Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. Instalación
Requisitos
• Dirección IP de gestión, con su máscara y
2. Encender el servidor BQN y acceder a la GUI de
gateway para la ruta por defecto (ej. 10.10.1.47/24
con gateway 10.10.1.1). gestión, siguiendo los pasos descritos en la sección
de Login más adelante.
• Cableado hacia la interfaz de red de gestión RJ45
• Acceso remoto a la dirección IP de gestión para 3. El BQN viene de fábrica con la dirección IP de
los puertos TCP 22 (SSH) y 443 (HTTPS) desde la gestión 192.168.0.121/24, con 192.168.0.1 como
dirección IP de soporte de Bequant gateway de la ruta por defecto, y con un usuario
(46.26.190.166). Dicho acceso puede configurarse bqnadm de gestión con contraseña el número de serie
con reglas de reenvío de puertos en el router de (ver en la sección Servidores Soportados dónde se
acceso Internet. encuentra en su modelo).
• Cableado de tráfico de subscriptor: para cada
4. Si necesita cambiar la dirección IP de gestión o el
pareja de interfaces de red, un cable o fibra desde
gateway de la ruta por defecto, véase la sección
el BQN al router/switch del lado de acceso y otro
Configuración Inicial.
cable o fibra al router/switch del lado de Internet.
1
bequant Guía Rápida
5. Conectar los cables del tráfico de subscriptor. Las Por ejemplo, en el wire 3&4, la interfaz 3 está en el
interfaces de tráfico de subscriptor están emparejadas lado de acceso y la 4 en el lado de Internet.
en wires, conectadas internamente de forma que el
tráfico que entra por una interfaz es enviado por su Supermicro
pareja y viceversa. Para cada wire utilizado, hay que
El número de serie es un valor alfanumérico de
conectar una interfaz al lado de acceso y otra al lado
quince caracteres impreso en una etiqueta en la parte
de Internet. Es importante conectar las interfaces a su
posterior izquierda.
lado correcto (de lo contrario, se afectará al
rendimiento del sistema). Ver en la sección Servidores Supermicro 5018D-FN8T
Soportados los detalles exactos de su modelo de
servidor.
2. Servidores Soportados
En los diagramas que siguen se numeran las
interfaces de red para facilitar las instrucciones de
cableado, empezando por el 1 para la interfaz de
gestión. La correspondencia de las interfaces físicas
con las mostradas en la GUI puede establecerse
conectando una interfaz física cada vez y
comprobando en Status->Interfaces->Link State cuál de La interfaz 1 (inferior izquierda) es el de gestión. El
las interfaces pasa a tener su estado de enlace arriba. wire de SFP+ es entre las interfaces integradas 7&8.
Opcionalmente, se puede instalar una tarjeta PCI. En
Las interfaces de tráfico de subscriptor se emparejan la figura se usa una de cuatro puertos RJ45 para
en wires, con la interfaz en el lado de acceso listada establecer dos wires 3&4 y 5&6. Las interfaces 2 y
primero y seguidamente la del lado de Internet. IPMI no se usan.
2
bequant Guía Rápida
3
bequant Guía Rápida
enrutado dinámico por OSPF o BGP). Al tratarse de Página de Inicio. Dashboard
enlaces directos entre los dos extremos, de forma
transparente con el BQN en medio, la detección de
fallos de los enlaces no debe ser eléctrica (ej.. MII),
sino basada en mensajes (ej. ARP or fast LACP).
4. Introducción a la GUI
El BQN tiene una interfaz gráfica (GUI) web desde la
que se pueden hacer las tareas de gestión más
comunes. Se soportan los navegadores para desktop
de Chrome, Firefox, Safari y Microsoft Edge (MS
Explorer no está soportado).
La GUI tiene ayuda contextual: presione el icono (?) La página de inicio tiene un menú lateral, un tablero
en la página en la que se necesita ayuda. de estado (dashboard) y un pequeño resumen de
información de sistema.
Login El dashboard debe estar con todos los iconos en verde.
Para acceder a la GUI, abrir un navegador y visitar la El icono NETWORK INTERFACES está en verde sólo
URL: https://oam-ip, donde oam-ip es la dirección si detecta enlace en todos los wires configurados en el
IP de gestión (192.168.0.121 de fábrica). servidor (si hay interfaces sin uso en alguno de los
wires configurados, permanecerá en naranja).
El BQN usa un certificado autofirmado y el
navegador lo indicará como inseguro. Ignorar la
advertencia e ir a la página web. 5. Configuración Inicial
Introducir el usuario bqnadm y la contraseña (por
Cambiando la dirección IP de Gestión
defecto, el número de serie del servidor).
Para cambiar la dirección IP, seleccionar en el menú
lateral izquierdo la opción Configuration->Interfaces-
>Management. La configuración incluye la dirección
IP y máscara de red (Static IP address and mask), la
pasarela por defecto (Default gateway) y el
identificador de VLAN (en caso de haberlo). La
pasarela por defecto no es obligatoria, pero se
recomienda configurarla.
Opcionalmente se puede definir la dirección IP de un
El usuario root no puede usarse para entrar en la servidor DNS.
GUI. El puerto de red de gestión (Network Interface) no
debe cambiarse a menos que lo indique el soporte
de Bequant.
4
bequant Guía Rápida
Los wires son direccionales, con la primera interfaz
de red conectada al lado del acceso de los
subscriptores y la segunda interfaz al lado de
Internet. Si se ha producido un error en el
conexionado se pueden intercambiar los puertos
pulsando el icono .
Para añadir un wire, pulsar el icono y seleccionar
Add Wire…. Se mostrará un formulario donde
especificar las interfaces de acceso e Internet (el
formulario listará las disponibles). La opción pcap se
selecciona únicamente en el caso de tarjetas que nos
sean de las series de Intel I350, X520, X710 o XL710
Cuando se complete la nueva configuración, se
(pcap permite la compatibilidad al precio de reducir
presiona Apply Configuration para aplicar los
el rendimiento del servidor).
cambios. Para conectarse de nuevo al servidor hay
que acceder desde la nueva subred y logarse otra vez
a la GUI.
Para añadir un rango de direcciones permitidas, Los cambios sólo se aplican al clicar Apply
pulsar el icono y seleccionar Add IP Address Configuration.
Range…. El firewall se activa al introducir un rango
de direcciones, quedando bloqueadas todas las
6. Funcionalidades del BQN
direcciones IP que no estén dentro de los rangos
configurados. Conviene por tanto que el primer El BQN permite realizar las siguientes funciones sobre
rango de direcciones que se introduzca incluya a la el tráfico que fluye por él:
dirección IP desde la que se está operando la GUI.
También debería incluirse la subred que incluye la • Optimización TCP (TCPO).
dirección IP de la interfaz (la GUI nos avisará si esto • Limitación de velocidad de ciertas
no se cumple). aplicaciones por subscriptor (shaping)
• Bloqueo de ciertos tipos de tráfico
Configuración de Wires • Limitación de la velocidad total de cada
subscriptor (gestión de planes).
Un wire es una pareja de interfaces de red que • Detección de ataques de DoS
procesan tráfico de usuarios y que funcionan como • Monitorización del uso por subscriptor y por
un bridge. aplicación
Para configurar wires, hay que ir a la opción
Configuration->Interfaces->Data Wires. Conceptos Básicos de la Configuración
Todos los paquetes de datos IP que atraviesan el BQN
pertenecen a un subscriptor y a un flujo. El BQN actúa
sobre el tráfico así agrupado en subscriptores y flujos.
5
bequant Guía Rápida
• Un subscriptor es una dirección IPv4 en el lado de especificar puertos del lado de Internet para
acceso, o una dirección IPv6 del lado de acceso de flujos.
la misma subred /64. Ver la sección Identificación • Perfiles de Acceso (Access): identifican a todos
de Subscriptores para más detalles. los flujos que van a, o vienen de, una dirección IP
• Un flujo es una conexión TCP, o una conexión del lado de Acceso, contenida en la lista de
UDP o una conexión de otro protocolo IP (ej. ping rangos de direcciones IP especificada por cada
ICMP). perfil de acceso. Opcionalmente, también se
pueden especificar puertos del lado de acceso
Un subscriptor tiene uno o varios flujos al mismo
para clasificar flujos.
tiempo.
• Perfiles DPI (Deep Packet Inspection):
Para decidir las funcionalidades a aplicar a cada identifican a todos los flujos que utilizan un
tráfico (sea un subscriptor o un flujo), el BQN aplica dominio HTTP/HTTPS/QUIC incluido en la lista
tres conceptos: políticas, perfiles y reglas. de dominios HTTP/HTTPS/QUIC especificada
• Las políticas definen las acciones a aplicar al por cada perfil DPI. Hay un conjunto de firmas
tráfico, junto con los parámetros de las acciones DPI predefinidas, que incluyen los dominios de
(ej. un límite de velocidad). aplicaciones populares (como las más
• Los perfiles clasifican el tráfico de acuerdo con importantes aplicaciones de video-streaming o
algún criterio (por ejemplo, un perfil de acceso las actualizaciones de software más comunes).
identifica el tráfico de todos los subscriptores • Perfiles de Caudal (Throughput): identifican a
cuya dirección IP está contenida en el conjunto de todos los flujos o suscriptores que han sido
rangos de direcciones IP de ese perfil de acceso). creados en un momento en el que el caudal total
• Las reglas relacionan perfiles y políticas. Por de tráfico de bajada atravesando el BQN estaba
ejemplo, una regla puede especificar que cierto por encima del umbral especificado por cada
perfil de acceso esté limitado por una política de perfil de caudal.
caudal por subscriptor, es decir, que los Los perfiles se configuran en la opción de menú
subscriptores cuya dirección IP esté en ciertas Configuration->Profiles.
subredes tendrán un límite de velocidad
determinado. Políticas de Flujo por Subscriptor
(Subscriber Flow Policies)
Perfiles
Cuando un nuevo flujo es creado, se le asigna una
Los perfiles clasifican el tráfico y especifican, junto política de flujo por subscriptor, que especifica cómo
con las reglas, qué políticas se aplican a los tratar todos los flujos dentro de ese subscriptor, que
subscriptores y a los flujos al que aplicar una política. comparten política. Las accesiones que se pueden
Hay distintos tipos de perfiles de tráfico según las definir en una política de flujo por subscriptor son:
propiedades utilizadas en su clasificación. En la
versión actual son los siguientes: • Optimización TCP. Mejora el rendimiento del
tráfico TCP. Se especifica el porcentaje de las
• Perfiles de Interfaz (Interface): identifican a conexiones TCP a acelerar, tomado
todos los flujos o suscriptores cuyo primer aleatoriamente. El porcentaje restante no se
paquete de datos entra por una interfaz incluida acelera y sirve como grupo de control para las
en la lista de interfaces de red especificada por métricas de aceleración. El valor recomendado es
cada perfil de interfaz. el 99%.
• Perfiles de VLAN: identifican a todos los flujos o • Limitación de velocidad de aplicaciones
suscriptores cuyo primer paquete de datos tiene (Shaping). Se limita el caudal a ese valor. Se
una etiqueta VLAN incluida en la lista de puede limitar en la dirección de subida (uplink)
etiquetas de VLAN del tráfico especificada por y/o bajada (downlink). La limitación se aplica al
cada perfil de VLAN. conjunto de flujos que caen dentro de cada
• Perfiles de Internet: identifican a todos los flujos política y que pertenecen a un mismo
que van a, o vienen de, una dirección IP del lado subscriptor. Por ejemplo, si se especifica un
de Internet, contenida en la lista de rangos de límite de 6 Mbps para los contenidos de
direcciones IP especificada por cada perfil de streaming de vídeo, y el cliente tiene 3 flujos de
Internet. Opcionalmente, también se pueden
www.bequant.com Copyright 2015-2021 Bequant S.L. All rights reserved. support@bequant.com
6
bequant Guía Rápida
streaming de vídeo desde diferentes servidores, eligen valores mayores al plan
los 3 flujos se repartirían el límite de 6 Mbps contratado.
