. - Tener habilitado CEF. Cisco AutoQoS usa NBAR para identificar varias aplicaciones y tipos de trfico, y CEF es un pre-requisito para NBAR. - Cisco AutoQoS clasifica enlaces como de baja velocidad o alta velocidad, en base a su ancho de banda. Es importante que se especifique el ancho de banda correcto en la interfaz o subinterfaz donde se va a habilitar AutoQoS: o Para todas las interfaces o subinterfaces, usar el comando bandwidth correctamente. Basar el mismo en la velocidad del enlace o la interfaz. o Si la interfaz tiene una velocidad de 768 Kbps o menos, debemos configurar una direccin IP en la misma con el comando ip address. Por defecto, AutoQoS habilita MLP y copia la IP configurada a la interfaz manojo (bundle) multienlace. Adems de los pre-requisitos AutoQoS, existen otras recomendaciones requisitos para configurar AutoQoS. Debemos ser conscientes de que esto puede cambiar con las versiones de software IOS. Verificar los siguientes pre-requisitos antes de implementar AutoQoS en cualquier entorno: - Cisco AutoQoS est soportado slo en las siguientes interfaces y PVCs: o PVCs ATM. o Interfaces seriales PPP o HDLC. o DLCIs Frame Relay en subinterfaces punto a punto. - Se puede ajustar una plantilla generada por AutoQoS en una interfaz o PVC, si se desea. - Para incluir alertas SNMP (eventos de monitoreo), se debe habilitar SNMP en el router. Las alertas AutoQoS SNMP se entregan slo cuando usamos un servidor SNMP en conjunto con AutoQoS y el router sabe cmo alcanzar a dicho servidor. - La cadena de comunidad SNMP AutoQoS debe tener permisos de escritura. - Si reiniciamos el dispositivo con la configuracin salvada, la sonda RMON puede generar algunos mensajes de advertencia. Podemos ignorar los mismos. - Por defecto, los routers Cisco reservan el 75% del ancho de banda de la interfaz para clases definidas por el usuario. El ancho de banda restante se mantiene para la clase por defecto. Sin embargo, el ancho de banda restante no est garantizado para la clase por defecto. Esta clase y el trfico excedente comparten este ancho de banda de forma proporcional.

    5.1.7 Despliegue de AutoQoS Empresarial en routers: Un enfoque de 2 pasos


    Cisco AutoQoS empresarial consiste en 2 fases de configuracin: 1/ Auto descubrimiento (recoleccin de datos) ; 2/ Generacin de plantilla AutoQoS e instalacin. La fase de auto descubrimiento usa NBAR para detectar las aplicaciones en la red y realiza un anlisis estadstico del trfico de red. Los datos recogidos deberan ser una muestra representativa del volumen y tipo de voz, vdeo y datos de la red. Por tanto, se necesita una cierta cantidad de tiempo para coleccionar estos datos. Ejecutaremos la fase de auto descubrimiento tanto tiempo como sea necesario. Este tiempo puede variar, dependiendo del volumen y naturaleza del trfico de la red. Por defecto, Auto Discovery se ejecuta durante 3 das. La fase de generacin de plantilla e instalacin genera plantillas desde los datos recolectados durante la fase de descubrimiento, e instala las mismas en la interfaz. AutoQoS entonces usa estas plantillas como la base de la creacin de class maps y policy maps para la red. Tras crearlos, instala los mismos en la interfaz. AutoQoS VoIP omite la fase de descubrimiento y va directamente a la generacin e instalacin de las plantillas, por ello es mejor la prestacin que ahora nos compete.

    FASE 1: PERFILES DE TRFICO EN ROUTERS Y AUTO DESCUBRIMIENTO


    Iniciamos la fase de auto descubrimiento usando el comando (config-if)#auto discovery qos. Antes de usar este comando nos aseguraremos de que los siguientes pre-requisitos existen: - CEF est habilitado. - Si la interfaz o subinterfaz tiene una velocidad de 768 Kbps o menor, configurar las direcciones IP primaria o secundaria. - Para todas las interfaces o subinterfaces, configurar la cantidad de ancho de banda usando el comando bandwidth. Localizar el mismo basado en la velocidad real de la interfaz. Cuando ejecutamos Auto Discovery, observamos estas restricciones: El comando (config-if)#auto discovery qos no se soporta en subinterfaces. No cambiar el ancho de banda de la interfaz cuando se usa este comando. Eliminar todas las polticas previamente adjuntadas a la interfaz.

    90

    CCNP ONT
    La palabra opcional trust indica que las marcas DSCP de un paquete son de confianza para la clasificacin de voz, vdeo y trfico de datos. Si no la especificamos, AutoQoS clasifica la voz, el vdeo y el trfico de datos usando NBAR, y los paquetes se marcan con el valor DSCP apropiado. Si queremos detener Auto Discovery, usamos el comando (config-if)#no auto discovery qos. Este comando para la re-coleccin y remueve cualquier dato recolectado generando un reporte. Si queremos ver los resultados temporales de Auto Discovery mientras est en progreso, usamos el comando #show auto discovery qos. Este comando muestra el resultado de los datos recolectados durante la fase de descubrimiento automtico.

    FASE 2: CONFIGURACIN POLTICAS QOS EN ROUTERS


    El comando (config-if)#auto qos genera plantillas AutoQoS empresariales basadas en los datos recolectados durante la fase 1 e instala las mismas en la interfaz. Para eliminar la plantilla de la interfaz usamos la forma no del comando. Podemos usar el comando (config-if)#auto qos para habilitar AutoQoS VoIP, el cual no se beneficia del auto descubrimiento previo. La palabra clave opcional fr-atm habilita AutoQoS VoIP para enlaces de internetworking Frame Relay-aATM. Esta opcin est disponible en DLCIs Frame Relay para Frame Relay-a-ATM. En la figura se muestra un ejemplo de configuracin.

    5.1.8 Verificacin de Cisco AutoQoS


    El comando ms importante de verificacin usado en routers y switches es #show auto qos. Debido a que los switches Catalyst usan mapeos CoS-a-DSCP para las colas de paquetes salientes, podemos usar el comando #show mls qos maps para verificar como AutoQoS define estos mapeos.

    MONITOREO DE AUTOQOS EN ROUTERS CISCO - PASO 1: Mostrar los datos recolectados durante la fase de auto descubrimiento.
    o o Usamos el comando #show auto discovery qos para mostrar los datos recolectados durante la fase de descubrimiento. La salida de la poltica propuesta permite tener una previsualizacin de los class maps y policy maps antes de ingresar el comando auto qos en la interfaz. Podemos continuar con la fase de Auto Descubrimiento para atesorar an ms datos, recomendndose hacerlo durante varios das. La palabra opcional interface indica que slo se muestran las configuraciones especficas de la interfaz descrita.

    o o

    - PASO 2: Examinar las plantillas AutoQoS y la configuracin inicial. o El comando #show auto qos se usa para mostrar las plantillas de interfaz AutoQoS, policy maps, class maps y ACLs. o Cuando se usa la palabra interfaz el comando muestra las configuraciones AutoQoS de la interfaz especificada. Si no se muestran todas las interfaces o PVCs donde est habilitado. o Se muestra el resultado obtenido en la pgina siguiente.

    91

    CCNP ONT

    - PASO 3: Mostar los datos recolectados durante la fase de Auto Descubrimiento. o Para mostrar las estadsticas de todas las clases que estn configuradas para todas las polticas de servicio ya sea en una interfaz o subinterfaz o en PVC especfico de la interfaz, usamos el comando #show policy-map interface. o Los contadores mostrados despus de ingresar el comando se actualizan slo si hay congestin en la interfaz.

    MONITOREO AUTOQOS EN SWITCHES - PASO 1: Examinar las plantillas AutoQoS y la configuracin inicial:
    o Usar el comando #show auto qos para mostrar la configuracin AutoQoS VoIP inicial en el switch. En la salida del comando mostrada en la siguiente imagen, podemos ver que el switch tiene 4 colas de salida WRR disponibles, con pesos 20, 1, 80 y 0 para las colas 1, 2, 3 y 4 respectivamente. El comando wrr-queue cos muestra el mapeo CoS para cada cola (el primer nmero es el ID de cola, el segundo el ID de umbral y los dems los valores CoS). La cola 4 se usa para trfico de alta prioridad. La cola 3 no se usa. La cola 1 obtiene el 20% de cualquier ancho de banda que no est siendo usado por la cola 4, y provee CoS 0, 1, 2 y 4. La cola 3 obtiene el 80% de cualquier ancho de banda que no se est usando por la cola 4 y provee CoS 3, 6 y 7. El mapeo CoS a DSCP es mostrado.

    - PASO 2: Explorar los parmetros QoS autogenerados a nivel de interfaz: o Usamos el comando #show mls qos interface para mostrar la informacin QoS a nivel de interfaz, incluyendo la configuracin de las colas de salida y los mapeos CoS-a-DSCP, las polticas configuradas y las estadsticas de ingreso y salida (incluyendo el nmero de bytes borrados).

    92

    CCNP ONT

    - PASO 3: Examinar los mapas CoS-a-DSCP: o Usamos el comando #show mls qos maps, como se muestra en la siguiente figura, para mostrar los mapeos actuales de DSCP y CoS. Todos los mapas se definen de forma global. o La palabra cos-dscp presenta el mapeo CoS-a-DSCP por defecto. Los valores soportados son de 0 a 7. o La palabra dscp-cos, presenta los mapeos por defecto de DSCP-a-CoS. Los valores DSCP soportados son 0, 8, 10, 16, 18, 24, 26, 32, 34, 40, 46, 48 y 56. o Despus de aplicar un mapeo por defecto, podemos definir los mapeos CoS-a-DSCP y DSCP-a-CoS insertando comandos mls qos map.

    5.2 Tareas Comunes Cisco AutoQoS


    5.2.1 Automatizacin con Cisco AutoQoS
    Los requisitos tpicos empresariales incluyen la siguiente lista: - Identificar lmites de confianza y extender el lmite de confianza y los protocolos de inters. - Determinar el nmero de clases DiffServ que sern definidas por la red empresarial. - Re-marcar trfico basado en los requisitos de la poltica local. - Determinar los mtodos de colas que deberan ser implementados. - Definir el ancho de banda individual de cada clase para cumplir los requisitos de trfico a tiempo real y proveer garantas de ancho de banda mnimo para otras aplicaciones. - Definir prestaciones QoS especficas de transporte (shaping, MLP, ). - Para enlaces de bajo ancho de banda, especificar las prestaciones QoS necesarias (compresin RTP, fragmentacin MLP (LFI), o fragmentacin Frame Relay (FRF.12)). - Definir alarmas y configuraciones de eventos para propsitos de monitoreo. Adems, en un entorno LAN, AutoQoS tiene los siguientes requisitos: - Determinar mapeos CoS-a-DSCP y Procedencia IP-a-DSCP. - Mapear valores CoS a diferentes colas de salida (a travs de los mapas CoS-a-DSCP). - Configurar el tamao de las colas y los pesos WRR (Weighted Round Robin).

    5.2.2 Mecanismos DiffServ habilitados por AutoQoS


    Usando las recomendaciones de mejores prcticas de Cisco, AutoQoS habilita varios mecanismos QoS para asegurar un funcionamiento ptimo del auto descubrimiento. AutoQoS de forma automtica aprovisiona 6 mecanismos QoS usando la tecnologa DiffServ: - CLASIFICACIN: La clasificacin de paquetes provee la habilidad de partir el trfico de red en mltiples niveles de prioridad o clases de servicio. Por ejemplo, usando los valores DSCP definidos, la red puede clasificar trficos de aplicacin en un mximo de 64 clases. AutoQoS define hasta 10 clases. Cuando se clasifican paquetes, usamos varias prestaciones QoS del Cisco IOS para asignar las polticas de manipulacin apropiadas a cada clase de trfico. - MARCADO: Las herramientas de marcado marcan un paquete o flujo con una prioridad especfica. Esta marca se realiza en el lmite de confianza. La clasificacin y el marcado deben realizarse en el borde de la red, normalmente en los switches de los armarios de cableado, dentro de los mismos telfonos IP o en puntos finales habilitados para voz. Los paquetes pueden marcarse como importantes usando configuraciones CoS de capa 2, en la parte 802.1p de la cabecera 802.1Q, o en los bits de procedencia IP // DSCP del byte ToS de la cabecera IPv4.

    93

    CCNP ONT
    - GESTIN DE CONGESTIN: Las herramientas de gestin de congestin asignan a un paquete o flujo una o varias colas, basadas en la clasificacin, para un tratamiento adecuado en la red. Cuando se colocan datos, voz y vdeo dentro de la misma cola, la prdida de paquetes y jitter es ms fcil de que se produzca. Podemos incrementar el comportamiento predecible de la red y la calidad de voz usando mltiples colas en interfaces de salida y colocando los paquetes de voz en una cola de prioridad estricta (LLQ) con ancho de banda garantizado, separada de la de los paquetes de datos. Para aliviar los efectos de la congestin y proveer aplicaciones empresariales con ancho de banda garantizado y la menor latencia posible, AutoQoS habilita las siguientes colas IOS: o LLQ para aplicaciones en tiempo real para experimentar la menor latencia en la cola de salida y asegurar suficiente ancho de banda en el enlace para un funcionamiento de la voz ptimo. LLQ procesa trfico clasificado dentro de la clase DiffServ de envo explcito (EF) (clase de voz) como de mayor prioridad y coloca ese trfico en una cola separada de prioridad estricta. o CBWFQ para aplicaciones de datos para proveer suficiente ancho de banda y reducir la interferencia entre aplicaciones de alta y baja prioridad durante periodos de congestin. CBWFQ procesa trfico clasificado dentro de clases DiffServ de envo asegurado (AF) (vdeo y datos clasificados) y una clase por defecto para el trfico sin clasificar (mejor esfuerzo). o WRR con cola prioritaria (PQ) en switches Catalyst procesa el trfico en los puertos de salida del switch usando DiffServ (DSCP se mapea al CoS en el puerto de ingreso automticamente), asegurando prioridad al trfico en tiempo real y un ancho de banda predecible para otros tipos de trfico. - SHAPING: El shaping es un mecanismo QoS usado para enviar trfico en pequeas oleadas a radios de transmisin configurados. Es usado comnmente en entornos Frame Relay donde el clock rate de la interfaz no tiene el mismo ancho de banda configurado o contratado (CIR). El shaping de trfico Frame Relay (FRTS) es la aplicacin ms comn de shaping de trfico en entornos VoIP. En los escenarios Frame Relay hub and spoke normalmente la velocidad del enlace hub es mayor que la de cualquiera de los dems enlaces remotos, lo cual causa el fenmeno de la oversubscription. Sin FRTS el hub intenta enviar datos a cantidades mayores que las que pueden ser recibidas por los enlaces remotos, causando que la red Frame Relay borre trfico de forma arbitraria. Sin embargo, los enlaces remotos podran enviar un agregado de trfico que podra ser mayor que el que el hub puede recibir, de nuevo causando borrados arbitrarios. Debido a que la red Frame Relay no tiene inteligencia de capa 3, puede borrar trfico VoIP si se viola el contrato. Por ello, se necesita controlar la tasa de transmisin en una nube Frame Relay para saber que paquetes son borrados y cuales obtienen un servicio de prioridad estricta. - PREVENCIN DE CONGESTION: Las tcnicas de prevencin de congestin monitorean la carga de trfico de red en un esfuerzo de anticipacin y prevencin de congestin en cuellos de botella de red comunes. El funcionamiento por defecto del router es el uso de un mecanismo de borrado de paquetes tosco llamado tail drop. Con tail drop, los paquetes se borran durante perodos de congestin si no caben dentro de la cola de salida, lo cual afecta de la misma forma a todos los tipos de trfico, incluyendo el de alta prioridad. Otro ejemplo del tail drop es la sincronizacin global y ocurre en olas pico de congestin. La sincronizacin global ocurre cuando mltiples sesiones TCP reducen su tasa de transmisin en respuesta al borrado de paquetes. Posteriormente, todos a la vez incrementan su tasa de transmisin cuando se reduce la congestin, volvindose a producir la misma. AutoQoS usa WRED para prevenir el borrado de paquetes de alta prioridad y la sincronizacin global. WRED incrementa la probabilidad de que la congestin se prevenga borrando paquetes de baja prioridad en lugar de paquetes de alta prioridad. - EFICIENCIA DEL ENLACE: Los enlaces de baja velocidad pueden degradar tremendamente la calidad de la voz. El trfico de voz puede sufrir grandes retardos antes de alcanzar la lnea de transmisin. Cuando AutoQoS detecta un enlace de baja velocidad, minimiza estos problemas habilitando 2 mecanismos de eficiencia de enlaces. LFI es el mtodo utilizado para mejorar el retardo de serializacin. An cuando las colas estn trabajando de la mejor forma y priorizando el trfico de voz, existen momentos en los que la cola est vaca y un paquete de otra clase es servido. Si un paquete VoIP llega a la cola de salida mientras que el paquete anterior est siendo servido, el paquete VoIP espera detrs del paquete de datos, pudiendo sufrir un retardo que cause una mala calidad de llamada VoIP. Como ejemplo, en una lnea de 64 Kbps, con un paquete delante de 1500 bytes el paquete VoIP tendra que esperar 187,5 ms, cuando lo normal es que los paquetes de voz se transmitan a intervalos de 20 ms. AutoQoS habilita 2 de los siguientes mecanismos LFI para fragmentar grandes paquetes para proteger a la voz, cuando se auto descubren enlaces de baja velocidad: o MLP con intercalado para enlaces PPP. o FRF.12 para PVCs Frame Relay. cRTP reduce 40 bytes de cabeceras a 2 o 4 bytes, reduciendo el ancho de banda requerido para una llamada de voz en enlaces punto a punto. Cisco AutoQoS habilita cRTP cuando la voz se transmite a travs de enlaces de baja velocidad.

    94

    CCNP ONT 5.2.3 Aprovisionamiento automtico para clases DiffServ con AutoQoS

    La siguiente tabla alista el nombre de la clase, el tipo de trfico destinado a esa clase, y el valor DSCP para el tipo de trfico, si es aplicable.

    5.2.4 Tareas comunes con AutoQoS


    Aunque AutoQoS automatiza el despliegue QoS, su objetivo son los escenarios de red empresariales ms comunes. Las clases QoS y las plantillas que genera pueden no satisfacer todos los requisitos de la red. Las siguientes 3 tareas ms comunes pueden surgir cuando usamos AutoQoS para generar polticas: - AUTOQOS GENERA DEMASIADAS CLASES Y SE COMPLICA MS DE LO NECESARIO: AutoQoS genera hasta 10 clases DiffServ, dependiendo del nmero y tipos de aplicaciones y protocolos detectados durante el auto descubrimiento. La mayora de las empresas de hoy en da despliegan slo de 3 a 6 clases de forma que la configuracin sea manejable. No existe un ajuste en AutoQoS para disminuir el nmero de clases que genera. La nica solucin es manualmente consolidar clases similares para producir el nmero de clases deseado. - AUTOQOS GENERA PLANTILLAS QOS BASADAS EN CONDICIONES DESCUBIERTAS POR EL AUTO DESCUBRIMIENTO: El auto descubrimiento debe ser ejecutado durante varios das para maximizar la probabilidad de que genere polticas que sean cercanas a la realidad diaria de la red. Si las condiciones de red cambian despus de que AutoQoS ha auto generado las plantillas, la fase de Auto Descubrimiento y el despliegue de plantillas QoS debe repetirse para adaptarse a la configuracin de las nuevas condiciones de trfico. - AUTOQOS, AN DESPUES DE REPETIRSE Y REALIZAR UN AUTO DESCUBRIMIENTO EXTENSO, NO GENERA LAS PLANTILLAS QOS ESPERADAS: La inteligencia propia de AutoQoS se basa en una gua de mejores prcticas de Cisco y la experiencia con sus clientes. Sin embargo, hay algunas excepciones especiales. En particular, los requisitos de despliegue pueden ser superiores a las capacidades actuales o circunstancias que simplemente no son detectables ya que requieren un factor de inteligencia humana. Por ejemplo, la clasificacin puede ser producto de una mezcla de parmetros complejos y especficos. En estas situaciones, se puede usar AutoQoS para generar los class maps y policy maps iniciales, los cuales pueden personalizarse para lograr los requisitos especificados.

    5.2.5 Interpretar las configuraciones AutoQoS


    Para inspeccionar las plantillas resultantes despus de aplicar AutoQoS, usamos el comando #show auto qos. El comando se usa especficamente para examinar la siguiente informacin: - Cuntas clases identific AutoQoS. Este valor se ve como un nmero de class maps. - Qu opciones de clasificacin de trfico seleccion AutoQoS. Este parmetro se ve como un comando match dentro del class map respectivo. - Qu opciones de marcas de trfico seleccion AutoQoS. Podemos ver estas opciones en los policy maps buscando el comando set. - Qu mecanismos de colas design AutoQoS y qu parmetros de colas fueron proyectados. Podemos ver est informacin en el policy map buscando el comando bandwidth o el comando priority con su informacin individual. - AutoQoS tambin puede sugerir parmetros de trfico como el CIR en redes Frame Relay, visto en el class map Frame Relay. - Como aplic AutoQoS la poltica auto generada a la configuracin existente del router. AutoQoS puede aplicar la poltica a una interfaz serial, subinterfaz, DLCI o PVC. La informacin se provee tambin con el comando anterior. -

    INTERPRETAR LA SALIDA DEL COMANDO SHOW AUTO QOS

    En la figura de la pgina siguiente se muestra una salida de este comando. La informacin detallada del comando vara dependiendo de las condiciones de trfico descubiertas por AutoQoS, pero siempre tendr ciertos elementos comunes: - El comando muestra la poltica auto generada, aplicada en forma de policy maps. En esta seccin, los mecanismos de colas son evidentes (LLQ o CBWFQ), pero esta seccin tambin puede mostrar marcas basadas en clases, shaping basado en clases, prevencin de congestin (WRED) y mecanismos de eficiencia de enlaces (cRTP o LFI). Cada mecanismo QoS aparece en la salida generada de la misma forma que si hubiera sido configurado manualmente desde la MQC.

    95

    CCNP ONT
    - Otra informacin importante del comando es la clasificacin, mostrada en forma de class maps MQC. El class map puede usar clasificacin NBAR o procedencia IP o DSCP cuando AutoQoS se ejecuta en modo confiable. En cualquier caso, el comando match se usa dentro de class maps individuales con los parmetros apropiados. - En algunas situaciones especiales, como en PVCs Frame Relay, AutoQoS puede construir 2 policy maps, uno anidado al otro. El propsito es usar shaping basado en clases para adecuar el trfico dentro de un PVC especfico mientras se gestiona la congestin usando tcnicas de colas correctas.

    RMON
    Los clientes tienen normalmente avalanchas de montaas de datos, pero muy poca informacin relevante que les ayude a identificar la raz de un problema. Obteniendo la informacin correcta puede ser bastante caro, y a menudo puede ser demasiado tarde para ser til. Un ejemplo clsico es encontrar quien (esto es, el usuario o direccin IP) est causando congestin o creando cargas anormales en un enlace. Sin automatizacin, puede llevar varios meses establecer un proceso de monitoreo correcto. AutoQoS provee visibilidad dentro de clases de servicio desplegadas a travs de loggings y alertas SNMP, con notificaciones de eventos anormales (como borrar paquetes VoIP). La salida del comando show auto qos muestra la informacin de que se envan alertas cuando se borra un paquete de voz. Esto es usado para monitoreo y solucin de problemas. En algunas situaciones, como se ve en la figura, AutoQoS tambin proyecta nuevos parmetros de trfico. En la figura, AutoQoS genera un nuevo class map Frame Relay, el cual se mapea a el DLCI especfico usando el nombre utilizado para el class map. Adems de los contenidos de las configuraciones de interfaz, podemos mostrar policy maps y class maps usando el comando show auto qos. Las ACL tambin se muestran dentro del mismo.

    5.2.6 Modificar la configuracin AutoQoS activa con la MQC


    Esta tarea ocurre normalmente en 2 situaciones: - La configuracin AutoQoS generado no cumple las expectativas especficas de la empresa. - Las condiciones de la red o del trfico han cambiado mientras AutoQoS generaba la configuracin, y los administradores tienen que usar sus habilidades para adaptar la configuracin QoS existente en lugar de ejecutar el despliegue AutoQoS de nuevo desde el principio.

    MODIFICAR LA CONFIGURACIN ACTIVA AUTOQOS CON MQC: CLASIFICACIN

    Comnmente, AutoQoS usa NBAR y ACL para la clasificacin de trfico. Sin embargo, cualquier mecanismo de clasificacin MQC puede suplir o reemplazar la configuracin generada.

    96

    CCNP ONT
    Se necesitan habilidades significativas y conocimientos de MQC para realizar modificaciones, pero este procedimiento puede adaptar la clasificacin a reglas de clasificacin ms complejas. Hay varias formas de personalizar y modificar los class maps existentes: - Directamente desde la CLI usando MQC. - Usando QPM (Cisco QoS Policy Manager). Sin embargo, la forma ms fcil de personalizar un class map existente es copiar el mismo a un bloc de notas y modificar su configuracin fuera de lnea. Aadir la nueva clasificacin deseada y eliminar la indeseada existente. La MQC de Cisco ofrece un amplio rango de opciones de clasificacin para usar cuando se aaden reglas a un class map generado por AutoQoS.

