La conexión ISP es el enlace más utilizado en una red educativa. Para controlar el uso del ancho de banda del enlace ISP es necesario combinar hardware y software que puedan realizar una inspección de paquete por paquete a velocidad de línea. Cisco SCE procesa el tráfico de red a nivel de aplicaciones y de usuarios con circuitos integrados dedicados específicos de aplicaciones (ASIC) y software que se ha comprobado en las redes de alta velocidad más exigentes. El sistema, implementado en la conexión ISP de la institución, realiza una inspección profunda de paquetes con información de estado, que clasifica cada actividad de la red en transacciones y sesiones de aplicaciones y de usuarios, respectivamente. La solución aplica una variedad de mecanismos de control del ancho de banda para implementar las políticas institucionales por cada clase de tráfico y garantizar el comportamiento adecuado en la red.

Calidad de servicio (QoS) de extremo a extremo

Es indispensable que cualquier solución de control del ancho de banda cuente con la capacidad para aplicar mecanismos de QoS. Estos mecanismos controlan el ancho de banda de determinados usuarios y asignan prioridad al tráfico para asegurar el adecuado procesamiento de las aplicaciones sensibles a retardos. Las funciones QoS son vitales para transportar tráfico IP de voz y video sensible a retardos por el enlace ISP de una institución, y para limitar la velocidad del tráfico P2P recreativo.

Cisco SCE utiliza tres niveles de QoS:

• Control jerárquico de ancho de banda: Cisco SCE proporciona un control granular del ancho de banda, ya que asigna una parte del ancho de banda de un enlace a grupos de flujos de aplicaciones específicas. Los departamentos de TI de las instituciones pueden definir estos grupos según categorías tales como “todo el tráfico P2P”, “tráfico de navegación y streaming”, “todo el tráfico saliente de la red”, etc. Asimismo, las instituciones pueden utilizar Cisco SCE para aplicar prioridades y límites mínimos y máximos de ancho de banda a todo el tráfico generado por un determinado usuario, así como a aplicaciones específicas (navegación, videojuegos, etc.) que utiliza el usuario. Estos mecanismos avanzados se utilizan por niveles.


• Colas de servicios diferenciados (DiffServ): las aplicaciones de Internet utilizan DiffServ para garantizar que se asigne prioridad a los paquetes de aplicaciones sensibles a retardos respecto de otros paquetes. Cisco SCE incluye colas de transmisión compatibles con DiffServ mediante el tipo “Best Effort Forwarding" (Reenvío del mejor esfuerzo), cuatro niveles de “Assured Forwarding" (Reenvío asegurado) y el tipo “Expedited Forwarding” (Reenvío acelerado) para aplicaciones sensibles a retardos.


• Marcado de DiffServ: las funciones avanzadas de clasificación de Cisco SCE pueden utilizarse para marcar el byte IP de tipo de servicio (ToS)/punto de código DiffServ (DSCP) del tráfico relacionado. Puede marcarse cada flujo o grupo de flujos con un valor DiffServ pertinente según la aplicación o el servicio. El dispositivo de capa 3 del próximo salto, por ejemplo un switch o un router, utiliza este marcado para transportar el tráfico sensible a retardos según corresponda. En consecuencia, Cisco SCE, un componente fundamental de la solución Cisco de control de ancho de banda, representa el elemento de red ideal para clasificar y marcar el tráfico de aplicaciones para otros elementos de la red habilitados para DiffServ.

El hardware y software específicos de Cisco SCE se diseñaron y optimizaron para funcionar en enlaces de alta capacidad de procesamiento y entornos de alta capacidad de flujo, como por ejemplo grandes universidades y distritos escolares. La solución puede mantener mecanismos confiables de control jerárquico del ancho de banda y procesos de marcado y gestión de colas DiffServ, además de funcionar en enlaces Ethernet multi-gigabit y OC-48 que transportan millones de flujos IP.

Clasificación con información de estado mediante Cisco SCE

El core del Cisco SCE es el avanzado diseño específico del hardware que permite reconocer aplicaciones con información de estado y controlar el tráfico de la red a velocidad wirespeed. El core de hardware programable del sistema ofrece el equilibrio ideal de rendimiento y flexibilidad que se necesita para las redes educativas de alta velocidad.

A fin de clasificar realmente el tráfico de la red por aplicación (HTTP, SIP [Session Initiation Protocol], Kazaa, etc.), servicios (navegación local, P2P fuera de la red, etc.), o contenido y destino, Cisco SCE efectúa un análisis de estado bidireccional, multiflujo de las sesiones de aplicaciones. La solución mantiene el estado del flujo bidireccional al controlar las dos direcciones (de cliente a servidor y de servidor a cliente) de un microflujo de la red como contexto único. También controla los mensajes IP relacionados con un determinado flujo.

Por ejemplo, la solución:

• Relaciona todos los paquetes de una conexión TCP.
• Relaciona una determinada petición de recursos HTTP (“GET”) con una respuesta HTTP del servidor web (“200 OK”).
• Identifica una comunicación de intercambio de archivos P2P mediante la identificación del intercambio de mensajes de petición de archivo de los servants P2P.
• Distingue un conjunto de paquetes UDP (User Datagram Protocol) como parte de una determinada sesión de streaming de multimedia.

En muchas sesiones IP, el protocolo de señales (que se utiliza para iniciar, nivelar y controlar la sesión) y los datos reales (el archivo o el flujo de video o audio) se transmiten en un flujo separado. Por lo tanto, una misma sesión de aplicaciones puede incluir un flujo de control TCP y varios flujos TCP, UDP o RTP (Real-Time Transport Protocol) para el contenido o los datos reales. Estos flujos de contenido o datos (y sus números de puerto) se negocian en tiempo real en el flujo de control. Cisco SCE rastrea dinámicamente el intercambio de mensajes en el flujo de control para enlazar los flujos de contenido y datos con el flujo de control, y aplica una política coherente de control de ancho de banda y QoS a estos paquetes de flujos.

Además, Cisco SCE puede mantener el estado de distintos usuarios mediante los enlaces de la red en los que reside. Esta función es crucial para implementar políticas QoS por usuario, como limitar la velocidad y asignar prioridad al ancho de banda por cada usuario y aplicación (por ejemplo, se puede limitar el tráfico P2P de un usuario a una determinada velocidad de transferencia, asignar prioridad al tráfico de streaming de determinados usuarios respecto de otros, etc.). Asimismo, estas funciones son esenciales para asignar de manera más justa el ancho de banda a los distintos flujos de aplicaciones, según la información de estado de la aplicación o del servicio que transporta cada flujo.

Control del ancho de banda de enlaces

Gracias a Cisco SCE, los departamentos de TI de las instituciones pueden controlar el ancho de banda de subida y de bajada de los grupos de flujos por los enlaces ISP en los que se instala la solución. Normalmente, las instituciones implementan la solución en línea entre los enlaces IP Ethernet o de punto de servicio (PoS), donde puede limitar la capacidad consumida por los diversos tipos de flujos IP. Por ejemplo, las instituciones pueden aplicar los siguientes tipos de políticas:

• Limitar el tráfico P2P de subida y de bajada fuera de la red a un 30% del enlace.
• Limitar todo el tráfico P2P en el enlace a 150 Mbps de bajada y 50 Mbps de subida, salvo durante los fines de semana.
• Limitar todo el tráfico P2P a 150 Mbps de bajada y 50 Mbps de subida, salvo el tráfico generado por los usuarios desde una determinada subred.
• Asignar prioridad a cualquier otro tipo de tráfico de aplicaciones respecto de P2P, sin limitar realmente el ancho de banda de los flujos P2P.

Las instituciones pueden implementar este mecanismo de control de ancho de banda con la ayuda de definiciones denominadas “controladores globales de ancho de banda” (GBWC).

Cada GBWC se define en función de tres parámetros:

• El tipo de aplicaciones/servicios del tráfico que controla.
• El límite del ancho de banda en bits por segundo que el GBWC debe aplicar al tráfico.
• La interfaz de Cisco SCE aplicable al GBWC.

Una vez clasificado el tráfico, la solución relaciona todos los flujos de un servicio o aplicación IP determinado con un GBWC específico. La solución aplica el límite del ancho de banda de este GBWC a todos estos flujos, según se ilustra en la figura 1. Las instituciones pueden relacionar cualquier combinación de servicios o aplicaciones IP con el mismo GBWC y enviar todo el tráfico no clasificado por un GBWC específico a un GBWC predeterminado.

Figura 1. Controlador global de ancho de banda.

Control del ancho de banda del usuario

Cisco SCE no sólo controla el tráfico a nivel de aplicaciones, sino también a nivel de usuarios. (Las instituciones pueden definir el concepto de “usuario” como cualquier entidad administrada del lado del usuario del dispositivo.) La solución puede aplicar políticas y reglas de contabilidad a nivel individual. Un usuario puede ser un estudiante, un profesor, un administrador, un usuario de VPN remoto o un usuario conectado por cable.

Los mecanismos de control de ancho de banda por usuario y por servicio de la solución ofrecen herramientas ideales para que los educadores puedan mejorar su oferta de servicios y crear una experiencia de red superior para todos los usuarios. Los mecanismos de control de ancho de banda por usuario y por servicio utilizan conceptos tomados de las redes Frame Relay de línea privada, en las que a cada usuario y servicio se le asigna una velocidad de información comprometida (CIR) y una velocidad máxima de información (PIR), así como un nivel de prioridad relacionado con los demás usuarios y servicios.

En concreto, las instituciones pueden definir los siguientes parámetros por usuario y por servicio:

• PIR: es la velocidad máxima de ancho de banda permitida por Cisco SCE para un determinado servicio o usuario.
  El valor de PIR se define por separado para el tráfico de subida y el de bajada.
• CIR: es la velocidad de ancho de banda que Cisco SCE proporciona al usuario o servicio cuando no se producen congestiones en la red ni se excede el límite de suscripción. Cuando se produce una congestión, la solución trata de proporcionar las diversas velocidades de CIR según el nivel de garantía o la prioridad relativa (que analizamos a continuación). El valor de CIR se define por separado para el tráfico de subida y el de bajada.
• Prioridad relativa de PIR y CIR del usuario: parámetro de medición utilizado para dividir el ancho de banda entre distintos usuarios en el caso de que se produzca una congestión de ancho de banda en el enlace, en las direcciones de subida o bajada. Este parámetro puede tener un valor de 1 a 10 y ese valor representa la tasa de reducción de ancho de banda de PIR a CIR durante la congestión.
• Nivel de garantía de PIR y CIR del servicio: parámetro de medición utilizado para dividir el ancho de banda del usuario entre los servicios que emplea el usuario en el caso de que se produzca una congestión entre estos servicios. Este parámetro puede tener un valor de 1 a 10.

Estos parámetros permiten a los departamentos de TI de las instituciones académicas definir políticas en términos similares a los que se ilustran en el cuadro 1, en el que se considera a un profesor como usuario hipotético.

Cuadro 1. Parámetros del servicio definidos para un usuario profesor.

Cisco SCE aplica la configuración del ancho de banda por servicio y por usuario mediante una entidad denominada “controlador de ancho de banda” (BWC). Existen dos tipos de BWC: los BWC normales aplican el ancho de banda a diversos servicios IP. Los controladores de ancho de banda del usuario (SBWC) aplican el ancho de banda a todo el tráfico que produce el usuario en cada dirección. La solución relaciona cada flujo o paquete de flujos con un BWC según el tipo de tráfico IP y con un SBWC según el tipo de usuario que origine el paquete de flujos. Los flujos que no se relacionen con un BWC se colocan en un BWC predeterminado con valores de PIR y CIR definidos por el administrador. (Vea la figura 2.)

Figura 2. BWC y SBWC.

Los departamentos de TI pueden configurar los BWC y SBWC para los casos en que se excede el límite de suscripción de PIR (es decir, cuando la suma de PIR del BWC es superior al valor de PIR del SBWC). Cada nivel de garantía del servicio determina su velocidad de ancho de banda. A medida que aumenta la congestión, Cisco SCE reduce dinámicamente la velocidad de los flujos de manera tal que ayuda a garantizar la velocidad de información comprometida y, de ser posible, la velocidad máxima de información. Cuanto mayor es la congestión, mayor es la reducción de la velocidad para acercarla al valor de CIR.

Cuando se congestiona un BWC, la solución asigna razonablemente el ancho de banda entre los flujos según el principio “máx-mín” generalmente utilizado, que permite garantizar que el flujo con el límite mínimo de velocidad tenga la máxima velocidad posible. Ésta es una importante ventaja que ofrece Cisco SCE, ya que las instituciones pueden limitar el ancho de banda de diversos tipos de flujos según la clasificación inteligente de los flujos en lugar de aplicar un límite estricto a todos los flujos. Cuando se congestiona un SBWC, la solución asigna el ancho de banda entre los BWC del usuario en proporción a los valores definidos de PIR, CIR y del nivel de garantía. En primer lugar, la solución asigna el valor de CIR y en segundo lugar, el valor de PIR. Si se reducen todos los servicios a su CIR y la congestión persiste, los valores del nivel de garantía determinan la reducción relativa del valor de CIR de cada BWC.

Asimismo, Cisco SCE ofrece una opción más avanzada para administrar el ancho de banda de un determinado tipo de tráfico IP que se denomina “conexiones adicionales”. Las instituciones pueden utilizar las conexiones adicionales para asignar una fracción de ancho de banda dedicada a determinados servicios IP, fuera de los valores de los SBWC de los usuarios. Las conexiones adicionales cuentan con valores de PIR y CIR como los BWC estándar. El nivel de garantía de una conexión adicional es idéntico a la prioridad relativa general del usuario. Las conexiones adicionales pueden ser útiles para reservar ancho de banda para aplicaciones sensibles a retardos como las de voz y video por IP.

Combinarlo todo: plan de control jerárquico del ancho de banda

En la mayoría de las situaciones académicas, los educadores están interesados en controlar el volumen de tráfico que circula por el enlace ISP y pertenece a una determinada aplicación IP. Al mismo tiempo, desean controlar el ancho de banda que consume cada usuario de la aplicación IP. Cisco SCE brinda una solución ideal para este modelo de control jerárquico del ancho de banda. La solución implementa un plan de control jerárquico del ancho de banda mediante un proceso de tres fases:

• Primera fase: la solución clasifica los flujos del tráfico por aplicación IP y asigna los flujos a usuarios específicos.
• Segunda fase: la solución utiliza los parámetros de PIR, CIR, nivel de garantía y prioridad relativa de los BWC y SBWC para controlar el ancho de banda de los flujos según el tráfico del usuario y los servicios que emplea.
• Tercera fase: paralelamente, la solución utiliza los flujos de la clasificación por aplicación IP para aplicar los límites de control del ancho de banda por enlace, por aplicación y por servicio, según la política definida.

En la figura 3 se ilustran los distintos niveles de control del ancho de banda. Cisco SCE utiliza la clasificación con información de estado de los flujos en servicios o aplicaciones IP para definir los BWC por servicio y los GBWC por enlace. La solución también asigna cada flujo a un usuario.

Figura 3. Control jerárquico del ancho de banda.

Los tres niveles de control del ancho de banda definen el comportamiento del sistema en el caso de que se produzca una congestión. En la figura 3 se identifica cada comportamiento como plano de control 1, plano de control 2 o plano de control 3. Estos planos de control funcionan de la siguiente manera:

• El plano de control 1 define el enlace entre los BWC por servicio IP y los SBWC por usuario. Si se congestiona el SBWC debido a que un usuario trata de consumir más ancho de banda que lo permitido por el sistema, los BWC reducirán el ancho de banda de ese usuario según los valores de CIR, PIR y del nivel de garantía.
• El plano de control 2 define las acciones adoptadas si se congestiona el puerto físico de la solución. En este caso, la solución invoca una asignación razonable del plan de ancho de banda entre los SBWC de los usuarios. Cada SBWC controla el ancho de banda de los servicios IP de cada usuario, según las definiciones del plano de control 1.
• El plano de control 3 define las acciones adoptadas si se congestiona un GBWC. Los BWC de los servicios IP subyacentes controlados por el GBWC (por ejemplo, P2P) reducen el ancho de banda para ese servicio según la prioridad relativa del SBWC subyacente.

Ejemplo: control jerárquico del ancho de banda en una institución de gran magnitud

En el siguiente ejemplo se ilustra cómo una institución de gran magnitud podría implementar el control jerárquico del ancho de banda. En este caso, la institución implementó la solución Cisco SCE en los enlaces Gigabit Ethernet o PoS que se conectan al ISP.

En un entorno sin control del ancho de banda, el tráfico P2P puede consumir más del 65% de la capacidad de los enlaces ISP y sólo entre un 5% y un 20% de los usuarios suele generar todo este volumen de tráfico. Es recomendable que los departamentos de TI limiten el porcentaje de tráfico P2P en el enlace ISP Gigabit Ethernet a un 30%.
También es recomendable que limiten el tráfico de navegación en el enlace a un 80% a fin de reservar capacidad para otras aplicaciones educativas, como por ejemplo videoconferencias IP o la transmisión en directo de eventos especiales. En este ejemplo, la institución utiliza la función del GBWC de Cisco SCE para configurar dos GBWC: uno para los servicios P2P con un límite del ancho de banda del 30% y el otro para la navegación web con un límite del ancho de banda del 80%. ¿Qué ocurrirá si la institución desea asignar prioridad al ancho de banda para los profesores e investigadores respecto de los estudiantes generales? El departamento de TI utilizará Cisco SCE para crear y configurar el SBWC según se indica en el cuadro 2.

Cuadro 2. Configuración del SBWC para asignar prioridad al ancho de banda para profesores e investigadores

Asimismo, la institución puede utilizar la solución para controlar los servicios de navegación web, videojuegos en línea y streaming de medios por servicio, lo que ayuda a garantizar un valor de CIR básico para estos servicios en los casos de congestión de la red. En el cuadro 3 se ilustran las configuraciones del BWC para los servicios de navegación web y videojuegos en línea para dos clases de usuarios. En este caso, la solución utiliza la misma clasificación para definir el servicio de navegación web para los BWC que utiliza para definir el mismo servicio para los GBWC de todo el enlace.

Cuadro 3. Configuraciones de BWC para navegación web, video y videojuegos en línea.

Servicios diferenciados y aplicaciones sensibles a retardos

Cisco SCE ofrece dos mecanismos dedicados de QoS para procesar paquetes de aplicaciones sensibles a retardos, lo que distingue a Cisco SCE de los productos comparables que se ofrecen en el mercado. Estos mecanismos de QoS se basan en la norma RFC2475 del IETF, que define la arquitectura de una red habilitada para DiffServ. La arquitectura DiffServ se basa en un modelo sencillo que clasifica y asigna el tráfico a distintas categorías. Una vez clasificado el tráfico, la red envía los paquetes según las características necesarias de la red.

El primer mecanismo de QoS permite a la red enviar paquetes de aplicaciones sensibles a retardos a una de las colas de transmisión compatible con DiffServ de Cisco SCE. Los tipos de colas de transmisión son “Best Effort” (Mejor esfuerzo), cuatro niveles de “Assured Forwarding” (Reenvío asegurado) y “Expedited Forwarding” (Reenvío acelerado). La cola “Expedited Forwarding” tiene una estricta prioridad respecto de las demás colas y la solución transmite siempre los paquetes de esta cola antes que los de las demás colas. La solución transmite los paquetes de las colas “Assured Forwarding” mediante un algoritmo ponderado “Round Robin” y siempre transmite los paquetes de la cola “Best Effort” en último lugar. (Es recomendable que las instituciones envíen los paquetes de aplicaciones sensibles a retardos a la cola “Expedited Forwarding”.)

El segundo mecanismo de QoS con que cuenta Cisco SCE para procesar las aplicaciones sensibles a retardos consiste en marcar los bytes ToS/DSCP de los paquetes salientes, que los dispositivos de la red del próximo salto pueden utilizar para activar las funciones de QoS. En el documento “DiffServ Request for Comments (RFC)” (Solicitud de comentarios sobre DiffServ) del IETF se definen las características de la estructura de las colas y del comportamiento por salto de una red habilitada para DiffServ; sin embargo, la especificación no aborda la tarea de clasificar el tráfico en las distintas colas. La función de clasificación con información de estado que ofrece Cisco SCE es un medio ideal para realizar esta clasificación. Las instituciones pueden configurar la solución con una política que asigna las aplicaciones y los servicios al marcado ToS/DSCP pertinente y cada marcado corresponde a una de las colas DiffServ del dispositivo de red del próximo salto.

Cisco SCE ofrece una función de control pormenorizado de las conexiones ISP más usadas de una institución, lo que permite a los administradores lograr una asignación realmente razonable del ancho de banda de la red. Por ello, la solución proporciona un punto de partida ideal a las universidades que necesitan controlar el ancho de banda en toda la institución. Además, al implementar la solución Cisco SCE para controlar el ancho de banda, las instituciones cuentan con una potente herramienta para limitar los posibles efectos de virus y gusanos en los recursos de la red.

Funciones de control del ancho de banda del software cisco ios

Además de los mecanismos de control granular del ancho de banda que ofrece Cisco SCE, las instituciones de educación superior pueden utilizar varias herramientas integradas en el software Cisco IOS de los switches y routers Cisco. Las instituciones pueden administrar con facilidad estas funciones mediante la solución CiscoWorks QPM, que proporciona herramientas para implementar políticas de ancho de banda de la red en toda la institución.

Para comenzar a implementar el control del tráfico de aplicaciones P2P y de videojuegos con fines recreativos en todo el campus, las instituciones pueden establecer una clase de política “Scavenger” para este tipo de tráfico. La clase Scavenger, basada en un proyecto de Internet II, puede ofrecer servicios deferentes o “por debajo del mejor esfuerzo” para determinadas aplicaciones cuya contribución a los objetivos de la red educativa de la institución es nula o escasa. Entre estas aplicaciones podemos mencionar las de uso compartido de medios P2P (por ejemplo, Kazaa, Morpheus, Grokster, Napster, iMesh, etc.), las aplicaciones de videojuegos (por ejemplo, Doom, Quake, Unreal Tournament, etc.) y cualquier aplicación de videoentretenimiento. Al asignar una cola de ancho de banda mínimo al tráfico Scavenger, las instituciones pueden limitar este tipo de tráfico a prácticamente cero durante períodos de congestión y mantener la disponibilidad de estos servicios cuando el ancho de banda de la red no se utiliza con fines educativos. Mediante esta estrategia, las universidades pueden implementar un control con políticas flexibles y no rigurosas que da prioridad a las actividades educativas y que a la vez admite las aplicaciones recreativas de las que disfrutan los estudiantes.

Aumentar la seguridad con servicios de clase Scavenger

La clase Scavenger también puede desempeñar un papel crucial a la hora de mitigar ataques de DoS y gusanos. Las instituciones pueden configurar una clase de tráfico Scavenger como parte de una política de QoS más amplia, según se ilustra en la figura 4. (Al aprovisionar el sistema para el tráfico de clase Scavenger, las instituciones deberán marcar el tráfico Scavenger en DSCP CS1. También deberán asignarlo al servicio mínimo configurable de gestión de colas.)

Figura 4. Uso de la clase Scavenger

Los gusanos aprovechan los puntos vulnerables de seguridad de sus objetivos para distribuir cargas nocivas, que suelen incluir un mecanismo de autopropagación. En general, los ataques de gusanos no tienen como objetivo la infraestructura de la red académica propiamente dicha; no obstante, la red puede sufrir daños secundarios ya que el gusano se propaga exponencialmente. El volumen de los flujos de tráfico que se multiplica con rapidez a causa del ataque puede consumir la mayoría de los recursos de CPU/hardware de los routers y switches en sus rutas, y denegar indirectamente el servicio a flujos de tráfico legítimos, según se ilustra en la figura 5.

Figura 5. Sobrecarga de la infraestructura de red a causa de un ataque de gusano

Las instituciones pueden mitigar anticipadamente los ataques de DoS/gusanos en la red educativa al responder de inmediato al comportamiento irregular de la red que indica la existencia de un ataque de DoS o de un gusano, mediante policers en la capa de acceso al campus. Estos policers miden la velocidad del tráfico recibido de los dispositivos de puntos terminales y reducen los picos del tráfico excesivo a la clase Scavenger (DSCP CS1) cuando el tráfico supera los límites especificados (en cuyo caso ya no se consideran flujos normales).

En la mayoría de las redes educativas, es bastante anormal (dentro de un intervalo de confianza del 95%) que los equipos personales generen un tráfico sostenido superior al 5% de la capacidad del enlace. En el caso del puerto de un switch Fast Ethernet, común en las instituciones académicas, esto significa que sería poco común que la PC de un usuario final generase de manera sostenida más de 5 Mbps de tráfico en el enlace de interconexión.

Por supuesto, esto no significa que los departamentos de TI deban limitar todo el tráfico a 5 Mbps y descartar automáticamente el tráfico excesivo. Si ese fuera el caso, no se justificaría la implementación de puertos de switches Fast Ethernet o Gigabit Ethernet en los dispositivos de puntos terminales, ya que hasta el puerto de un switch Ethernet 10-BaseT tendría una capacidad superior al límite de control de 5 Mbps en el enlace de interconexión. Por otra parte, este método sancionaría gravemente el tráfico legítimo que llega a superar los 5 Mbps en el puerto de un switch Fast Ethernet.

Las instituciones pueden adoptar un método menos restrictivo al vincular los policers de la capa de acceso con políticas de gestión de colas de hardware y software (campus/WAN/VPN) y aprovisionar una clase Scavenger “por debajo del menor esfuerzo” con los dos conjuntos de políticas. Los policers de la capa de acceso reducirán el tráfico irregular a DSCP CS1 (clase Scavenger) y dirigirán todas las políticas de administración de la congestión (en los switches Cisco Catalyst o en el software Cisco IOS) para aprovisionar un servicio de gestión de colas “por debajo del mejor esfuerzo” para el tráfico reducido a DSCP CS1.

La clase Scavenger en la práctica

Ilustremos cómo funcionaría esta clase para el tráfico legítimo que supera el nivel del policer de la capa de acceso y el tráfico excesivo ilegítimo, producto de un ataque de DoS o de un gusano. En el primer caso, supongamos que la PC genera más de 5 Mbps de tráfico, tal vez ello se deba a la transferencia o la copia de seguridad de un archivo de gran tamaño. En condiciones normales de operación, la red del campus rara vez experimenta congestión, si es que alguna vez lo hace, ya que, en general, hay abundante capacidad para transportar el tráfico. (La mayoría de las redes académicas utilizan enlaces de interconexión Gigabit Ethernet con las capas de distribución y del core de la red, y se necesitarían 1000 Mbps de tráfico del switch de la capa de acceso para congestionar la red.).

Si el destino del tráfico es el lado distante de un enlace WAN/VPN (en general a una velocidad inferior a los 5 Mbps), se produce el descarte incluso sin el policer de la capa de acceso, debido al cuello de botella generado por la falta de correspondencia entre la velocidad de la red del campus/WAN. El mecanismo de ventanas deslizantes TCP de la red encontrará a la larga una velocidad óptima (menos de 5 Mbps) para la transferencia del archivo. En consecuencia, los policers de la capa de acceso que reducen el tráfico irregular a la clase Scavenger no afectarán el tráfico legítimo, salvo el evidente remarcado. Los policers no causarían el nuevo reordenamiento ni el descarte en los flujos.
En el caso de que se produzca un ataque de DoS o de un gusano, los policers de la capa de acceso ejercen un efecto muy distinto en el tráfico generado por el ataque. A medida que se infectan los hosts y el volumen del tráfico se multiplica, puede congestionarse hasta la red del campus. Si sólo 11 equipos personales de usuarios finales en un único switch comienzan a enviar flujos de gusanos a la capacidad máxima del enlace Fast Ethernet del switch, se congestionará el enlace de interconexión Gigabit Ethernet desde el switch de la capa de acceso hasta el switch de la capa de distribución.

En respuesta a la congestión, la red iniciará actividades de gestión de reordenamiento y descarte. En este momento, la red asigna prioridad a la transferencia de voz por IP (VoIP), aplicaciones de datos cruciales y hasta aplicaciones “Best Effort” respecto del tráfico generado por el gusano (debido a que el tráfico Scavenger se descarta con la máxima agresividad). Como ventaja residual de esta estrategia, el tráfico de aplicaciones P2P y de videojuegos de alto consumo de ancho de banda recibe el mismo tratamiento de medición, ya que la red no clasifica de manera explícita estas actividades como tráfico de alta prioridad. A un nivel básico, la estrategia basada en la clase Scavenger se ocupa del tráfico P2P y de videojuegos de baja prioridad, y el de DoS/gusanos con la misma metodología.

Implementación de una estrategia de mitigación de ataques de DoS/gusanos basada en QoS de clase Scavenger

Se recomienda a las instituciones que implementen la estrategia basada en QoS de clase Scavenger con el fin de mitigar los ataques de DoS y gusanos seguir estos pasos:

• Determinar el perfil de las aplicaciones: los administradores de redes educativas deben comenzar por determinar el perfil de las aplicaciones a fin de distinguir los flujos normales de los anormales dentro de un intervalo de confianza del 95%. Los umbrales que delimitan los flujos normales y anormales varían de un campus a otro y entre las aplicaciones. Los administradores deberán evitar escrutar en exceso el comportamiento del tráfico, dado que esto puede consumir tiempo y recursos con rapidez y el comportamiento puede cambiar todos los días. (Recuerde que esta estrategia de QoS de clase Scavenger no sanciona los flujos de tráfico legítimo que exceden transitoriamente los umbrales. Sólo se descartan de manera agresiva los flujos anormales continuos generados simultáneamente por varios hosts, lo que indica la presencia de un ataque de DoS o de un gusano. E incluso en ese caso, el descarte sólo se produce después de haberse admitido el tráfico legítimo.)
• Implementar policers en el extremo de acceso: para contener los verdaderos flujos anormales, deberán implementarse policers en el extremo de acceso del campus para remarcar el tráfico anormal en la clase Scavenger (DSCP CS1).
• Implementar otras defensas en la capa de distribución, si corresponde: cuando la red del campus utiliza algunos tipos de switches Cisco Catalyst en la capa de distribución, el departamento de TI deberá implementar una segunda línea de defensa en la capa de distribución con los mecanismos de limitación de la velocidad de los switches Cisco Catalyst, que se describen a continuación.
• Utilizar políticas de gestión de colas de clase Scavenger en todo el entorno: para admitir las políticas de remarcado de la estrategia de clase Scavenger, las instituciones deben aplicar las políticas de gestión de colas de clase Scavenger “por debajo del mejor esfuerzo” de extremo a extremo en la red del campus, la WAN y las conexiones VPN.

Aunque una universidad haya implementado una estrategia de QoS de clase Scavenger en toda la institución, la estrategia sólo mitigará los ataques de DoS y gusanos. No los evita ni los elimina por completo. Para ofrecer una protección completa, las instituciones deberán proporcionar a las infraestructuras habilitadas para QoS soluciones de firewall, detección de intrusiones, identidad y otras soluciones de seguridad. Asimismo, las instituciones pueden emplear soluciones de seguridad convergente como los dispositivos adaptables de seguridad de la serie Cisco ASA 5500, que combinan varios servicios de seguridad en una misma plataforma integrada.

Funciones de control del ancho de banda de los switches Cisco Catalyst

Muchos switches Cisco Catalyst pueden incorporar mecanismos de limitación de la velocidad con el fin de medir y restringir determinados flujos de tráfico y permitir a las instituciones implementar estrategias de control más granular y flexible del ancho de banda. Los switches de las series Cisco Catalyst 3750, 4500 y 6500 ofrecen funciones de control del ancho de banda del software Cisco IOS.

Limitación de la velocidad de las series Cisco Catalyst 6500 y 4500

Las instituciones pueden aprovechar las funciones de limitación de la velocidad basada en el usuario (UBRL) de los switches de la serie Cisco Catalyst 6500 con el Cisco Catalyst 6500 Series Supervisor Engine 720 y los switches de la serie Cisco Catalyst 4500 con el Cisco Catalyst 4500 Series Supervisor Engine V-10GE. La operación de estas funciones se asemeja a la de las funciones de control por usuario de Cisco SCE. La función UBRL utiliza capacidades de medición de microflujos para conocer dinámicamente los flujos de tráfico y limitar la velocidad de cada flujo a un valor específico. Los administradores de TI pueden aplicar el UBRL al tráfico entrante en las interfaces enrutadas con máscaras de flujo de origen o destino. Un switch Cisco Catalyst 4500 con el Supervisor Engine V-10GE puede admitir hasta 100.000 flujos individuales y 512 velocidades diferentes.

El UBRL ofrece una solución ideal para los entornos educativos que necesitan un mecanismo de limitación de la velocidad por usuario en la capa de distribución y en el core de la red del campus. Los administradores pueden definir distintas velocidades del tráfico entrante y saliente por usuario. Además, los administradores pueden implementar la función UBRL por grupo, por ejemplo, para limitar la velocidad en toda una VLAN o subred.

Limitación de la velocidad de la serie Cisco Catalyst 3750

Todos los switches de la serie Cisco Catalyst 3750 admiten un conjunto completo de funciones de limitación de la velocidad que las instituciones pueden aplicar en las interfaces Gigabit Ethernet y Fast Ethernet. Los administradores de TI pueden definir políticas para asignar una cantidad mayor o menor de ancho de banda a determinados usuarios, grupos de usuarios o aplicaciones. Por ejemplo, un administrador de TI puede decidir asignar a los profesores que se conectan en puertos Gigabit Ethernet sólo 200 Mbps de ancho de banda. La limitación de la velocidad, junto con otras funciones como las listas de control de acceso (ACL) basado en el tiempo, puede ayudar a los departamentos de TI a ahorrar dinero al administrar con cuidado la cantidad de ancho de banda disponible y el momento en que está disponible, con lo cual se demorará la adquisición de nuevos enlaces WAN.

Hoy en día, como la mayoría de las universidades lleva a cabo implementaciones piloto de redes LAN Gigabit que conectan equipos de escritorio, la limitación de la velocidad ofrece una herramienta importante para que los administradores de TI controlen el ancho de banda consumido por estos puertos Gigabit Ethernet hasta que la capa de distribución y el core de la red se actualicen para admitir tecnología de mayor ancho de banda, como la tecnología 10 Gigabit Ethernet. Una vez implementadas las estrategias de limitación de la velocidad, los profesores y estudiantes sólo podrán enviar y recibir dentro de los límites del ancho de banda que se les ha asignado a cada uno de ellos. Las instituciones cuentan con máxima flexibilidad para seleccionar el método de asignación de este ancho de banda. Por ejemplo, una universidad puede optar por brindar a los profesores y estudiantes investigadores más ancho de banda que a los estudiantes de grado, o bien asignar mayor ancho de banda a los servidores y las estaciones de trabajo de aplicaciones.

Limitación de la velocidad de los dormitorios y edificios del campus

Las universidades pueden utilizar las funciones de limitación de la velocidad de los switches Cisco Catalyst para controlar con mayor eficacia el ancho de banda en los dormitorios y edificios del campus. Por ejemplo, en los dormitorios, el departamento de TI puede limitar la velocidad del ancho de banda que cada estudiante recibe a la de un estudiante típico. Esta limitación de la velocidad puede ser asimétrica. (Dado que normalmente los estudiantes utilizan más tráfico de bajada que de subida, la institución puede aprovisionar más tráfico de bajada que de subida a cada estudiante.)

Los departamentos de TI de las instituciones pueden controlar los usuarios y las computadoras mediante direcciones MAC y pueden limitar la cantidad de ancho de banda que recibe el usuario o la computadora. Asimismo, el departamento de TI puede realizar asignaciones para las aplicaciones sensibles a retardos. Por ejemplo, una universidad puede permitir a los estudiantes descargar videos de clases impartidas en el aula para que los miren en sus habitaciones. Sin embargo, el video es una de las aplicaciones que más ancho de banda consume y que es más sensible a las fluctuaciones que la red pueda soportar. Cuando los administradores de TI limitan el ancho de banda de bajada y subida, deberán aprovisionar una cantidad suficiente de tráfico de bajada para que un estudiante pueda ver un video (normalmente de 300 Kbps a 2 Mbps, según el tipo de cifrado que se utilice). En este caso, el administrador de TI deberá asignar más buffers a la cola de video y asignar el tráfico de video a las colas de alta prioridad con el fin de reducir al mínimo las fluctuaciones.