(obteniendo cada uno 2 Mbps, en principio). o Los basados en SYN de TCP, tanto
• Bloqueo (Block). Bloquea ese tipo de tráfico y no entrantes hacia el cliente (ingress) como
lo deja pasar. Debe usarse con cuidado, para emitidos por éste (egress). Se especifican
evitar afectar un tráfico distinto al deseado. los umbrales de intentos de conexión
(handshakes TCP) fallidos por segundo,
por encima de los cuales se debe
considerar un ataque.
7
bequant Guía Rápida
Identificación de un Subscriptor
Para el BQN, el tráfico pertenece a un mismo
subscriptor si comparte la misma dirección IP en el
lado de acceso (en IPv4) o si proviene de la misma
subred /64 en el lado de acceso (en IPv6).
Estas políticas se configuran en la opción de menú Si hubiera un NAT entre el nodo BQN y los
Configuration->Subscriber Monitoring->Policies. clientes reales, los subscriptores cuya dirección IP
de acceso se tradujera a una única dirección IP se
Ver en la sección, Identificación de un Subscriptor,
considerarían como un solo subscriptor.
cómo se identifica el tráfico de un mismo subscriptor.
Un nuevo subscriptor se identifica cuando se recibe
Reglas su primer paquete de datos IP. En ese momento, se
Las reglas especifican qué políticas se asignan a cada evalúan las reglas tanto de caudal por subscriptor
subscriptor y flujo, en función de cómo satisfacen los como de monitorización, para elegir qué políticas
perfiles de las reglas. aplicar en cada caso
Hay un conjunto de reglas independientes por cada Árbol de Decisión de Flujos por
tipo de política: las reglas de flujo por subscriptor Subscriptor (Subscriber Flow)
seleccionan la política de flujo (Subscriber Flow)
apropiada para cada flujo, las reglas de caudal por La evaluación de las reglas de flujos por
subscriptor, la política de caudal (Subscriber Rate) subscriptores es como sigue: cuando se crea un
para cada subscriptor y, del mismo modo, las reglas nuevo flujo de tráfico (por ejemplo, una conexión
de monitorización por subscriptor, la política de TCP), los perfiles en el conjunto de reglas de flujo por
monitorización (Subscriber Monitoring) de cada subscriptor se comprueban para determinar si el
subscriptor. flujo satisface alguno de ellos y establecer la política
de flujo a aplicar.
Una regla puede utilizar un perfil de cada tipo (o
alternativamente, la opción any si ese tipo de perfil le Por eficiencia, los perfiles se evalúan en este orden
es indiferente), y define una y solo una política a predefinido:
aplicar. 1. Interfaz (Interface)
Cada conjunto de reglas puede tener varias, pero 2. VLAN
solo una regla es la mejor coincidencia y será la 3. Internet
elegida para un subscriptor o flujo. Para evaluar las 4. Acceso (Access)
reglas de un modo que maximice el rendimiento, los 5. DPI
perfiles se comprueban en orden. Este orden 6. Caudal (Throughput)
predefinido determina qué regla se elige finalmente. El orden de evaluación de perfiles define un árbol de
Una vista en árbol de las reglas ayuda a identificar la decisión, cuyos nodos son los diferentes perfiles y
regla seleccionada en cada caso. Ver las secciones de con las políticas como hojas. El árbol determina qué
Árbol de Decisión para ver detalles de dichos árboles y regla es finalmente seleccionada, porque una regla
del orden de evaluación de los perfiles. puede verse excluida si pertenece a una rama del
No se usan prioridades de regla configuradas árbol que no se sigue durante la evaluación. Puede
manualmente por las penalizaciones de rendimiento ocurrir que un flujo satisfaga más de una regla. En
que implican y porque cargan al operador con la ese caso, la regla que satisface el perfil de Interfaz
responsabilidad de mantener consistentes las tendrá prioridad sobre una que satisfaga un perfil de
prioridades. VLAN, y así sucesivamente, en el orden especificado
más arriba.