    5.2.7 Modificar la poltica AutoQoS generada con la MQC


    Cuando generamos plantillas de polticas QoS, AutoQoS habilita varios mecanismos QoS IOS. Los mecanismos habilitados incluyen: - Programacin de trfico y gestin de congestin usando LLQ, CBWFQ o WRR. - Marcado de trfico usando marcas basadas en clases. - Shaping usando shaping basado en clases o FRTS. - Eficiencia del enlace usando cRTP y LFI (MLP o FRF.12). - Prevencin de congestin usando WRED. La configuracin generada por AutoQoS puede ser personalizada a travs de la MQC. El procedimiento para modificar un poltica activa existente generada por AutoQoS es similar al de la clasificacin.

    97

    CCNP ONT

    Tema 6. Implementar Escalabilidad Wireless


    6.1 Implementar QoS WLAN
    6.1.1 Un estndar para el QoS WLAN
    Las WLAN se superponen o sustituyen a las LAN cableadas tradicionales. Estn basadas en el estndar 802.11. Este estndar extiende el 802.3 al dominio wireless, aunque con algunas complicaciones: - Tanto las WLAN como las LAN cableadas definen la capa fsica y enlace de datos y usan direcciones MAC. - Las LAN y las WLAN usan muchos protocolos y aplicaciones iguales. Ejemplos de protocolos son IP e IPsec para VPNs. Ejemplos de aplicaciones son web, FTP y SNMP. - Las WLAN usan la tecnologa CSMA/CA en lugar de CSMA/CD de las LAN cableadas. - Las LAN comnmente usan servicios diferenciados de capa 3 (DSCP) o 802.1p en la capa 2 para asegurar prioridades y proveer servicios QoS. El estndar nuevo 802.11e es una extensin del 802.11 que provee una transmisin RF ms consistente y de ms calidad para la voz y el vdeo.

    6.1.2 Descripcin del QoS para WLAN


    El IEEE estandariz en 2005 el 802.11e como un conjunto de tecnologas para priorizar trfico y prevenir colisiones de paquetes y retardos para mejorar el funcionamiento de la voz y el vdeo sobre WLANs. La especificacin 802.11e usa la misma prioridad de 8 niveles que 802.11p. Estos se agrupan en 4 categoras de acceso o clases de trfico, mostradas a continuacin: - VOZ: Prioridad 7 o 6 para llamadas VoIP que requieren baja latencia. - VDEO: Prioridad 5 o 4 para streams de vdeo SRTV o HDTV. - MEJOR ESFUERZO: Prioridad 3 o 0 para aplicaciones de latencia intensiva interactivas. - BACKGROUND: Prioridad 2 o 1 para aplicaciones de transferencia de datos en lote (batch) e indica un tratamiento menor al mejor esfuerzo. Cada nivel de acceso provee una cola separada. Para identificar la clase de cada paquete, el estndar usa marcas similares a las usadas en Ethernet cableada. Viendo estas marcas, un punto de acceso manipula paquetes de acuerdo a la prioridad que tienen asignada los mismos. Para acelerar la adopcin de QoS en el mercado 802.11, se implemento WMM (Wi-Fi multimedia) antes de que el estndar 802.11e fuera aprobado. WMM es un subconjunto del estndar 802.11e que usa 4 categoras de acceso en lugar de las 8 utilizadas por 802.11e. WMM provee un grupo de prestaciones para redes wireless en busca de mejorar el funcionamiento de las aplicaciones de audio, vdeo y voz. El QoS resultante permite traducir desde el 802.1p o desde el DSCO para usar la tcnica de RF apropiada.

    6.1.3 Tiempo de Backoff en WLAN QoS RF


    El mtodo de acceso fundamental en 802.11 es CSMA/CA. CSMA/CA trabaja escuchando antes de hablar. WMM usa la funcin DCF (funcin de coordinacin distribuida). Si el medio no est ocupado, la transmisin se lleva a cabo. CSMA/CA usa un tiempo aleatorio de backoff para prevenir colisiones en estaciones que comparten el medio. Cada cliente espera un tiempo de backoff aleatorio y entonces transmite slo si ningn dispositivo ha empezado a transmitir antes que l. Usando EDCF (DCF mejorado), WMM estipula distintos niveles de tiempos de espera aleatorios para las 4 categoras de acceso para proveer el acceso a la red ms favorable a aplicaciones que son menos tolerantes a retardos. WMM provee acceso prioritario al medio RF de 2 formas: 1/ Primero, el punto de acceso wireless debe priorizar los datos en 3 categoras de acceso (de mayor a menor: platino, oro, plata y bronce). 2/ Segundo, el trfico de menor prioridad debe usar un temporizador de espera entre tramas mayor para permitir al trfico de alta prioridad acceder a la red wireless primero.

    98

    CCNP ONT 6.1.4 Lightweight AP Arquitectura MAC partida


    Existen 3 enfoques opuestos de proveer acceso wireless. El primero, el cual se est volviendo menos popular, usa puntos de acceso autnomos con mucha inteligencia. Los puntos de acceso autnomos pueden comunicarse con routers existentes y soportar aplicaciones robustas. Este estilo de gestin WLAN, referido como arquitectura distribuida, trabaja bien pero es caro y requiere APs que pueden trabajar con una infraestructura de vendedor especfica. El segundo enfoque toma la inteligencia de los APs y la coloca dentro de switches o routers para permitir que la red escale reduciendo el costo total del despliegue WLAN. Este enfoque gua el despliegue de LWAPP (Ligtweight Access Point Protocol), resultando en un nuevo paradigma de gestin de despliegues WLAN. LWAPP usa el concepto de MAC-partida (Split MAC), el cual tiene la habilidad de separar aspectos de tiempo real del protocolo 802.11 de la mayora de los aspectos de gestin. Cisco ha diseado una arquitectura LWAPP centralizada para que slo se necesite un nico gestor RF en la empresa. El punto de acceso manipula actividades sensibles al tiempo, como manipulacin de beacons, handshakes con los clientes, cifrado de capa MAC y monitoreo RF. El controlador WLAN manipula todas las dems funciones. Estas funciones incluyen la gestin de protocolos, traduccin de tramas y funciones de puenteo, as como polticas para movilidad de usuarios, seguridad, QoS y, tal vez la ms importante, gestin RF a tiempo real.

    6.1.5 Desafos WLAN QoS


    Proveer QoS en un entorno WLAN es un desafo a causa de lo siguiente: - El QoS de extremo a extremo usa marcas DSCP. - Wireless RF usa marcado de capa 2. - En el modelo de despliegue de Cisco, el trfico destinado a puntos de acceso no contiene informacin de etiqueta QoS 802.1p ya que el punto de acceso se conecta a un puerto en modo de acceso del switch Catalyst, y no a un troncal. - Como resultado, los paquetes transmitidos sobre la WLAN tambin perdern la informacin QoS de capa 2. Es vital usar la informacin DSCP de la capa 3 para proveer QoS en ausencia de informacin QoS de capa 2, por lo que se necesita una solucin. Los controladores de WLAN que usan la versin 3.2 o superior aseguran que los paquetes reciben la manipulacin QoS correcta durante una transmisin de extremo a extremo. Los controladores WLAN aseguran que el paquete mantiene la informacin QoS mientras atraviesa la red usando marcas IEEE 802.11e o mapeos WMM. El QoS de extremo a extremo requiere un mapeo de capa 2 del 802.1p o de capa 3 del DSCP a wireless RF usando 802.11e o WMM.

    6.1.6 Implementacin QoS en WLAN


    Cuando la voz o el vdeo usa un WLAN, el servicio debe integrarse con la red cableada y con los sistemas VoIP para entregar un servicio consistente de alta calidad de extremo a extremo. Los paquetes WLAN 802.11e deben mapearse a paquetes LAN 802.1p y vice-versa. En la figura se muestra como el trfico originado en la red cableada pasa a travs de un switch LAN a un controlador, a travs de tneles LWAPP a un punto de acceso, y finalmente al cliente wireless. PASO 1/ El trfico viaja desde el switch Ethernet al controlador. PASO 2/ El trfico viaja desde el punto de acceso al cliente wireless. PASO 3/ El trfico viaja desde el cliente al punto de acceso. PASO 4/ El trfico viaja desde el controlador al switch Ethernet.

    99

    CCNP ONT
    PASO 1: DESDE EL SWITCH ETHERNET AL CONTROLADOR Y AL TNEL LWAPP
    Cuando un controlador WLAN enva un paquete LWAPP a un punto de acceso, debe contener la informacin QoS del paquete Ethernet original que viene desde el switch Ethernet. El controlador coloca esta informacin en la cabecera externa del paquete LWAPP. Los paquetes de control LWAPP siempre se etiquetan con un valor 802.1p de 7, mientras que los paquetes de datos encapsulados por LWAPP se derivan del valor DSCP y 802.1p del paquete original.

    TRADUCCIONES DE MARCAS DE PAQUETE QOS


    Existe un mapeo por defecto entre DSCP, 802.1p y 802.11e, como se muestra en la figura. El nivel de prioridad 7 802.1p requiere una manipulacin especial ya que este nivel se reserva para el control de LWAPP. Los paquetes de datos con una prioridad de 7 son siempre degradados a 6 o un DSCP de 46.

    PASO 2: FUERA DEL TNEL Y A TRAVS DEL AP O EL CLIENTE WIRELESS


    Cuando un paquete va desde un AP al cliente, el valor DSCP del paquete LWAPP entrante se mapea a la prioridad 802.11e. Para un cliente WMM, el AP traduce el valor DSCP del paquete LWAPP entrante al valor de prioridad 802.11e. El AP controla el valor para asegurarse que no excede el mximo permitido, basndose en la poltica QoS WLAN asignada a ese cliente. Entonces, el AP coloca el paquete en la cola de transmisin 802.11e que se adece a la categora de acceso WMM del nivel de prioridad 802.11e.

    PASO 3: DESDE EL CLIENTE AL PUNTO DE ACCESO Y DESPUS AL TNEL


    Cuando se enva un paquete desde el cliente al AP, el valor de prioridad 802.11e se mapea al valor DSCP correspondiente en el AP. Cuando el AP recibe una trama 802.11 desde un cliente WMM, el AP controla el valor de prioridad 802.11e parar asegurarse que el mismo no excede el valor mximo permitido por la poltica QoS asignada a ese cliente, y posteriormente mapea este valor al valor DSCP correcto. Cuando el paquete va desde el AP al controlador, el AP traduce el valor DSCP basndose en el valor 802.11e entrante. El AP no enva paquetes etiquetados ya que haciendo eso causara un problema a los switches Cisco que no estn configurados como troncales con el AP. Debido a que el AP no tiene un troncal, el mismo no copia el valor 802.11e a un paquete 802.11p.

    PASO 4: FUERA DEL TNEL A TRAVS DEL CONTROLADOR AL SWITCH ETHERNET


    El controlador usa el valor DSCP externo del paquete LWAPP para generar un valor de prioridad 802.11p en los paquetes, los cuales se envan al switch Ethernet por el controlador. Cuando el controlador recibe un paquete LWAPP, el controlador genera el valor de prioridad 802.11p para la red cableada usando el valor DSCP que encontr en el paquete.

    6.1.7 Etiquetado de Paquetes


    Existen 2 situaciones a considerar: Paquetes etiquetados y no etiquetados: - PAQUETES ETIQUETADOS: Son paquetes 802.1p o con marcas DSCP recibidos desde la LAN. o La etiqueta se propaga a la trama LWAPP. o Se puede aplicar AAA a clientes WLAN con IBNS. - PAQUETES NO ETIQUETADOS: Paquetes no etiquetados recibidos desde la LAN, los cuales tienen el siguiente tratamiento: o Se aplica el QoS WLAN configurado para la categora de acceso.

    100

    CCNP ONT
    o Un servidor AAA puede ser aplicado a clientes WLAN con IBNS. Los paquetes sin QoS recibidos desde la WLAN sern tratados con un servicio de mejor esfuerzo cuando se transmiten a travs del controlador a la LAN.

    6.1.8 Configuracin QoS WLAN


    INTRODUCCIN A CISCO WCS (WIRELESS CONTROL SYSTEM)
    WCS es una herramienta de gestin que aade capacidades basadas en web y CLI, manejando desde controladores individuales a una red de controladores. WCS incluye la misma configuracin, monitoreo, seguridad y opciones de cuentas usadas a nivel de controlador y aade vistas grficos de controladores mltiples y AP gestionados. En la figura se muestra una representacin de una solucin de red de Cisco Unified Wireless en la cual WCS es una parte integral de la misma. La interfaz de usuario WCS habilita operadores para controlar todas las configuraciones Cisco Unified Wireless, monitoreo y funciones de control, a travs de Internet Explorer 6.0 o superior. Los permisos de operador se definen por el administrador usando la interfaz de administracin del WCS que habilita el control de cuentas de usuario y programa tareas de mantenimiento peridicas.

