HCIP SEGURIDAD UPLINK SELECTION APLICACION Y ESCENARIOS

Última respuesta ag. 20, 2019 14:29:53 60 1 1 1

Muy buenas noches a todos.

Antes de pasar de lleno al post, los invito a que visiten un post previo que da una breve introducción a lo que se hablará a continuación

https://forum.huawei.com/enterprise/es/hcip-seguridad-principios-de-uplink-selection/thread/560011-100233


Ahora bien, ya que tenemos el antecedente, iniciemos:


 

INTELLIGENT UPLINK SELECTION: ESCENARIOS Y APLICACIONES


Muchos escenarios adversos dentro del ruteo pueden resolverse aplicando de manera correcta UPLINK SELECTION:


·        POLÍTICA GLOBAL DE SELECCIÓN DE RUTA

§  Si el firewall tiene múltiples caminos que tiene un mismo costo (Equal Cost Multi-Path/ECMP) la política global de selección de ruta puede seleccionar de manera dinámica una interface de salida basándose en el ancho de banda, la calidad, los pesos y las prioridades e cada enlace. Esto maximiza el uso de los recursos del enlace y mejora la experiencia de acceso a internet del usuario.

 

·        POLICY-BASED ROTING (PBR)

§  PBR es un mecanismo que permite que los datos sean reenviados basándose en políticas configuradas.

 

·        SELECCIÓN DE ENLACE DEL ISP

§  Esta función asegura que el tráfico con la dirección de algún carrier en específico sea reenviado a través de la interface de salida correspondiente.

 

·        HEATLH CHECK

§  El firewall puede detectar los cambios de estado de los servidores y los enlaces, asegurando que la transmisión del tráfico no se vea afectado por la falla en algún servidor o enlace


BALANCEO DE CARGA BASADO EN LA CALIDAD DEL ENLACE.


·        En el balanceo de carga basado en la calidad del enlace, el firewall envía 5 paquetes de prueba hacia un dispositivo específico en cada rede de algún ISP determinado.

 

Observemos la imagen:

Ø La frecuencia de pérdida de paquetes de los Proveedores ISP1, ISP2 e ISP3 es 0, 40% y 100% respectivamente. Entonces, el firewall determina que el enlace del ISP 1tiene la más alta calidad y de manera preferente, usa este enlace para reenviar el tráfico a menos que se pruebe mediante los paquetes de prueba que este enlace está fuera.


215311hgz6mnmyq5vmqemn.png?image.png


·        Si una empresa tiene múltiples enlaces con distintos ISP, el firewall necesita ajustar de manera dinámica la distribución del tráfico basándose en la transmisión del tráfico en tiempo real, tomando en cuenta la calidad de cada uno para asegurar una experiencia de calidad Premium. En este caso, se puede utilizar balanceo de carga basado en la calidad del enlace.


·        De manera presencial, el firewall utiliza el enlace con la calidad más alta para reenviar el tráfico. Los tres parámetros para determinar la calidad del enlace son: frecuencia de pérdida, retardo y bíter. Es posible configurar uno o más de estos tres parámetros de acuerdo a las necesidades. Entre estos tres parámetros, la  frecuencia de pérdida de paquetes es el más importante. Si los 3 parámetros son diferentes entre dos enlaces, el firewall considera que el enlace con la frecuencia de pérdida más baja tiene la mejor calidad.


·        El firewall guarda una tabla de calidad de enlaces que graba los resultados de este cuando son probados.  Después de recibir el tráfico, el firewall verifica si ese tráfico puede  reenviarse basándose en las entradas que tiene almacenadas en la tabla. Si no le es posible hacerlo, el firewall inicia una sección basada en la calidad den enlace y responde al tráfico basándose en el ancho de banda del enlace. El firewall calcula el valor de cada parámetro basándose en la respuesta de los paquetes de prueba.  Detallemos entonces los tres parámetros que se toman en cuenta:


Ø PACKET LOSS RATIO: después de mandar múltiples paquetes de prueba, el firewall cuenta el número de paquetes desechados y calcula la frecuencia de pérdida. La frecuencia de pérdida es el número de paquetes que se han recibido contra el número de paquetes que se enviaron.


Ø DELAY: el delay o retardo, es calculado basado en la fórmula: Delay= tiempo de respuesta en el que el paquete es recibido – el tiempo en el que un paquete es enviado. Después de mandar N cantidad de paquetes de prueba, se calcula el retardo de cada paquete, y se  usa un valor promedio de N cantidad de muestras como el valor final.


Ø JITTER: el jitter es el valor absoluto que corresponde al valor entre el retardo entre dos paquetes de prueba. Después de que el firewall envía N paquetes de prueba, se calcula este valor absoluto entre dos de los paquetes enviados, y el promedio resultante es usado como el valor del jitter.