Las reglas de flujo por subscriptor se configuran en
la opción del menú Configuration-> Subscriber Flows- Si dos reglas satisfacen el mismo tipo de perfil, la de
>Rules, las reglas de caudal por subscriptor en perfil más restrictivo tiene precedencia. Por ejemplo,
Configuration->Subscriber Rate->Rules y las reglas de un flujo de un subscriptor con dirección IP
monitorización por subscriptor en Configuration- 192.168.0.1 satisface tanto un perfil de acceso con el
>Subscriber Monitoring->Rules. rango 192.168.0.0/24 y como otro perfil de acceso con
8
bequant Guía Rápida
el rango 192.168.0.0/16, pero será la primera regla, la Árbol de Decisión de Monitorización
asociada al perfil de rango más restrictivo, la (Subscriber Monitoring)
seleccionada.
La evaluación de las reglas de monitorización por
Para facilitar la comprensión de este orden, la GUI subscriptor se realiza cuando se detecta un nuevo
incluye una representación gráfica del árbol de subscriptor. Se evalúan los perfiles para determinar
decisión, donde el camino coincidente situado más los que se cumplen para dicho subscriptor, y de ese
arriba llevará a la política seleccionada (excepto modo se determina qué política de monitorización le
cuando hay más de una política seleccionada en el corresponde. Por un motivo de eficiencia, los perfiles
mismo tipo de perfil, cuando la más restrictiva se se evalúan en el siguiente orden predeterminado:
impone). Es accesible en Configuration->Subscriber
1. Interfaz (Interface)
Flows->Rules pulsando la pestaña de Tree View.
2. VLAN
3. Acceso (Access)
4. Caudal (Throughput)
En las reglas de monitorización, no pueden usarse
perfiles del tipo Internet y DPI ya que dichos perfiles
no tienen sentido en políticas que se aplican a todo el
tráfico de un mismo subscriptor, sea de la aplicación
que sea.
El árbol de decisión es similar al de flujos por
subscriptor. Se accede en Configuration->Subscriber
Si hay elementos comunes en dos perfiles del mismo Monitoring->Rules pulsando la pestaña Tree View.
tipo, y por tanto un conflicto, el árbol de decisión lo
señalará para dar la oportunidad al operador de Ejemplos de Políticas
revisar las reglas y corregir el conflicto. A continuación, se muestran algunos ejemplos
habituales de políticas.
Árbol de Decisión de Caudal por
Límite de Velocidad de Ciertas Aplicaciones
subscriptor (Subscriber Rate)
El objetivo es reducir el caudal de red de pico para
La evaluación de las reglas de limitación de caudal
mitigar la congestión durante la hora cargada. Para
por subscriptor se realiza cuando se detecta un
ello, se define un perfil de DPI (en este ejemplo,
nuevo subscriptor. Se evalúan los perfiles para
video) para identificar las aplicaciones a limitar (ej.
determinar los que se cumplen para dicho
video-streaming). Este ejemplo utiliza las firmas
subscriptor, y de ese modo se determina qué política
predefinidas de streaming. Para incluirlas, en Add DPI
de limitación de velocidad le corresponde. Por un
profile, seleccionar Add Predefined Signatures y elegir
motivo de eficiencia, los perfiles se evalúan en el
la firma predefinida video-streaming.
siguiente orden predeterminado:
Por otro lado, se crea un perfil de caudal con la carga
1. Interfaz (Interface)
a partir de la cual aplicar la política (high-throughput
2. VLAN
en este ejemplo). Se crea una política de flujos por
3. Acceso (Access)
subscriptor (flow-8Mbps en el ejemplo) con un límite
4. Caudal (Throughput)
de bajada (Downlink shaping) fijado a 8 Mbps.
En las reglas de limitación de caudal por subscriptor, Finalmente, el perfil de DPI, el de caudal y la política
no pueden usarse perfiles del tipo Internet y DPI ya de flujo se asocian por medio de una regla de
que dichos perfiles no tienen sentido en políticas que políticas de flujo.
se aplican a todo el tráfico de un mismo subscriptor,
sea de la aplicación que sea.
El árbol de decisión es similar al de flujos por
subscriptor. Se accede en Configuration->Subscriber
Rates->Rules pulsando la pestaña Tree View.
9
bequant Guía Rápida
Bloqueo de Aplicaciones
En este escenario, algunas aplicaciones necesitan ser
bloqueadas, por ejemplo, servidores que son el Esta configuración es equivalente a la lista negra de
origen de ataques. Para hacerlo, se crea un perfil de direcciones IP de la Release 3 del BQN.
Internet (malicious-apps en el ejemplo) para identificar
Otro ejemplo sería usar un perfil de Internet para
las direcciones IP a bloquear. A continuación, se
excluir algunas aplicaciones por su puerto TCP.
define una política de flujo por subscriptor con una
acción de bloqueo (llamado flow-block en el ejemplo) Implementación de Planes de Subscriptores
y, finalmente se combinan un perfil de Internet y una El objetivo es aplicar los límites de velocidad
política de flujo por subscriptor en una regla de flujo. contratados por cada subscriptor en su plan.
El BQN aplica estos límites mejor que elementos
convencionales de shaping porque, para el tráfico
TCP (el mayoritario), no necesita descartar paquetes.
Más aún, utiliza colas independientes por flujo, lo
que independiza las latencias de cada aplicación y
mejora enormemente la experiencia de las
aplicaciones interactivas. La siguiente imagen
muestra la estructura de colas, con una cola por fujo
y un control de políticas a nivel de flujos y de
subscriptores.
10
bequant Guía Rápida
por medio de tres reglas. Cada perfil de acceso Tras un tiempo, se puede ir a la sección de análisis
consiste en la lista de rangos de IP pertenecientes a (Statistics->DPI Analysis) y filtrar las gráficas por la
cada plan. dirección IP del subscriptor.
Monitorización de Ataques de Red de DoS
El objetivo es identificar los subscriptores que sufren
ataques de DoS.
Por ejemplo, en las políticas de caudal por
subscriptor del ejemplo anterior, se añade la sección
DoS con umbrales apropiados a la detección de
ataques de tipo SYN y volumétricos.
11
bequant Guía Rápida
60ms para MEDIUM RTTi y más de 60ms para
LARGE RTTi.
12
bequant Guía Rápida
9. Analíticas
10. DoS
El BQN muestra la composición actual del tráfico por
servicio seleccionado Statistics->DPI Analysis->Total El nodo detecta ataques de denegación de servicio.
Volume per Service. Para ello hay que definir una política de caudal por
subscriptor que defina los umbrales de DoS. Los
flujos del tráfico deben estar optimizado o bien en
tracking para poder detectar eventos de DoS
Los eventos de DoS se muestran en Statistics->DoS
Attacks. En Details of Attacks se listan los eventos, en
SYN Attacks los de tipo SYN y en Volume Attacks los
volumétricos. En Dos Attacks Over Time se muestran
13
bequant Guía Rápida
contadores de distintos tipos de ataques a lo largo tras algunos segundos durante los cuales hay
del tiempo. pérdida de servicio.
14