    PRFILES DE CONFIGURACIN QOS


    En la figura se muestran las secciones de la pgina web desde donde podemos configurar una cantidad de ancho de banda para cada una de las 4 categoras de acceso. Cada contrato se divide a su vez en cantidad media y mxima de trfico UDP o no UDP. Se recomienda usar el ancho de banda por defecto. En la misma web, podemos configurar Over the Air QoS que controla el uso de RF mximo para cada categora de acceso WMM. Por defecto, estas configuraciones se sitan al 100%. La profundidad de la cola controla la profundidad de la cola interna para cada categora de acceso respectiva. El mapeo desde 802.1p a categoras de acceso WMM puede tambin especificado a nivel de controlador. Los valores por defecto para categora se muestran en la siguiente tabla (En la figura estamos en la tabla bronze): CATEGORA DE ACCESO USO DE RF PROFUNDIDAD DE LA COLA PRIORIDAD 802.1P Platino 100% 100 6 Oro 100% 75 5 Plata 100% 50 3 Bronce 100% 25 1

    CONFIGURAR IDS DE WLAN PARA QOS


    La poltica general WMM u 802.1p para la interaccin de clientes wireless con el AP puede controlarse en el ID de WLAN del controlador wireless. Los 3 posibles valores se alistan y describen en la siguiente tabla: VALOR DESCRIPCIN Disabled El parmetro disabled ignora la solicitud WMM u 802.11e Allowed Este parmetro ofrece QoS a clientes wireless habilitados para WMM u 802.11e y un QoS por defecto para clientes wireless sin WMM/802.11e. Required Este parmetro requiere que todos los clientes wireless sean compatibles con WMM/802.11e.

    101

    CCNP ONT
    Nota: El WLAN ID es la asociacin desde el SSID a un nmero interno nico, el cual a su vez asocia polticas de seguridad y la interfaz Ethernet existente del controlador.

    6.2 Introduccin a la seguridad Wireless


    6.2.1 La necesidad de seguridad WLAN
    Debido a que las WLAN usan ondas de radio, estas estn abiertas a hackers que intenten acceder a informacin delicada o interferir en las operaciones de red. Como se vio en el CCNA, las tcnicas de filtrado SSID y MAC resultaron insuficientes y dbiles.

    CRACKEAR WEP

    La seguridad bsica 802.11 WEP se dise para salvaguardar la red contra amenazas de dispositivos no autorizados fuera de la LAN. Con la WEP, la red considera a cualquier dispositivo que conozca la misma como legtimo y autorizado. WEP cifra el cuerpo de cada trama usando el algoritmo RC4, el cual opera expandiendo una pequea clave en un stream de claves pseudo aleatorias. El emisor cifra los datos con la clave y el receptor usa una copia de la misma clave para descifrar los datos. Desafortunadamente, un hacker puede crakear cualquier WEP con softwares existentes en menos de 2 minutos. Aunque una clave WEP es mejor que nada, es una opcin inadecuada.

    INICIACIN DE UN ATAQUE POR VECTOR

    Para evitar cifrar 2 textos cifrados con la misma clave, WEP usa una vector de inicializacin (IV) que aumenta el la clave compartida secreta y produce una clave RC4 diferente para cada paquete. El IV se incluye en el paquete. Un IV pasivo o dbil es otro tipo de ataque. El mtodo de cambio de IV depende de la implementacin del vendedor. (Cisco Aironet cambia el IV en una base por paquete). Si el IV se transmite en texto plano, un atacante que esnifa la red puede ver el mismo. Usando este IV repetidamente con la misma clave WEP, el hacker puede capturar tramas y derivar informacin de datos de la trama y datos desde la red. Se deben configurar timeouts de claves WEP en el servidor de autenticacin para proveer proteccin extra. Esta prctica fuerza a los clientes wireless a reautenticarse, resultando en la generacin de una nueva clave WEP.

    6.2.2 WEP 802.11


    La seguridad WLAN ha evolucionado considerablemente. Cuando la seguridad WLAN se introdujo en un primer momento, los dispositivos slo soportaban cifrado WEP. En respuesta a las inquietudes del cliente, Cisco introdujo LEAP (Lightweight Extensible Authentication Protocol). LEAP es un protocolo propietario de Cisco que ofrece claves WEP dinmicas y autenticacin mutua (entre un cliente wireless y un servidor RADIUS). LEAP permite a los clientes reautenticarse con frecuencia. LEAP hace ms seguras a las WLAN, pero el cifrado que usa result ser no del todo seguro. Nuevos ataques prueban que se requieren mejoras. Un solucin llamada WPA (Wi-Fi Protected Access) provee un cifrado estndar mejorado y una autenticacin por usuario ms slida (PEAP, EAP y EAP-FAST). La solucin WPA evolucion a WPA2, el cual provee un cifrado ms fuerte a travs de AES (Advanced Encryption Standard). WPA2 incluye la autenticacin 802.1x as como gestin de claves dinmicas. WPA2 de forma adicional incluye un sistema IDS, el cual identifica y protege contra ataques, incluyendo ataques DoS. Cisco incluye capacidades IPS a los puntos de acceso, los cuales sirven como sensores.

    WEP

    Aunque el centro de esta leccin se centra en LEAP y WPA2, vale la pena empezar con un repaso a WEP: - El estndar 802.11 define un tipo de seguridad en la cual 64 bits WEP especifican una clave secreta compartida para cifrar y descifrar datos. Originalmente, WEP usada una clave de 40 bits, la cual se concatena con un IV de 24 bits, para formar una clave de trfico RC4. El gobierno de los EE.UU. exporta restricciones en la tecnologa criptogrfica inicial. Por ello, la mayora de los fabricantes implementaron un protocolo WEP extendido de 128 bits usando una clave de 104 bits. Los AP Cisco Aironet soportan claves de 40 y 120 bits. Una vez que la clave WEP es revelada, un hacker puede transformar el texto cifrado en su valor original y entender el significado de los datos. Si se comprende el algoritmo, este hacker puede usar la clave WEP crakeada para modificar el texto cifrado y enviar el mensaje modificado al receptor. - WEP usa un cliente wireless y un AP que comparten claves WEP estticas. Esta clave se verifica durante el proceso de autenticacin. Si la clave del cliente no coincide con la del AP, el cliente no tiene permitido asociarse al mismo y no puede conectarse a la red. Desafortunadamente, no existen mecanismos de renovar la clave WEP almacenada. - WEP usa el algoritmo RC4, un strema de cifrado con vulnerabilidades conocidas. Ambos puntos finales deben compartir una clave. La prestacin de seguridad de Cisco Aironet mejor algunas de las debilidades mencionadas usando una tcnica de derivacin de claves ms segura y asignando claves WEP de forma dinmica: - DERIVACIN DE CLAVES SEGURAS: Usando la clave compartida inicial, la derivacin de clave segura construye respuestas a desafos mutuos. Hace que los ataques por repeticin sean imposibles. Los

    102

    CCNP ONT
    valores de hash enviados a travs del cable son tiles para una sola vez en el proceso de autenticacin inicial, y nunca despus. - CLAVES WEP DINMICAS: Cada cliente wireless puede tener garantizada una clave WEP nueva, dinmica cada vez que accede a la red. Estas claves estn basadas en sesin, por lo que un intruso no puede aprender las mismas y usarlas para acceder a la WLAN. Las claves WEP usadas de esta forma se conocen como claves de sesin. Cada usuario tiene una nica clave WEP. El AP tiene todas las WEP para cada cliente asociado, permitiendo comunicarse con cada uno de ellos. Los dems usuarios que reciben la informacin no pueden descifrar el contenido de la misma.

    6.2.3 Seguridad WEP Cisco 802.11 mejorada


    CKIP (Cisco Key Integrity Protocol) protege la clave WEP de explotaciones que traten de encontrar la clave usando comparacin de paquetes. CMIC (Cisco Message Integrity Check) es un mecanismo usado para proteger el sistema wireless de ataques inductivos, los cuales tratan de inducir al sistema a enviar datos de clave o respuestas predecibles que puedan ser analizadas para derivar la clave WEP.

    SEGURIDAD 802.11 MEJORADA

    Esta seguridad a travs de WPA o WPA2 incorpora autenticacin y cifrado mejorado al 802.11 bsico. La autenticacin en 802.11 desarrolla el estndar 802.1x del IEEE para autenticar usuarios y permitir asignacin de polticas basndose en dicha autenticacin. La autenticacin 802.1x tambin permite credenciales flexibles para usarse en la autenticacin del cliente. Contraseas, tokens de una vez, certificados PKI, o IDs de dispositivo pueden ser usadas para la autenticacin. El uso de 802.1x para la autenticacin tambin tiene la ventaja de permitir claves de cifrado dinmicas para distribuir a cada usuario cada vez que este se autentica en la red.

    WPA Y WPA2
    WPA resuelve debilidades de WEP y provee una forma de asegurar la integridad de los mensajes usando TKIP un cifrado de datos mejorado. Resuelve problemas como el ya publicado AirSnort, el cual es una herramienta que recupera claves de cifrado desde las cuales puede sacar la clave original. WPA2 se sobrepone a algunas debilidades encontradas en WPA. WPA2 usa el algoritmo AES, el cual es ms seguro que RC4 usado por WPA, con la desventaja que hace un mayor uso de la CPU.

    6.2.4 Vistazo a 802.1x


    BENEFICIOS DE LA AUTENTICACIN 802.1X
    Una de las ventajas mayores de EAP y del estndar 802.1x es que su diseo maximiza los estndares existentes. Con soporte EAP, las WLAN pueden ahora ofrecer las siguientes prestaciones: - AUTENTICACIN DE CONTRASEA RFC 2284: Los usuarios son autenticados basados en un nombre de usuario y contrasea existente almacenados en un directorio activo de la red. Este directorio se conecta a un servidor certificado, como un RADIUS. - OTP (ONE TIME PASSWORD): OTP cifra contraseas en texto plano. Por tanto, las contraseas en texto plano no tienen que escribirse en una conexin insegura (como Telnet o FTP).

    PROTOCOLOS DE AUTENTICACIN 802.1X Y EAP


    La especificacin 802.1x requiere autenticacin mutua de cliente y servidor. Este proceso puede acompaarse a travs de varios mecanismos, que veremos en los puntos siguientes (LEAP, EAP-FAST, EAP-TLS, PEAP).

    Los componentes requeridos para una autenticacin 802.1x son los mostrados en la figura.

    6.2.5 LEAP
    LEAP provee algunas capacidades nicas que son difciles de obtener con otros esquemas de autenticacin, las cuales se indican a continuacin: - Roaming seguro y rpido con clientes Cisco y compatibles. - Un rango amplio de sistemas operativos y dispositivos, incluyendo Mac, Linux y DOS. - Login con un Directorio Activo o dominio NT usando credenciales de Microsoft. Si se usa una base de datos Microsoft, y queremos usar el sistema operativo nativo para el soporte de la autenticacin, podemos usar Microsoft PEAP (PEAP [EAP-MSCHAPv2]) o EAP-TLS. El login puede realizarse con estas soluciones.

    AUTENTICACIN LEAP
    Como vimos en el punto anterior, el proceso de autenticacin requiere 3 componentes; el cliente (suplicante), el punto de acceso (autenticador) y el servidor RADIUS (servidor de autenticacin). En la figura de la pgina siguiente se muestran los pasos del proceso de autenticacin usando LEAP: * La autenticacin puede comenzar de 2 formas: solicitada por el cliente (mensaje start) o por el punto de acceso (mensaje de solicitud de indentidad).

    103

    CCNP ONT
    * En ambos casos, el cliente responde al punto de acceso con un nombre de usuario. * El punto de acceso encapsula esta respuesta en un mensaje RADIUS Access-request y se lo enva al servidor RADIUS en cuestin. * El servidor RADIUS entonces comienza el proceso de respuesta de desafo con el cliente. * Tras comprobar que la autenticacin es correcta, se enva un mensaje success al punto de acceso, indicando que el cliente ha sido autenticado. * El cliente necesita validar que el AP y el RADIUS con los que habla son de confianza. Este proceso es la funcin de autenticacin mutua LEAP. * El cliente enva un desafo al AP y este lo reenva al RADIUS. * El RADIUS debe responder de forma correcta al mismo para validar la red. * Tras una autenticacin satisfactoria, se genera una clave maestra por par (PKM) en ambos, cliente y servidor RADIUS. * El servidor RADIUS enva esta PKM al AP para que la instale para el cliente especfico. El AP y el cliente realizan entonces finalmente un saludo de 4 vas.

    6.2.6 EAP-FAST
    EAP-FAST consiste en una fase 0 opcional, seguida de las fases 1 y 2: - FASE 0: Existente slo en EAP-FAST, esta fase es un medio de tnel seguro que provee un cliente EAP-FAST con una PAC (Credencial de Acceso Protegido) para las solicitud de acceso a la red por parte del mismo. Esta fase es opcional, y las PACs pueden ser provistas de forma manual a clientes finales. Una PAC es una credencial digital que se distribuye a usuarios para la autenticacin. Una PAC siempre consiste en una parte secreta y una parte opaca. La parte secreta es una clave secreta que puede usarse en transacciones posteriores. La clave opaca se presenta cuando el cliente quiere obtener acceso a los recursos de red. Esta parte ayuda al servidor a determinar si el cliente posee la parte secreta. Cada PAC tiene un ID de usuario especfico y un ID de autoridad asociado a la misma. - FASE 1: En la fase 1 el servidor RADIUS y el cliente usan la PAC para autenticarse mutuamente y establecer un tnel seguro. Como con PEAP, EAP-FAST usa TLS para verificar la identidad del servidor AAA y establecer un tnel seguro entre el cliente y el servidor AAA. La PAC reemplaza el certificado digital usado por PEAP y elimina la necesidad de una infraestructura PKI para gestionar los certificados. - FASE 2: En esta fase, el servidor RADIUS autentica las credenciales de usuario con EAP-GTC, el cual se protege por el tnel TLS creado en la fase 1.

    AUTENTICACIN EAP-FAST
    En la figura se muestran los pasos del proceso de autenticacin usando EAP-FAST: * El punto de acceso restringe todo el trfico desde el cliente hasta que el mismo sea autenticado por el servidor RADIUS. * El cliente enva una trama EAPOL (EAP over LAN) al punto de acceso. * El AP devuelve una solicitud de identidad al cliente. * El cliente enva un NAI (Identificador de Acceso a la Red) en formato de direccin de correo al AP, el cual pasa el NAI al RADIUS. * El servidor RADIUS y el cliente se autentican mutuamente usando las fases 1 y 2 del proceso EAP-FAST.

    104

    CCNP ONT
    * El RADIUS enva una clave de sesin al AP en un paquete success. El RADIUS y el cliente negocian y derivan la clave de cifrado de sesin. Este proceso vara basndose en si el cliente est usando WEP u 802.11i (WPA). * El cliente y el AP usan las claves durante la sesin. * Al final de la sesin, el cliente enva un paquete EAPOL-Logout, y el AP vuelve al estado de preautenticacin (filtrado todo excepto el trfico EAPOL).

    6.2.7 EAP-TLS
    TLS se usa en diferentes entornos, y se pretende que sea una versin alternativa estandarizada del mecanismo de cifrado SSL ampliamente extendido. EAP-TLS usa un cdigo de mensaje de autenticacin derivado de un certificado para autenticar a un usuario. Los certificados son expedidos a los usuarios y a las mquinas por una CA (Autoridad de Certificados) y se usan para validar identidades. El mantenimiento del CA (lo cual es parte de un PKI Infraestructura de Clave Pblica) puede ser una barrera para el despliegue EAP-TLS para algunos clientes. Todos los clientes (usuarios) deben tener su propio certificado personal expedido e instalado en sus mquinas para realizar autenticacin TLS. Cada servidor AAA, a su vez, debe tener certificados nicos. EAP-TLS tiene soporte nativo en Windows 2000, XP y Vista. Con la implementacin Cisco y Microsoft de EAP-TLS, se puede vincular las credenciales Microsoft de los usuarios con el certificado del usuario en una base de datos Microsoft, la cual permite un login de una vez en un dominio Microsoft.

    AUTENTICACIN EAP-TLS

    En la figura se muestran los pasos del proceso de autenticacin usando EAP-TLS: * El cliente wireless se asocia con el AP usando autenticacin abierta. * El AP restringe todo el trfico desde el cliente hasta que este haya sido autenticado por el RADIUS. * El cliente enva una trama EAPOL-start al AP. * El AP contesta con una solicitud de identidad. * El cliente enva un NAI (en formato de correo) al AP, el cual pasa la direccin al RADIUS. * El servidor y el cliente se autentican mutuamente usando un certificado digital externo. * El RADIUS enva la clave de sesin al AP en un paquete Success. El RADIUS y el cliente negocian y derivan la clave de cifrado de sesin. Este proceso vara basndose en si el cliente usa WEP u 802.11i. * El cliente y el AP usan las claves durante la sesin. * Al final de la sesin, el cliente enva un paquete EAPOL-Logout, y el AP vuelve al estado de preautenticacin (filtrado todo excepto el trfico EAPOL).

    6.2.8 PEAP
    PEAP es un protocolo de autenticacin que fue propuesto en comn por Cisco, Microsoft y RSA Security. Su propsito es proteger las transacciones de autenticacin con una conexin TLS segura, tanto como si asegurramos una conexin a un sitio web con e-commerce cuando se realiza una transaccin online. Existen 2 implementaciones de PEAP: PEAP-GTC // PEAP MSCHAPv2. PEAP-GTC permite una autenticacin genrica a un nmero de bases de datos (NDS, LDAP, OTP, etc.). PEAP-MSCHAPv2 permite la autenticacin a bases de datos que soporten el forma MSCHAPv2, incluyendo Microsoft NT y Microsoft Active Directory. Un certificado debe utilizarse en cada cliente para autenticar al servidor en cada cliente antes de que el cliente aporte sus credenciales de autenticacin. En la figura de la pgina siguiente se muestran los pasos del proceso de autenticacin usando PEAP:

    105

    CCNP ONT
    * El cliente wireless se asocia con el AP usando autenticacin abierta. * El AP restringe todo el trfico desde el cliente hasta que el mismo se autentique contra el RADIUS. * El saludo inicial entre el cliente y el AP es un handshake TLS, como se vio anteriormente. * El cliente autentica al servidor usando un CA para verificar el certificado digital del mismo. Entonces, el cliente y el servidor establecen un tnel cifrado. * El cliente le da sus credenciales dentro de este tnel usando MSCHAPv2 o GTC. * El RADIUS enva la clave de sesin al AP en un paquete Success. El RADIUS y el cliente negocian y derivan una clave de sesin de cifrado. Este proceso vara basndose en si el cliente usa WEP u 802.11i. * El cliente y el AP usan las mismas claves durante la sesin. * Al final de la sesin, el cliente enva un paquete EAPOL-logout, y el AP vuelve al estado de preautenticacin.

    6.2.9 Acceso Protegido Wi-Fi


    CARACTERSTICAS WPA COMPONENTES DE WPA
    WPA es un estndar que describe una combinacin de habilidades de seguridad. Estas habilidades estaban disponibles antes de que WPA llegara a ser un estndar de la industria, pero WPA coloca a todas dentro de una nica definicin. La siguiente lista muestra los aspectos ms importantes de WPA: - Gestin de Claves Autenticadas: Ya sea usando la autenticacin 802.1x o claves precompartidas, el usuario se autentica antes autenticar a las claves que se utilicen. - Gestin de claves unicast y Broadcast: Las claves que se derivan despus de la autenticacin de usuarios se autentican a travs de un handshake entre el AP y el cliente. - TKIP (claves por paquete) y MIC. - Expansin del espacio de IV: El espacio IV se expande de 24 bits (el que vena con WEP) a 48 bits en WPA. - Modo de Migracin WPA: Cisco define este modo como una configuracin de AP para habilitar a clientes WPA y no WPA a asociarse al punto de acceso usando el mismo SSID.

    VISTAZO A LA AUTENTICACIN 802.11I O WPA Y GESTIN DE CLAVES


    La autenticacin inicial usando WPA es esencialmente idntica a la autenticacin y asociacin estndar usada en 802.11. La diferencia primordial en WPA est en la solicitud de asociacin inicial (probe request) que el cliente y el AP envan. El cliente y el AP deben estar de acuerdo en la opcin de seguridad durante la asociacin. Despus de la asociacin inicial y el intercambio de opciones de seguridad, el cliente y el servidor de autenticacin proceden con la autenticacin 802.11x. Despus de una autenticacin satisfactoria, el servidor deriva y distribuye una clave maestra al AP. Esta misma clave se deriva al cliente. Con estas claves maestras, el AP y el cliente realizan un handshake de 4 vas para validar al AP, y el cliente valida la clave de broadcast o de grupo usando un handshake de 2 vas.

    CLAVES UNICAST: HANDSHAKE DE 4 VAS

    Antes de producirse el handshake WPA, el par de claves maestras (PMK), una clave de 256 bits, se genera debido al proceso de autenticacin 802.1x entre el cliente y el servidor de autenticacin. - Paso 1: El AP enva un nmero aleatorio al cliente. - Paso 2: El cliente responde al AP con el nmero aleatorio del cliente, junto con elementos de informacin WPA, el par de claves fugaces (PTK) e informacin de clave MIC.

    106

    CCNP ONT
    - Paso 3: El AP enva el nonce (nmero generado aleatoriamente para la ocasin) de nuevo, junto con elementos de informacin WPA, PTK y informacin de clave MIC, e instala el mensaje. El reenvo de esta informacin valida al cliente, y el AP comparte informacin de autenticacin comn con l. - Paso 4: El cliente enva la informacin de clave MIC y el PTK al AP para un acuse de recibo.

    HANDSHAKE DE GRUPO
    La clave maestra de grupo (GMK) es generada a su vez utilizando una funcin de nmero aleatorio o se inicializa por el primer PTK que el AP usa. Cuando el AP tiene el GMS, un nmero de grupo aleatorio se genera. Este nmero se usa para derivar una clave de grupo fugaz (GTK). Las entradas son un PRF que usa el nmero aleatorio y la direccin del AP. El GTK se usa para proveer un grupo de claves como claves MIC, las cuales pueden usarse para verificar la integridad de la clave de los paquetes.

    FASES DE GESTIN DE CLAVE WPA

    Como parte de la conformidad con WPA, un AP debe ser capaz de advertir capacidades de seguridad en los beacons que enva. Este proceso describe los tipos de autenticacin unicast, multicast y broadcast que son soportados. Desde las capacidades advertidas por el AP, el cliente selecciona el tipo de seguridad mejor soportado para la autenticacin. Cuando el cliente determina el tipo de autenticacin, procede con la autenticacin abierta usando 802.1x a un RADIUS, o usando una clave pre-compartida con el AP. Este proceso tiene la ventaja de una autenticacin mutua entre cliente y servidor, as como la tenencia de un recurso centralizado para el control de admisin del cliente. Tras completar los mensajes EAP entre el cliente y el servidor, una clave maestra se genera de forma independiente entre el servidor y el cliente. Esta clave se usa para derivar una PTK que se usa en la autenticacin de los componentes de la clave cifrada que el AP y el cliente usarn uno con el otro.

    6.2.10 Tareas WPA


    El protocolo TKIP usado por WPA es una mejora del mecanismo RC4 usado por web. TKIP es un envoltorio alrededor de los mecanismos WEP y RC4. WPA cuenta con RC4, en lugar de 3DES, AES, u otro algoritmo de cifrado. WPA requiere que las tarjeas incluyan el protocolo en sus drivers. A su vez requiere soporte del S.O. o un cliente suplicante. Algunos vendedores no mezclan WPA y WEP. El despliegue EAP puede ser en ocasiones un desafo importante, dado la gran cantidad de variantes de las que dispone, cada una con sus particularidades especficas. EAP a su vez requiere del uso de un servidor RADIUS externo para autenticar a los usuarios wireless. Para mantener la compatibilidad de hardware retrospectiva, MIC se diseo para inducir muy poca carga de computacin. Como resultado, MIC ofrece slo 20 bits de seguridad efectiva. WPA es susceptible a nuevos tipos de ataques DoS basados en tcnicas de contramedidas que emplea MIC. Si un AP que ejecuta WPA recibe 2 paquetes sucesivos rpidamente con MICs errneos, el AP desactiva el BSS por completo durante 1 minuto. WPA es susceptible a vulnerabilidades descubiertas recientemente cuando se usa claves pre-compartidas en lugar de 802.11i o EAP. Estos problemas, conducen al estndar 802.11i (WPA2), el cual aade 3 prestaciones: autenticacin con 802.1x, cifrado con AES y gestin de claves.

    VISTAZO A WPA2
    WPA2 soporta TKIP y generalmente usa bloques de cifrado AES con CCMP (Cipher Block Chaining Message

    Authentication Code Protocol) para el cifrado.


    - Generalmente usa 802.1x como mtodo de autenticacin, aunque soporta claves pre-compartidas. - Es comparable a WPA (misma arquitectura de autenticacin, distribucin de claves y renovacin de claves). - Soporta PKC (Proactive Key Caching) y pre-autenticacin. - Se aaden sistemas IDS para identificar y protegerse contra ataques.

    IDSS WIRELESS
    Los IDS cableados se centran en la capa 3 y superiores, pero la naturaleza del medio y los estndares wireless obligan a los IDS a funcionar en las capas fsica y enlace de datos. El medio RF tiene varias vulnerabilidades, como es el espectro sin licencia, el cual est sujeto a interferencias y no se contiene por lmites de seguridad fsicos. Como vulnerabilidades estndar se incluyen tramas de gestin no autenticadas, secuestros de sesin y ataques de repeticin. La proteccin IDS incluye deteccin de falsificadores y mapeo de localizaciones, firmas de ataques IDS, exclusin de clientes y contencin y una seguimiento de localizacin de alta resolucin. Cisco ofrece opciones IPS basndose en la seleccin de arquitectura: - WLAN basada en controlador. - AP autnomos. - AP autnomos con integracin de partner.

    MODOS WPA Y WPA2


    WPA tiene 2 modos: empresarial y personal. Ambos proveen soporte de cifrado y autenticacin de usuario. WPA provee autenticacin usando 802.1x y claves pre-compartidas (se recomienda siempre usar

    107

    CCNP ONT
    802.1x para despliegues empresariales). WPA tambin provee cifrado usando TKIP. TKIP incluye MIC y claves por paquete a travs de hashear IVs y rotar las claves broadcast. La autenticacin WPA2 es idntica a la WPA, excepto que el cifrado usado por WPA2 es AES-CCMP. - MODO EMPRESARIAL: Se refiere a productos que se han testeado para ser interoperables con claves pre-compartidas y modos de operacin 802.1x o EAP para la autenticacin. - MODO PERSONAL: Este modo es un trmino dado a productos testeados para ser interoperables con el modo de clave pre-compartida nicamente para la autenticacin.

    TAREAS WPA2

    El uso de AES como mtodo de cifrado requiere una mayor potencia de computacin, y el hardware debe soportar WPA2. El suplicante (cliente) debe tener un driver WPA2 que soporte EAP. Este estndar no est implementado de forma general y puede ser una limitacin. El RADIUS debe tambin comprender EAP. No todos los RADIUS lo soportan. PEAP porta tipos de EAP dentro de un canal TLS seguro. Cuando TLS se usa, se utiliza un servidor de certificados. Esta prestacin permite claves dinmicas. Comparado con WPA, WPA2 hace un uso intensivo de la CPU. Algunos AP antiguos nunca soportarn WPA2 debido a que no disponen de actualizaciones de hardware.

    6.3 Gestin de WLANs


    6.3.1 Red Cisco Unified Wireless
    La red Cisco Unified Wireless es una red de extremo a extremo cableada e inalmbrica que dirige de forma efectiva los costos de seguridad WLAN, despliegue, gestin y tareas de control. Cmo se muestra en la figura, la red Cisco Unified Wireless se compone de 5 elementos interconectados que trabajan conjuntamente como building blocks para entregar una solucin wireless de clase empresarial unificada. DISPOSITIVOS CLIENTE: Cisco est guiando el desarrollo de dispositivos cliente interoperables, basados en estndares a travs del programa de extensiones compatibles con Cisco. Este programa ayuda a asegurar la disponibilidad de dispositivos wireless desde una gran variedad de proveedores que son compatibles con la infraestructura WLAN de Cisco. PLATAFORMA DE MOVILIDAD: Los AP Aironet proveen acceso omnipresente a la red para una gran variedad de entornos wireless cerrados y abiertos, incluyendo mayas wireless. La solucin de Cisco soporta una amplia seleccin de opciones de despliegue, como radios simples o duales, antenas integradas o remotas, etc UNIFICACIN DE RED: La red Cisco Unified Wireless incluye una forma de migracin dentro de todas las plataformas Cisco de switches y routers a travs de controladores WLAN. Estos controladores son los responsables de las funciones WLAN. GESTIN DE RED EXCELENTE: La red Cisco Unified Wireless entrega el mismo nivel de seguridad, escalabilidad, confiabilidad, facilidad de despliegue y gestin de WLANs que las organizaciones esperan de sus LAN cableadas. Cisco WCS (Wireless Control System) brinda facilidad en la gestin de la WLAN. Permite a los administradores disear, controlar y monitorear la red wireless empresarial desde una localizacin central, simplificando las operaciones. SERVICIOS UNIFICADOS AVANZADOS: Las soluciones Cisco soportan las siguientes prestaciones: - Prestaciones avanzadas, como VoIP wireless y VoIP futura unificada mvil. - Tecnologas emergentes, como servicios de localizacin para aplicaciones crticas, seguimiento de recursos de alto valor, gestin de IT y seguridad basada en localizacin. - Prestaciones de seguridad wireless avanzadas, como NAC, red Self-defending, IBNS, IDSs y acceso a invitados.

    COMPONENTES DE UNA RED CISCO UNIFIED WIRELESS DISPOSITIVOS CLIENTE: Cisco recomienda encarecidamente usar dispositivos clientes compatibles con Cisco
    o clientes Aironet para la red Cisco Unificada. Con un 90% aproximadamente de dispositivos cliente certificados como compatibles con Cisco, la mayora de los dispositivos que seleccionemos tiene muchas probabilidades de ser compatible. Estos dispositivos interoperan y soportan prestaciones innovadoras y nicas de la red Cisco Unified Wireless, como roaming seguro rpido, IPS integrado, servicios de localizacin y una variedad amplia de servicios de autenticacin extensible. PLATAFORMA DE MOVILIDAD: Los puntos de acceso Aironet Lightweight se configuran dinmicamente y se gestin a travs del protocolo LWAPP. A su vez, se pueden convertir AP autnomos para operar como APs lightweigth que ejecuta LWAPP.

    108

    CCNP ONT
    UNIFICACIN DE RED: La red Cisco Unified Wireless maximiza la red cableada existente y la inversin en productos Cisco. Esta solucin soporta una infraestructura de red sin cortes a lo largo de un amplio rango de plataformas. La unificacin wireless y cableada ocurre en los controladores WLAN de la serie 440 y 2000. GESTIN DE RED EXCELENTE: Cisco
    entrega un sistema de gestin de red excelente (NMS) que visualiza y ayuda a asegurar el espacio areo. WCS soporta planeamientos y diseos WLAN, seguimiento de localizaciones, IPS y configuracin, monitoreo y gestin de sistemas WLAN. Esta plataforma gestiona de forma sencilla mltiples controladores y sus puntos de acceso ligthweight asociados. SERVICIOS AVANZADOS UNIFICADOS: Estos servicios son entregados por puntos de acceso Lightweight, dispositivos de localizacin Wireless y telfonos wireless IP. Dan soporte a aplicaciones de extremo maximizadas.

    6.3.2 Componentes e implementacin de WLAN Cisco


    Cisco ofrece 2 implementaciones WLAN, como se muestra en la figura: - WLAN AUTNOMA: Usando un nico punto de acceso. - WLAN LIGHWEIGTH: Usando varios puntos de acceso y controladores WLAN. Los componentes WLAN disponibles son los siguientes: - Clientes wireless conectados a la red (notebooks, telfonos IP, etc) - Puntos de acceso autnomos configurados de forma independiente o puntos de acceso Lightweight configurados a travs de controladores LAN. - Monitoreo y control de radio con: o Puntos de acceso autnomos que agregacin informacin a travs de un WDS (Servicios de dominio Wireless) que enva dicha informacin a un WLSE (CiscoWorks Wireless LAN Solution Engine). o Puntos de acceso Lightweight que usan encapsulacin LWAPP para enviar informacin independientemente a los controladores WLAN. - La gestin WLAN gestiona y monitorea largos despliegues WLAN de la siguiente forma: o Los puntos de acceso autnomos usan WLSE para la gestin. o Los puntos de acceso Lightweight usan la gestin WCS. - La infraestructura de red incluye routers y switches con puntos de acceso conectados, controladores y servidores. - Los puentes aironet operan en la capa de enlace de datos.

    COMPARACIN DE SOLUCIONES WLAN - PUNTOS DE ACCESO AUTNOMOS: Los puntos de acceso autnomos se configuran por punto de
    acceso. CiscoWorks WLSE realiza configuraciones, monitoreo y gestin centralizados. WDS facilita el monitoreo de radio y la gestin de comunicacin entre el AP y CiscoWorks. WDS es una prestacin que est habilitada en cualquier AP que enva informacin RF desde un grupo de APs a un WLSE. - PUNTOS DE ACCESO LIGHTWEIGHT: Configuramos AP lightweigth usando el controlador WLAN. El AP normalmente depende del controlador para el control y la transmisin de los datos. El controlador implementa monitoreo y seguridad. Se puede realizar una configuracin, gestin y monitoreo centralizados desde un WCS (Wireless Controller System). Pueden instalarse controladores redundantes dentro de grupos de controladores WLAN.

    6.3.3 CiscoWorks WLSE para la solucin WLAN autnoma


    WLSE es una solucin a nivel de sistema para gestionar la infraestructura entera WLAN Aironet basada en puntos de acceso autnomos. Las prestaciones de gestin RF y de gestin del dispositivo simplifican la operacin cotidiana de las WLAN, ayudando a asegurar un despliegue sin complicaciones de seguridad y disponibilidad de red mientras se reduce los gastos de despliegue y los gastos operativos. WLSE opera atesorando defectos, rendimientos e informacin de configuracin de dispositivos Cisco que descubre en la red. Debemos configurar los AP, WDS, switches y routers con CDP y SNMP para proveer informacin al WLSE para el proceso de descubrimiento de APs. Una vez que WLSE descubre dispositivos, decidiremos que dispositivos gestionar con WLSE. WLSE es un componente ncleo de una solucin de AP autnomo.

    109

    CCNP ONT
    WLSE tiene las siguientes prestaciones principales: - CONFIGURACIN: Permite aplicar cambios de configuracin a puntos de acceso. Se pueden soportar hasta 2500 AP desde una nica consola WLSE. Todos los AP Aironet son soportados. - MONITOREO DE DEFECTOS Y POLTICAS: Se monitorean defectos y condiciones de funcionamiento en los dispositivos, respuestas LEAP y desconfiguraciones de polticas. - REPORTES: Permite hacer seguimiento de dispositivos, clientes e informacin de seguridad. Podemos mandar los mismos por correo, imprimirlos y exportarlos. - FIRMWARE: Permite actualizar el firmware de los AP y puentes. - GESTIN DE RADIO: Ayuda a gestionar el entorno de radio WLAN. - ADMINISTRACIN WLSE: Gestiona el software WLSE, incluyendo actualizaciones, monitoreo de WLSE, copia de seguridad de los datos, y usando 2 dispositivos WLSE como redundantes, se provee como una solucin de gestin de alta disponibilidad.

    BENEFICIOS CLAVE DE WLSE


    Usar WLSE para gestionar AP autnomos provee muchos beneficios. WLSE provee gestin centralizada y visibilidad RF para APs autnomos Aironet y puentes. Esta solucin le da al usuario muchos beneficios, de los que se resaltan los siguientes: - SEGURIDAD WLAN MEJORADA: IDSs Wireless para puntos de acceso fakes, redes ad hoc, gestin de tramas 802.11 excesivas que sealan a un ataque DoS y ataques de hombre en el medio. - DESPLIEGUE SIMPLIFICADO DE PUNTOS DE ACCESO: Polticas de configuracin que se crean usando asistentes de despliegue que se aplican automticamente a los nuevos puntos de acceso. - VISIBILIDAD RF: Cobertura RF, pantalla de potencia de seal recibida (RSSI), localizacin de puntos de acceso fakes y lmites de roaming. - GESTIN DINMICA DE RF: Auto-curacin, deteccin de interferencias y seguimiento de puntos de acceso para clientes. - OPERACIONES SIMPLIFICADAS: Configuraciones basadas en plantillas y actualizaciones de imgenes y monitoreo basado en umbrales.

    En la imagen de la figura se muestra uno de los muchos usos de WLSE. El ejemplo ilustra el escaneo y monitoreo de capacidades mostrando las localizaciones y la cobertura de los puntos de acceso aironet en un plano de planta del edificio.

    CISCOWORKS WLSE Y WSLE EXPRESS


    WLSE se usa para una gestin centralizada de la red wireless que usa APs autnomos. WLSE soporta los siguientes dispositivos WLAN: AP y puentes aironet. Mdulos WLSM (Wireless LAN Service Module) WDS en switches Catalyst 6500. WLSE soporta SSH, HTTP, CDP y SNMP. Existen dos versiones de WLSE. Cada una de ellas cumple las necesidades de diferentes tamaos y topologas de red.

    CISCOWORKS WLSE: Soporta hasta 2500 dispositivos WLAN. CISCOWORKS WLSE EXPRESS: Para pequeos negocios, soportando de 250 a 1500 empleados (o hasta 100 dispositivos WLAN).
    WLSE requiere un servidor AAA externo, el cual ya viene incluido con WLSE Express. WLSE Express tiene integrada seguridad WLAN y servicios de gestin que soportan 802.1x LEAP, PEAP, EAP-FAST y EAP-TLS. El directorio de usuarios soporta LDAP (Lightweigth Directory Access Protocol) con el Directorio Activo de Microsoft y la base de datos de usuario local. WLSE Express soporta autenticacin de usuario cableada e inalmbrica y prestaciones de IDS WLAN.

    110

    CCNP ONT 6.3.4 Configuracin simplificada de CiscoWorks WLSE Express


    Disponemos de dos modos de configuracin inicial de WLSE Express: - AUTOMTICO: Despus de instalar WLSE Express, podemos ordenar al WLSE que sea autoconfigurado. Cuando el WLSE se inicia por primera vez, se descarga un fichero de configuracin especial de forma automtica, dejando al WLSE listo para su uso. La configuracin se descarga desde un DHCP. La opcin DHCP est habilitada por defecto. La IP de un TFTP y un nombre de fichero se proveen en las opciones 66 y 67 del DHCP. WLSE descarga una configuracin del TFTP, incluyendo nombre de host, puerta de enlace, etc - MANUAL: Por defecto, la interfaz Ethernet del WLSE Express se configura a un modo DHCP. Cuando lo iniciamos, WLSE intenta obtener la configuracin de red desde un DHCP, como indicamos en el punto anterior. Si no queremos usar DHCP, podemos logarnos y configurar los parmetros de red manualmente tras el arranque del WLSE, usando la CLI.

    PLANTILLAS DE CONFIGURACIN
    WLSE tiene una GUI basada en web para la configuracin. WLSE est diseado para operaciones rutinarias as como para la optimizacin del funcionamiento y alta disponibilidad. Una de las prestaciones de WLSE es el uso de plantillas, las cuales permiten la auto-configuraicones de nuevos puntos de acceso para simplificar un despliegue de puntos de acceso a gran escala. Cuando se aade un nuevo AP al sistema, podemos usar la plantilla para configurar al mismo. A su vez, los AP nuevos aadidos al sistema requieren correcciones en la configuracin. WLSE detecta desconfiguraicones y enva una alerta de las mismas. Este proceso tambin es el proceso que lleva a cabo WLSE para detectar un AP fake y minimizar las vulnerabilidades de seguridad. WLSE puede detectar el AP que falla, pudiendo compensar su prdida incrementando automticamente la potencia y cobertura de celda de los puntos de acceso ms cercanos. La prestacin de Auto-Curacin minimiza el impacto de un fallo del tipo mencionado anteriormente. La Auto-Curacin tambin recalcula la potencia de cobertura cuando el AP vuelve a estar disponible.

    6.3.5 Cisco WCS para la solucin LWLAN


    WCS (Wireless Control System) es una solucin WLAN de Cisco, en forma de herramienta de gestin de red, que permite mover controladores individuales a una red de controladores. WCS incluye la misma configuracin, monitoreo de funcionamiento, seguridad, gestin de errores y opciones de cuentas que se usan a nivel de controlador y aade una vista grfica de los mltiples controladores y puntos de acceso gestionados. En la figura se muestra una representacin de la funcionalidad completa de WCS.

    WCS se ejecuta en plataformas Windows y Linux. WCS puede ejecutarse como aplicacin o como servicio, el cual se ejecuta continuamente. La interfaz de usuario WCS permite a los operadores controlar todas las configuraciones de soluciones WLAN, monitorearlas, y controlar funciones a travs de Internet Explorer 6.0 o posterior. Se pueden

    111

    CCNP ONT
    definir permisos de operador a travs del men administrador de la interfaz de usuario WCS. Desde este men se pueden definir cuentas de usuario y programar tareas de mantenimiento peridicas. WCS usa SNMP para comunicarse con los controladores. WCS soporta SNMPv1, SNMPv2 y SNMPv3. El software WCS es una plataforma lder en la industria de planeamiento, configuracin y gestin de WLAN. Provee una base slida que los gestores de IT pueden usar para disear, controlar y monitorear la red wireless empresarial reduciendo el costo total. Cisco provee una amplia gama de opciones para realizar de forma eficiente el seguimiento de dispositivos wireless, incluyendo porttiles Wi-Fi, PDAa, telfonos mviles, etc que estn equipados con transceptores 802.11. Podemos deplegar ECS en cualquiera de las siguientes 3 versiones: - WCS BASE: Esta versin puede determinar a qu punto de acceso est asociado un dispositivo wireless, dando a los gestores de IT una aproximacin genera de donde se sitan los dispositivos inalmbricos. - LOCALIZACIN WCS: En entornos que requieren servicios de localizacin granulares se puede implementar una versin opcional de WCS, llamada Cisco WCS Location que usa tecnologa de huella dactilar RF patentada por Cisco. Esta tecnologa compara informacin RSSI en tiempo real del cliente con caractersticas de la arquitectura RF, haciendo posible localizar a un dispositivo wireless de forma correcta dentro de un pequeo rango de metros. - DISPOSITIVO DE LOCALIZACIN WIRELESS: Adems, Cisco WCS Location puede ser desplegado en conjunto con un dispositivo que puede hacer seguimiento de miles de clientes wireless en tiempo real, de forma simultnea.

    6.3.6 Prestaciones del software WCS


    El sistema operativo WCS gestiona todos los datos de cliente, comunicaciones, funciones de administracin del sistema, funciones de gestin de recursos de radio (RRM), polticas de movilidad, y coordinacin de todas las funciones de seguridad usando un marco base.

    PRESTACIONES DE CISCO WCS BASE


    WCS Base soporta acceso de datos de clientes inalmbricos, deteccin de puntos de acceso fakes y funciones de contencin (como localizacin en tiempo real de AP fakes a puntos de acceso cercanos y localizacin histrica de clientes a puntos de acceso cercanos), as como soluciones de control y monitoreo de la WLAN. El software WCS incluye vistas grficas de elementos como: - Auto descubrimiento de puntos de acceso as como de puntos de acceso asociados con controladores. - Auto descubrimiento y contencin de puntos de acceso falsos. - Organizacin basada en mapas de reas de cobertura de puntos de acceso, lo cual es til cuando la empresa se expande ms all de un rea geogrfica. - Grficos provistos por el usuario de campus, edificios y planos de planta, donde se puede ver la siguiente informacin: o Localizacin y estado de los AP gestionados. o Localizacin de puntos de acceso fakes basados en la seal recibida por los AP ms cercanos a los mismos. o Informacin de alarma de lugares sin cobertura basada en la informacin recibida por los clientes. o Mapas de cobertura RF. El WCS Base tambin provee un amplio control del sistema, con las siguientes funciones: - Configuracin usando plantillas definidas por el cliente para controladores y puntos de acceso: - Estado y alarmas de monitoreo de red, controladores y puntos de acceso gestionados. - Monitoreo automtico y manual de datos de cliente y funciones de control. - Monitoreo automtico de puntos de acceso fakes, huecos de cobertura, violaciones de seguridad, controladores y puntos de acceso. - Logs completos de eventos de datos de cliente, puntos de acceso fakes, huecos de cobertura, violaciones de seguridad, controladores y puntos de acceso. - Canales automticos y asignacin de niveles de potencia por RRM. - Auditorias de estado automticas definidas por el usuario, backups de configuracin

    PRESTACIONES DEL SOFTWARE WCS LOCATION


    WCS Location incluye todas las prestaciones de WCS Base ms las siguientes mejoras: Localizacin bajo demanda de puntos de acceso fakes dentro de 10 metros. Localizacin bajo demanda de clientes dentro de 10 metros. Habilidad de uso de dispositivos de localizacin para recolectar y devolver localizacin histrica de datos y que podemos ver en la interfaz de usuario del WCS. Los dispositivos WCS Location pueden realizar cmputos de localizacin basados en la informacin RSSI que reciben desde los controladores WLAN. Estos controladores han de estar asociados al dispositivo WCS Location. Podemos usar los dispositivos de la serie 2710 Series Location Appliance para estos fines.

    DESPLIEGUE WCS
    La solucin WLAN consiste en controladores WLAN y sus puntos de acceso lightweight asociados, controlados por el sistema operativo, todos de forma concurrente gestionados por cualquiera de las interfaces de usuario del sistema operativo. Existen las siguientes interfaces de usuario:

    112

    CCNP ONT
    - Una interfaz web de usuario HTTPS guardada en los controladores WLAN puede utilizarse para configurar y monitorear controladores individuales. - Una CLI puede usarse para configurar y monitorear controladores individuales. - WCS puede usarse para configurar y monitorear uno o ms controladores y sus puntos de acceso asociados. WCS tiene herramientas que facilitan el monitoreo y el control de sistemas grandes. - Una interfaz estndar de la industria (SNMPv1, SNMPv2, SNMPv3) puede usarse con sistemas de gestin de terceras partes compatibles con SNMP.

    REQUISITOS MNIMOS DEL CLIENTE PARA WCS

    WCS se ejecuta bajo servidores Windows 2000, Windows 2003 y Red Hat Enterprise Linux v.3 como una aplicacin normal o como un servicio. Los requisitos mnimos del servidor son: - Windows 2000 SP4 o superior. Windows 2003 SP1 o superior, o Red Hat Enterprise Linux ES v.3. - Hasta 500 puntos de acceso: Pentium 2.4 GHz con 1 GB de RAM. - Ms de 500 puntos de acceso: Doble ncleo (de al menos 2.4 GHz cada uno) con un mnimo de 2 GB de RAM. - 20 GB de disco duro. Los requisitos mnimos del cliente son Internet Explorer 6.0 con SP1 o superior.

    6.3.7 Interfaz de usuario WCS


    La interfaz de usuario WCS permite al operador de red crear y configurar plantillas de rea de cobertura, parmetros de operacin del sistema, monitorear el funcionamiento de la WLAN en tiempo real, y realizar tareas de solucin de problemas usando un navegador. Esta interfaz tambin permite al administrador crear, modificar y borrar cuentas de usuario, cambiar contraseas, asignar permisos y programar tareas de mantenimiento peridicas.

    BARRA DE MEN
    Existen 4 mens en cada pantalla. Cuando movemos el ratn sobre cualquiera de los mens, aparece un men desplegable:

    MONITOR: El men monitor provee una descripcin de los dispositivos de nuestra red. CONFIGURE: Este men permite configurar plantillas, controladores y puntos de acceso de la red. LOCATION: Este men permite configurar dispositivos Wireless Location. ADMINISTRATION: Este men permite programar tareas como backups, chequeos de estado de
    dispositivos, auditoras de red, sincronizacin de servidores Location, etc.

    EJEMPLO: PGINA DEL CONTROLADOR WCS

    El WCS est diseado para soportar 50 controladores WLAN y 1500 puntos de acceso. Desde la pgina que se muestra en la pgina siguiente se provee acceso a detalles sumarizados del controlador. Usamos el rea de seleccin para acceder a los detalles de los controladores respectivos. En la figura de la pgina siguiente se muestra un ejemplo de esta pgina. El rea de datos de esta pantalla contiene una tabla con la siguiente informacin: - IP ADDRESS: Direccin IP local de la interfaz de gestin del controlador. - NOMBRE DEL CONTROLADOR - LOCATION: La localizacin geogrfica (como un campus o un edificio). - NOMBRE DEL GRUPO DE MOBILIDAD: Nombre del controlador de movilidad o del grupo WPS. - ESTADO DE DISPONIBILIDAD: Como alcanzable o inalcanzable.

    113

    CCNP ONT

    6.3.9 Dispositivo Cisco Wireless Location


    VISTAZO AL DISPOSITIVO CISCO WIRELESS LOCATION
    La aplicacin Wireless Location es una solucin innovadora, fcil de desplegar que usa tecnologa de huella dactilar RF avanzada para realizar el seguimiento de miles de dispositivos 802.11 simultneamente desde directamente la infraestructura WLAN, incrementando la visibilidad de los recursos y el control del espacio areo. En la figura se muestra un dispositivo Cisco 2710 Wireless Location. Este dispositivo tiene un WCS incluido dentro del mismo, que recolecta y almacena un historial de datos de localizacin de hasta 1500 porttiles cliente, agendas electrnicas, telfonos VoIP, puntos de acceso fakes, etc De forma adicional, el dispositivo provee alertas basadas en localizacin para refuerzo de la poltica, y graba un histrico de informacin importante que puede usarse para resolver problemas rpidamente, y gestionar la capacidad RF. Como un componente de la red Wireless Unificada de Cisco, este dispositivo usa controladores WLAN y puntos de acceso lightweigh Aironet para realizar el seguimiento de localizaciones fsicas de dispositivos wireless dentro de unos pocos metros.

    ARQUITECTURA CON DISPOSITIVOS CISCO WIRELESS LOCATION


    Un dispositivo 2710 acta como un servidor de uno o ms dispositivos WCS, recolectando, almacenando y pasando datos desde el dispositivo (2710) a los controladores. Los puntos de acceso recogen informacin desde todos los dispositivos Wi-Fi (mediante RSSI), incluyendo porttiles, telfonos, puntos de acceso fakes, etc La informacin RSSI obtenida se enva a travs del protocolo LWAPP a los controladores WLAN o a ciertos routers o switches con capacidades wireless integradas.

    Los controladores agregan dicha informacin RSSI y se la envan a la aplicacin 2710 utilizando el protocolo SNMP.
    Los controladores WLAN almacenan la informacin RSSI deben estar asociados con los dispositivos Wireless Location. Una vez que se aaden los mapas de la red y se aaden los puntos de acceso al dispositivo, las predicciones RF y los mapas de calor pueden generarse para mostrar la localizacin de miles de

    114

    CCNP ONT
    dispositivos en el plano de planta del sitio de forma geogrfica. Esta informacin de localizacin tambin est disponible con aplicaciones de terceros a travs de Apis XML en el dispositivo. El WCS gestiona el dispositivo Wireless Location mediante una GUI intuitiva y visual que provee una gestin y configuracin centralizada. Para una mayor escalabilidad, el WCS puede gestionar uno o ms dispositivos Wireless Location.

    6.4 Desplegando Cisco WCS


    6.4.1 Ejemplo de configuracin del WCS
    LOGIN EN EL SERVIDOR WCS
    Completaremos los siguientes pasos en el servidor WCS: - PASO 1: Ejecutamos Microsoft I.E. versin 6.0 o superior. - PASO 2: En la barra de direccin del navegador, ingresamos https://localhost cuando estemos directamente en la estacin servidora del WCS. Ingresaremos https://IP-del-wcs cuando estemos en otra estacin de trabajo distinta. - PASO 3: La interfaz de usuario WCS muestra la pgina de login WCS. En la misma, ingresamos nuestro nombre de usuario y contrasea. Por defecto, este es root y la contrasea es public.

    Tras un login satisfactorio, el WCS est listo para ser utilizado. La pgina de sumario de red se muestra en la siguiente figura, desde la cual el operador puede comenzar a agregar dispositivos y configurar el sistema usando los mens horizontales y verticales.

    Cuando el WCS recibe mensajes de alarma desde el controlador, la interfaz de usuario muestra una alarma en un indicador en la esquina inferior izquierda conocida como monitor de alarmas. Las alarmas indican errores actuales o estados de un elemento que necesita atencin. Varios eventos generan alarmas. Podemos borrarlas, pero el evento permanece. Los siguientes cdigos de color rigen el nivel de cada alarma: Rojo (alarma crtica) // Naranja (Alarma mayor) // Amarillo (Alarma menor).

    6.4.2 Aadir un controlador WLAN al WCS


    En la figura de la pgina siguiente se muestra la pantalla que usamos para aadir y cambiar controladores WLAN de la base de datos del WCS. Cuando conocemos la IP del controlador, seguiremos los siguientes pasos para aadirlo a la base de datos del WCS:

    115

    CCNP ONT

    - PASO 1: Nos logamos en la interfaz de usuario del WCS. - PASO 2: Escogemos Configure > Controllers. Aparece la pgina todos los controladores. - PASO 3: Desde la lista desplegable que aparece en la figura, escogemos Add Controller, y le damos click a Go. Aparece la pgina de aadir controlador (siguiente imagen). - PASO 4: En esta nueva pantalla ingresamos la IP del controlador, la mscara de red, y las configuraciones SNMP requeridas en los campos de la ventana Add Controller. - PASO 5: Hacemos click en OK. El WCS muestra un cuadro de dilogo please wait mientras contacta con el controlador. El WCS aade la configuracin actual del controlador a la base de datos del WCS y entonces vuelve a mostrar la pgina Add Controller de nuevo.

    Si el WCS no encuentra un controlador en la IP que ingresamos, el mismo mostrar un mensaje No response from device, check SNMP. Para corregir este problema debemos comprobar que la IP que ingresamos es la correcta. Debemos intentar hacer ping al controlador para ver si obtenemos respuesta del mismo. Las configuraciones SNMP del controlador tienen que coincidir con las que ingresemos en el WCS.

    6.4.3 Configurar un Punto de Acceso


    Los AP asociados a los controladores WLAN se aaden automticamente al WCS. Para ver todos los puntos de acceso, escogemos Configure > Access Points. La pgina que obtenemos permite ver un sumario de todos los puntos de acceso Lightweight en la base de datos del WCS. La pgina tambin permite aadir puntos de acceso de terceros y eliminar puntos de acceso seleccionndolos. Obtenemos la siguiente informacin de cada punto de acceso: Su nombre // Direccin MAC // Tipo de radio // Localizacin de mapa // Controlador // Estado operacional // Estado de alarmas.

    6.4.4 Agregar un mapa del campus a la base de datos del WCS


    Cuando aadimos mapas al WCS, podemos ver nuestros sistemas gestionados en un campus real, edificio, y mapas de planta de los pisos. Completaremos los siguientes pasos para aadir un mapa de campus a la base de datos del WCS: - PASO 1: Guardamos el mapa en formato .png, .jpg, .jpeg o .gif. El mapa puede ser de cualquier tamao ya que el WCS lo reajusta para que se adapte a las reas de trabajo. - PASO 2: Buscamos e importamos el mapa desde cualquier lugar de nuestro sistema. - PAOS 3: Escogemos la etiqueta Monitor.

    116

    CCNP ONT
    - PASO 4: Escogemos Maps desde la pgina Maps. - PASO 5: Desde la lista desplegable, escogemos New Campus, y hacemos click en OK para mostrar la pgina de Nuevo Campus. - PASO 6: En la pgina del Nuevo Campus, ingresamos el nombre del campus y la informacin de contacto. - PASO 7: Escogemos Browse para buscar y seleccionar el grfico del campus. - PASO 8: Marcamos la casilla Maintain Aspect Ratio para prevenir que se distorsione la imagen. - PASO 9: Ingresamos la envergadura horizontal y vertical del mapa en pies. - PASO 10: Hacemos click en OK y aadimos el mapa del campus a la base de datos del WCS. El WCS muestra la pgina Maps, en la cual se alistan los mapas de su base de datos, tipos de mapas y estado del campus.

    6.4.5 Deteccin de Puntos de acceso fakes


    Cuando se encienden los AP Lightweight de nuestra WLAN y se asocian a los controladores, el WCS inmediatamente comienza a escuchar la posibilidad de la existencia de puntos de acceso fakes (rogue). Cuando el controlador detecta un AP rogue, inmediatamente notifica al ECS, el cual crea un alarma apuntando a un rogue AP. En la figura se muestra que el WCS tiene localizados 93 puntos de acceso rogue. Cuando el WCS recibe un mensaje de rogue AP desde un controlador, aparece una alarma en la parte inferior izquierda de la interfaz de usuario del WCS. Si seleccionamos el indicador se muestra la pgina de alarmas de puntos de acceso fakes. Esta pgina alista la severidad de las alarmas, la MAC de los AP fakes, los tipos de AP fakes, el propietario (operadores WCS), el da y la hora cuando se detecto en primer momento este AP, los nmeros de canal que estn enviando los AP rogues, y los SSID de los mismos.

    6.4.6 Localizacin de los AP rogues


    En la pgina Rogue AP MAC Address, escogemos Map para mostrar la localizacin de los puntos de acceso fakes actuales calculados usando el WCS location. Cisco WCS compara la intensidad de la seal RSSI desde 2 o ms puntos de acceso para encontrar la localizacin ms probable del AP rogue y coloca un pequeo indicador con una calavera de la localizacin posible. Para acusar recibo del AP rogue, navegamos a la pgina de alarmas de AP rogues. Hacemos click derecho en rogue Access Point (rojo, desconocido) que queremos acusar recibo y configuramos Set state to Know Internal o Set state to Know External. En cualquier caso, el WCS retira al AP rogue de la pgina de alarmas.

    117

    CCNP ONT

    6.5 Configurar Cifrado y Autenticacin el Puntos de Acceso Lightweight


    6.5.1 Configurar Autenticacin Abierta

    La autenticacin abierta se usa cuando no se desea ninguna autenticacin o cifrado. Esto es normal para la implementacin invitada para visitantes. Para las WLANs existentes, escoger WLANs y editarlas. Para nuevas WLAN, creamos una nueva WLAN escogiendo WLANs>New y hacer click en Apply para navegar a esta pgina. Est pgina permite editar los parmetros configurables para un WLAN. El mtodo de autenticacin por defecto para una nueva WLAN es 802.1x. La razn de ello es protegerse contra autenticaciones abiertas accidentales. El siguiente paso es cambiar el valor de la lista desplegable de seguridad de capa 2 de 802.1x a None. Asegurarse que ambos campos de seguridad, capa 2 y capa 3, se configuran con None.

    6.5.2 Configuracin de autenticacin con clave WEP esttica

    Para las WLAN existentes, escoger la WLAN y editarla. Para crear una nueva seguimos el mismo proceso del paso anterior. Escoger el mtodo de seguridad de capa 2 Static WEP. La parte inferior de la pantalla se actualizar para mostrar las opciones WEP con los parmetros apropiados. Los parmetros de cifrado WEP son los siguientes:

    118

    CCNP ONT
    Tamaos de clave de 40/64, 104/128 y 128/152 bits. ndices de clave de 1 a 4. Ingresar la clave de cifrado. Escoger el tipo de formato de cifrado de clave (ASII o HEX).

    6.5.3 Configurar WPA con claves pre-compartidas

    Escogemos WPA como mtodo de seguridad de capa 2. La parte inferior de la pantalla se actualizar para reflejar los parmetros apropiados para WPA. Marcamos la casilla Enabled de la parte inferior en pre-shared key, y escribimos la clave (Passphrase) a utilizar.

    6.5.4 Configurar autenticacin Web


    La autenticacin web permite a los usuarios autenticarse a travs de una interfaz de navegador web. Los clientes que intenten acceder a la WLAN usando HTTP son redirigidos automticamente a una pgina de login. Esta pgina es personalizable (logos y texto). Las solicitudes de autenticacin mximas usando este mtodo son 21. El nmero mximo de usuarios logados va web es de 2500. Este mtodo de autenticacin se usa generalmente para un acceso de invitados. Debido a que no hay cifrado, autenticacin por paquete, o integridad del mensaje (MIC), los usuarios deberan usar algn otro mecanismo de seguridad tras la autenticacin. Para configurar la autenticacin web seguiremos los siguientes pasos: En el rea de seguridad de capa 3, marcamos la casilla Web Policy para habilitar la poltica web. La parte inferior de la pantalla se actualiza para reflejar esta eleccin y ofrece los siguientes parmetros de autenticacin va web: AUTHENTICATION: Si escogemos esta opcin, se solicitar un usuario y contrasea mientras el cliente se conecta a la red wireless. Las credenciales sern verificadas en una base de datos interna del controlador. Si no coincide el usuario, se usar un servidor RADIUS externo para su comprobacin, si el mismo est configurado. PASSTHROUGH: Si escogemos esta opcin, podemos acceder a la red directamente sin ingresar usuario y contrasea. Esta opcin se usa simplemente para presentar una noticia lega antes de permitir el acceso. Se puede solicitar un correo electrnico antes de permitir el acceso a la red. PREAUTHENTICATION ACL: Escoger la ACL que ser usada para el trfico entre el cliente y el controlador. El controlador tendr que reiniciarse para cargar y habilitar la prestacin de autenticacin web.

    6.5.5 Personalizar la pantalla de login Web


    Escogemos Management>Web Login Page para navegar por la misma. Podemos personalizar el contenido y la apariencia de esta pgina.

    119

    CCNP ONT
    Los parmetros de la pantalla de login web son los siguientes:

    USE EXTERNAL WEB AUTHENTICATION: Habilitamos esta opcin e ingresamos una URL si queremos usar una
    pantalla de login personalizada configurada en nuestro servidor web para la autenticacin web en lugar de la pantalla por defecto provista por los controladores WLAN de la serie 4000. REDIRECT URL AFTER LOGIN: Ingresamos la URL a la que queremos que el usuario se re-dirigido despus de logarse. Podramos ingresar la URL de nuestra compaa. HEADLINE: Especifica la cabecera de la pantalla de login. Por ejemplo: Bienvenido a la red Wireless de Cisco. MENSAJE: Especifica un mensaje en la pantalla de login. Por ejemplo: Por favor, ingrese su nombre de usuario y contrasea, o Esta pgina no estar disponible de 1:00 a 2:00 p.m. por labores de mantenimiento.

    6.5.6 Configurar autenticacin 802.1x

    Escogemos 802.1x desde el mtodo de seguridad de capa 2 a utilizar. La parte inferior de la pantalla se actualiza para mostrar las opciones 802.1x con sus parmetros apropiados.

    120

    CCNP ONT
    802.1x usa claves WEP 802.11 dinmicas. Las opciones son: 40/64 bits. 104/128 bits. 128/152 bits. Las claves de128/152 bits son soportadas solo por 802.11i, WPA y WPA2.

    6.5.7 Configurar WPA con 802.1x

    Escogemos WPA desde la seguridad de capa 2. Dejamos sin marcar pre-shared key para utilizar claves WPA dinmicas. El proceso de autenticacin usar una autenticacin 802.1x EAP con un servidor RADIUS.

    6.5.8 WPA2

    Escogemos WPA2 desde la lista de seguridad de capa 2. Las opciones de seguridad y los parmetros que aparecen ahora en la parte inferior son los siguientes: MODO DE COMPATIBILIDAD WPA: Esta opcin permite soporte para clientes WPA y WPA2 en el mismo SSID para soportar sistemas antiguos durante la migracin a WPA.

    121

    CCNP ONT
    PERMITIR CLIENTES WPA-2 TKIP: Esta opcin permite soportar hardware antiguo que no puede ejecutar AES-CCMP pero que puede ejecutar WPA2. CLAVE PRE-COMPARTIDA: Cuando se marca esta opcin, podemos escoger habilitar un clave precompartida.

    122

    También podría gustarte