·        Después de que se configura un umbral para la protección contra la sobrecarga por cada enlace, si el enlace del ISP1 alcanza este umbra, este enlace será excluido por parte de intelligent UPLINK SELECTION. EN ESTE CASO, EL FIREWALL va a seleccionar otro link, aquel que cumpla con la más alta calidad, para poder realizar el reenvío de los paquetes subsecuentes.


BALANCEO DE CARGA BASADO EN PESO DEL ENLACE.


·        En la imagen ejemplificaremos este caso: el firewall tiene 3 interfaces de salida que corresponden a tres ISP´s diferentes. Los pesos del ISP1, ISP2 e ISP3 son 5, 3 y 2 respectivamente y su frecuencia de peso es 5:3:2. Después d que el firewall reenvía el tráfico por un cierto período, los históricos del reenvío de tráfico transmitido en cada enlace serán 50%, 30% y 20%.

215444ytymucp397hs3tuv.png?image.png

·        Si una empresa tiene diferentes enlaces de diferentes ISP´s con diferente desempeño, se puede seleccionar el de mejor desempeño para asegurar la mejor experiencia de acceso a internet y maximizar el uso de los otros enlaces. En este caso, se utiliza balanceo de carga basado en el peso del enlace.


·        Generalmente, cuando se configuran los pesos en las interfaces del firewall, se necesita considerar varios factores, tales como el ancho de banda, el retardo en el envío y la renta de cada enlace. El enlace con el mejor desempeño no solo tiene la más alta velocidad para reenvío, sino también cumple con las más altas expectativas de la empresa. Por consiguiente, se necesita configurar un peso apropiado para cada enlace basándose en las condiciones actuales. Entonces, el firewall distribuye el tráfico hacia cada enlace con base a la frecuencia de pesos. El enlace con el peso más alto reenvía más tráfico, y por consiguiente, el de menos peso reenvía menos tráfico.


·        Para asegurar que los enlaces no se sobrecarguen, se puede configurar una protección de sobrecarga colocando un umbral (por ejemplo, configurar un umbral de 90% en cada enlace), cuando el uso de alguno de los enlaces sobrepase el umbral configurado, el firewall no distribuirá el tráfico sobe tal enlace, sino que busca otro enlace para implementar el esquema de pesos, si todos los enlaces se sobrecargan, el firewall continúa distribuyendo el tráfico basado en los pesos de todos los enlaces.


RESPALDO ACTIVE/STANDBY BASADO EN PRIORIDAD DEL LINK


Observemos la siguiente imagen como escenario.

·        El firewall tiene tres enlaces de salida que pertenece a diferentes proveedores de servicio de internet (ISP´s).  Las prioridades son 8, 6 y 2. El proveedor 1 tiene la más alta prioridad, y por lo tanto en firewall lo utiliza para reenviar el tráfico. Si el uso de este enlace excede los el umbral de protección de sobrecarga, el firewall selecciona el enlace con la mejor calidad dentro de los dos restantes pata reenviar el tráfico subsecuente.


215535ziv2eld02dp9rtop.png?image.png


·        Si una empresa tiene varios enlaces con diferentes proveedores, y estos enlaces tienen diferentes anchos de banda, retrasos en el envío y diferentes rentas, se puede usar determinado enlace para transmitir el tráfico y el resto de los enlaces para respaldo o bien, para balanceo de carga y mejorar la confiabilidad del servicio. En este caso, se habla de respaldo a través de active/standby.


·        Después de que se configura propiamente una prioridad para cada interface, la interface con  la prioridad más alta se toma como la interface activa, y el resto de las interfaces son interfaces de respaldo. Por preferencia, el firewall usa la interface activa para reenviar el tráfico. Si no se especifica o no se configura la protección contra sobrecargar, el firewall no usará las interfaces de respaldo, incluso si el enlace se sobrecarga. La interface de respaldo con la más alta prioridad se usa en lugar de las interface activa solo en caso de que esta última falle. El resto de las interfaces de respaldo, aún son usadas como respaldo. Esto es llamado en concreto, un escenario basado en respaldo en active/standby.


·        Para mejorar la confiabilidad y la capacidad de carga, se puede configurar un umbral de protección contra sobrecarga en cada interface que contenga un enlace. Si la interface actica se sobrecargar, el firewall utiliza la interface de respaldo con la más alta prioridad para compartir la carga de tráfico con la interface activa. Si las dos interfaces están sobrecargadas, la interface con mayor prioridad dentro del resto de la interfaces será usada para reenviar el tráfico. Este es un escenario típico de balanceo de carga.




Hasta aquí este post, como puedes ver, es un compenio de basta información que ayuda a entender como funciona esta funcionalidad del equipo USG6000, una de las tantas funcionalidades que HUAWEI posee. No olvies colocar tu comentario, compartir y dejar tu ♥





  • x
  • convención:

Gustavo.HdezF
Moderador Publicado 2019-8-20 14:29:53 Útil(0) Útil(0)
Muy interesante tema y como se observa hay diferentes variantes que ayudan a cubrir diferentes escenarios de operación. Gracias por compartir. Saludos.
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión