Curso Selectivo Perfil Seguridad

TEMA 6

Calidad de Servicio

Calidad de Servicio en Redes VPN

Introduccin Conceptos previos Mecanismos especficas La compresin de datos Herramientas Flujos concurrentes DMVPN El Modular QoS CLI de Cisco Creacin de polticas QoS con CLI Creacin de polticas anidadas Criterios de clasificacin Ejemplos de diseo

Introduccin
Control de ancho de banda Policers
Bajo consumo de memoria Modelado de trfico en diente de sierra Permite medir velocidad y marcar trfico Cuando se usa como modelador de trfico, produce prdida de paquetes

Token-Bucket
Medicin de velocidad Eliminacin de paquetes

Shapers
Mayor consumo de recursos Modelado de trfico lineal No elimina paquetes

Mecanismos especficos

Cuando las necesidades de calidad de servicio son muy crticas, especialmente para trfico iscrono, es necesario recurrir a mecanismos de reserva estricta. RSVP
Resource Reservation Protocol
Reserva recursos en la red para flujos de datos unidireccionales

LFI
Fragmentacin a nivel de enlace. Diseado especialmente para enlaces serie con mPPP

Compresin de datos

Definicin:

La compresin de datos reduce el tamao de las tramas sobre un enlace. De este modo se reduce el tiempo necesario para transmitir dicha trama. Utiliza un esquema de compresin a ambos lados del enlace, que permite eliminar caracteres de datos en la parte del emisor y reponerlos en el receptor

Caractersticas:

Produce enlaces de velocidad variable Consumo de recursos Las tcnicas utilizadas estarn basadas en el uso de diccionarios

Tipos:

De cabeceras Stacker

IP/UDP cRTP 40:4 TCP Van Jacobson 40:3

Predictor

Basado en el algoritmo Lempel-Ziv. Utiliza un diccionario codificado que sustituye secuencias repetidas de caracteres Intenta predecir la prxima secuencia de caracteres en la corriente de datos utilizando un ndice para localizar la secuencia en el diccionario de compresin. Mayor consumo de memoria y menor consumo de CPU. El ms rpido. Funciona solo sobre PPP Basado en el algoritmo Lempel-Ziv La longitud mxima de un datagrama MPPC es similar al MTU de la interfaz PPP, con la condicin de no superar los 8192 bytes, puesto que ese es el tamaoi del buffer histrico

MPPC

Compresin de datos
Interfaces soportados FRF.9, para Frame Relay LAPB (Link Access Procedure Balanced) HDLC (High-Level Data Link Control) X.25 PPP (Point-to-Point Protocol) con LZS, Predictor, y MPPC (Microsoft Point-to-Point Compression) ISAKMP La compresin no siempre puede ser idnea, pudiendo verse

afectada por:

La falta de estndares. Ambos extremos deben operar con el mismo algoritmo Tipos de datos
Algoritmos similares puede producir ratios de compresin diferentes. Ciertos tipos de datos pueden ser menos comprimibles que otros, pudindose alcanzar ratios de 6:1, aunque los promedios por regla general suelen estar en 2-3:1

Datos ya comprimidos Capacidad del procesador

Compresin de datos
Compresin de datos encriptados Tradicionalmente, la compresin de datos siempre ocurre a nivel 2 y la encriptacin a nivel3 Los datos encriptados no pueden ser comprimidos, debido a que por definicin no producen patrones repetitivos LZS enviar los datos encriptados sin comprimir, ya que el algoritmo aumentara el volumen de los datos

La solucin a este problema es comprimir a nivel 3 mediante un protocolo conocido com IPComp, antes del proceso de cifrado. IPComp se encuentra definido en la RFC 2393, y se negocia en la fase ISAKMP de IPsec. Aunque puede ser negociado, se utiliza normalmente el algoritmo de compresin LZS

Herramientas

Nistnet
Es un software de emulacin de red, que funciona sobre plataforma Linux. Permite reproducir de forma controlada situaciones reales de comportamientos de red con el objetivo de poder evaluar aplicaciones IP sensibles a determinados parmetros, como: Retardos o latencias Ancho de banda Prdidas de paquetes

Herramientas

NistNet
Software de libre distribucin: http://snad.ncsl.nist.gov/itg/nistnet/ Utilizado para la elaboracin del modelo QoS QUASIMODO (1999)

Linux + NistNet

Servidor (iperf,ttcp)

LAN 2

WAN

LAN 1

Servidor (iperf,ttcp)

Flujos Concurrentes en DMVPN

Dos tipos de trfico: IPSEC
GRE Aplicaciones corporativas Correo corporativo
Ethernet0/1
R1 10.1.0.0/16

NO IPSEC
Navegacin Servicios Internet
Internet

ADSL

ADSL
R3

ADSL

R5

10.2.0.0/16

10.3.0.0/16

ADSL
Serv. Correo Local R4

10.3.0.0/16

Mecanismos de clasificacin en VPN

Por campo de precedencia

P2 P1 P0

Campo Tos
T2 T1 T0 CU1 CU0

Por campo DSCP

Campo DSCP o DiffServ

DS5 DS4 DS3 DS2 DS1 DS0 CU1 CU0

Herencia de los bits QoS en las cabeceras de tnel GRE e IPSEC

Vers. IHL TOS

TOS Flag Protocolo

Longitud Total Offset Suma de control Direccin Destino GRE/IPSEC

Vers. IHL TOS

TOS Flag Protocolo

Longitud Total Offset Suma de control Direccin Destino Datos

Identificacin Direccin Origen

Identificacin Direccin Origen

Mecanismos de clasificacin en VPN

Qos pre-classify El encaminador crea una copia de la cabecera interior, y ejecuta su poltica QoS basada en los campos de dicha cabecera. Sin esta caractersitica, el dispositivo de clasificacin de paquetes solo puede ver un nico flujo encriptado, puesto que los paquetes que atraviesan el mismo tnel tienen las mismas cabeceras y reciben el mismo tratamiento en el evento de congestin Si se desea clasificar paquetes conforme a la cabecera interior, se debe aplicar la poltica sobre la interfaz Tunel, sin el comando qos pre-classify Si se desea clasificar paquetes conforme a la cabecera externa, se debe aplicar la poltica sobre la interfaz fsica sin el comando qos pre-classify Si se desea una clasificacin basada en la cabecera interna, y luego aplicarla sobre la interfaz fsica dado que puede ser un punto de congestin, es necesario habilitar el comando qos pre-classify

El Modular Qos CLI de Cisco

El Modular QoS CLI permite al usuario la especificacin de clases de trfico independientemente de las polticas QoS utilizadas Para su configuracin se utiliza una interfaz en modo comando (CLI y command line interface)

Para su implementacin es necesario realizar tres pasos:

Definir una clase de trfico, mediante el comando class-map Crear una poltica de servicio asociando la clase definida, a una o varias polticas QoS, mediante el comando policy-map. Enlazar la poltica de servicio a la interfaz correspondiente mediante el comando service-policy

Modular Qos CLI, class-map

class-map El comando class-map, se utiliza para definir una clase de trfico. Dicha clase debe contener tres elementos:
Un nombre Una serie de comandos match Una instruccin que indique cmo evaluar dichos comandos

Ejemplos:
class-map match-any hack match protocol http url "*/cmd.exe*" match protocol http url "*winnt/system*" match protocol http url "*WINNT/* class-map match-all Masivo match access-group 119 class-map match-all Congestion match precedence 5

Modular Qos CLI, policy-map

policy-map El comando policy-map se utiliza para asociar una clase de trfico, definida mediante el comando class-map, con una o ms polticas QoS. El resultado de esta asociacin se denomina poltica de servicio. Una poltica de servicio debe contener tres elementos:
Un nombre Una o varias clases de servicio Polticas QoS

Ejemplos:

policy-map CONGESTION class class-default police cir 1750000 conform-action transmit exceed-action set-prec-transmit 5 violate-action set-prec-transmit 5 policy-map nivel class AppGtt priority percent 50 22000 class Interactivo bandwidth percent 17 class Masivo bandwidth percent 7 class class-default bandwidth percent 1

El comando priority permite establecer una reserva estricta de caudal (trfico iscrono) El comando bandwith establece reservas no estrictas, permitiendo un mejor uso del canal para trfico de datos no iscrono

Modular Qos CLI, service-policy

service-policy El comando service-policy se utiliza para aplicar la poltica de servicio a la interfaz. Los clculos de ratios y anchos de banda se realizan conforme a la capacidad de la interfaz. La suma de reservas de caudal mediante los camandos priority y bandwith no pueden superar el 75% de la capacidad de la interfaz. Ejemplos:
interface Ethernet0/0 service-policy input CONGESTION service-policy output GLOBAL0 interface e1/1 service-policy output poliUA1 interface FastEthernet0 ... service-policy input MARK service-policy output GLOBAL1 ... !

Modular QoS CLI, polticas anidadas

Polticas anidadas Uso del comando service-police
Router(config)# policy-map child Router(config-pmap)# class voice Router(config-pmap-c)# priority 50 Router(config)# policy-map parent Router(config-pmap)# class class-default Router(config-pmap-c)# shape average 10000000 Router(config-pmap-c)# service-policy child

Ejemplo con policer:

Modular Qos CLI, ejemplos

Control de congestin remota para trfico ascendente:

policy-map nivel class AppUA priority percent 50 22000 class Interactivo bandwidth percent 17 class Masivo bandwidth percent 7 class class-default bandwidth percent 1 policy-map GLOBAL1 class Avila shape average 128000 service-policy nivel class Ferrol 10.2.0.0/16 shape average 128000 service-policy nivel class Pobla shape average 128000 service-policy nivel class slowboy police cir 48000 bc 5250 be 10500 conform-action transmit exceed-action drop

10.1.0.0/16

Ethernet0/1
R1 Service-policy output GLOBAL1

on g

tro

ld

ec

Co

Co

nt ro

ol d nt r

es ti n

ld

ota em nr sti ge con

mo ta

re

Avila
R3

Co n

co ng e

Pobla

sti

Frame-Relay 8Mbps

10.3.0.0/16

Ferrol
Serv. Correo Local R4

10.3.0.0/16

re m ot

R5

Rate-Limit

Los rate-limit de Cisco permiten implementar polticas basadas en policers. Su aparicin en IOS es anterior a MQC y se utilizan en aquellos interfaces que an no soportan MQC, o en enrutadores con recursos muy limitados. Ejemplo:

interface Tunnel0 ... rate-limit output 64000 1875 3750 conform-action transmit exceed-action continue rate-limit output access-group 115 8000 1875 3750 conform-action transmit exceed-action transmit rate-limit output access-group 109 8000 1875 3750 conform-action transmit exceed-action transmit rate-limit output 24000 1875 3750 conform-action transmit exceed-action drop ... tunnel source ATM0.1 tunnel mode gre multipoint tunnel key 12213 tunnel tos 2 tunnel protection ipsec profile VpnUA ! interface ATM0.1 point-to-point ip nat outside ... rate-limit output 64000 1875 3750 conform-action transmit exceed-action continue rate-limit output access-group 114 8000 1875 3750 conform-action transmit exceed-action transmit rate-limit output 48000 1875 3750 conform-action transmit exceed-action drop !
access-list 109 remark Control Remoto QoS access-list 109 dynamic QoSUpOff permit ip any any

access-list 114 remark para distinguir el trafico que proviene del tunel (tunnel tos 2) access-list 114 permit ip any any tos min-monetary-cost access-list access-list access-list access-list access-list 115 115 115 115 115 dynamic Up3 permit ip any any permit tcp 10.0.0.0 0.255.255.255 10.1.1.0 0.0.0.255 range 7020 7030 permit tcp 10.1.1.0 0.0.0.255 range 7020 7030 10.0.0.0 0.255.255.255 permit tcp host 10.1.1.14 10.0.0.56 0.255.255.7 eq cmd permit tcp 10.0.0.56 0.255.255.7 eq cmd host 10.1.1.14

Cisco 2651

W1 100 Mbps LINK FDX 100 Mbps LINK FDX

W0

W1 100 Mbps LINK FDX 100 Mbps LINK FDX

W0

10/100 ETHERNE T 0/1 10/100 ETHERNE T 0/1 10/100 ETHERNET 0/0 CONSOLE AUX

10/100 ETHERNET 0/0

CONSOLE

AUX

Kb

ps

s Kbp

bps

12 8

K 128

512

2000 Kbps

2000 Kbps

Ejemplo con control QoS local y remoto

CONGESTION class default policer 1500000 set prec 5

Internet

51 2K
W0 LINK FDX 10/100 ETHERNET 0/0 CONSOLE AUX

bp s

Cisco 2651

ISP
W1

100 Mbps

nivel class AppUA priority 50% 22000 class Interactivo bandw 17% class Masivo bandw 7% class default bandw 1% GLOBAL0 pre 5 class Congestion shape 1500000 nbar class hack drop 2054 class slowboy police 48000 2052 class Avila shape 256 sp nivel 2060 class Zaragoza shape 256 sp nivel 2061 class Logro shape 256 sp nivel 2058 class Ferrol shape 256 sp nivel ... class default shape 550000 sp nivel

nivel class AppUA priority 50% 22000 class Interactivo bandw 17% class Masivo bandw 7% class default bandw 1% GLOBAL1 prec 5 class Congestion shap 1500000 nbar class hack drop 2064 class slowboy police 48000 2052 class Avila shape 128000 sp nivel 2060 class Zaragoza shape 128000 sp nivel 2061 class Logro shape 128000 sp nivel 2058 class Ferrol shape 128000 sp nivel ... class default shape 128000 sp nivel

eth0

rQos
W1 100 Mbps LINK FDX W0 10/100 ETHERNET 0/0 CONSOLE AUX

eth1

Cisco 2620

Cisco 2620

CONGESTION class default policer 1500000 set prec 5

Central

Referencias

Cisco Modular Quality of Service Command-Line Interface Overview

http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120limit/120xe/ 120xe5/mqc/mcli.htm#wp1019660

Modular QoS CLI (MQC) Three-Level Hierarchical Policer

http://www.cisco.com/en/US/products/sw/iosswrel/ps1839/products_feature_guide09186a00801 10bcd.html

Reference Guide to Implementing Crypto and QoS http://www.cisco.com/warp/public/105/crypto_qos.html National Institute of Standards and Technology
http://snad.ncsl.nist.gov/itg/nistnet/

Curso Selectivo Perfil Seguridad

FIN Tema 6