En los edificios del campus, los administradores de TI normalmente desean definir una velocidad superior para el tráfico de los profesores y asignar dicho tráfico a una cola de mayor prioridad que la del tráfico de los estudiantes. Por ejemplo, una institución puede limitar el tráfico de los profesores en puertos Gigabit Ethernet a 200 Mbps y asignar este tráfico a la segunda cola de más alta prioridad. En las aulas (en las que se imparten las clases), los estudiantes pueden utilizar los mismos puertos Gigabit Ethernet y tener su tráfico limitado a sólo 500 Kbps. Asimismo, los departamentos de TI pueden utilizar opciones de limitación de la velocidad más flexibles según el entorno y el tipo de usuario. Por ejemplo, los estudiantes de ingeniería suelen enviar grandes archivos de diseño a los servidores para su procesamiento, los estudiantes de diseño gráfico deben transferir grandes archivos de video y los estudiantes de grado pueden utilizar clusters de estaciones de trabajo para realizar sus tareas y proyectos. Por lo tanto, en centros de investigación de estudiantes de posgrado y en clusters de estaciones de trabajo de estudiantes de grado, los administradores de TI pueden definir una velocidad mayor, como por ejemplo 4 Mbps.

En los dormitorios y edificios del campus, los departamentos de TI deberán modelar y colocar los teléfonos IP en colas de estricta prioridad. La cola de estricta prioridad ayuda a garantizar que la red siempre asigne al tráfico de voz la máxima prioridad. La cola de estricta prioridad proporciona el ancho de banda dedicado que el tráfico de voz necesita para reducir al mínimo la latencia y las fluctuaciones. Si bien el tráfico de voz es muy sensible a la latencia y a las fluctuaciones, no necesita mucho ancho de banda (menos de 100 Kbps). En la figura 6 se ilustra una red universitaria típica. En la figura 7 se ilustra un ejemplo en el que se ha modelado el tráfico de voz en 25 Mbps, en función del volumen anticipado del tráfico de voz.

Figura 6. Red universitaria típica

Figura 7. Asignar prioridad al tráfico de voz

Los administradores de TI pueden preferir asignar el mayor ancho de banda a determinados edificios o centros de distribución según las necesidades de ancho de banda. (También pueden utilizar otros criterios, por ejemplo, pueden definir límites de velocidad más altos para los departamentos que pagan una suma adicional por más ancho de banda.) En general, los administradores de TI asignan más ancho de banda en el tramo comprendido entre la capa de distribución de los edificios del campus y el core que entre la capa de distribución de los dormitorios y el core de la red. Las oficinas de profesores, los centros de investigación de estudiantes de posgrado y los centros de trabajo de estudiantes de grado que desarrollan un alto nivel de actividades y están ubicados en los edificios del campus suelen necesitar un mayor ancho de banda de la red y un enlace WAN superior con la red.

Las estrategias de control de ancho de banda Cisco son sumamente potentes; sin embargo, carecerían de utilidad práctica si los departamentos de TI no pudieran implementarlas y administrarlas de manera fácil y escalable. CiscoWorks QPM 3.2 ofrece una herramienta segura basada en Web que permite proporcionar QoS de extremo a extremo para redes convergentes de datos, voz y video. CiscoWorks QPM 3.2, que forma parte de la familia de soluciones de administración de redes CiscoWorks, combina la supervisión del tráfico con la configuración de servicios diferenciados en toda la infraestructura IP, ya que permite aprovechar los mecanismos de QoS del software Cisco IOS y del sistema operativo Cisco Catalyst integrados en los equipos de switching y routing LAN y WAN de Cisco Systems. Estas funciones permiten a las instituciones ampliar con mayor facilidad los servicios de control de ancho de banda en toda la red y aplicar políticas de control de ancho de banda en toda la institución.

Con CiscoWorks QPM, los departamentos de TI pueden:

• Realizar la supervisión básica de los flujos de tráfico cruciales para definir las políticas.
• Clasificar las aplicaciones en clases de servicios.
• Aprovisionar QoS y aplicarlo en toda la red
• Validar la configuración de QoS y los resultados

Los administradores de TI pueden utilizar CiscoWorks QPM para obtener mayor visibilidad de las operaciones de la red mediante la supervisión de los flujos de tráfico. Esta información puede utilizarse para configurar las políticas adecuadas que permitan garantizar el rendimiento de las aplicaciones y automatizar varios niveles de servicio en cualquier topología de red. (Vea la figura 8.) Asimismo, la solución ofrece funciones centralizadas de análisis de QoS y control de políticas para redes de voz, video y datos, y permite configurar e implementar DiffServ basado en contenido en toda la red y QoS automático entre el campus y la WAN.

Una vez implementado QoS, la supervisión de QPM ayuda a los administradores de TI a determinar si las políticas ejercen el efecto deseado al proporcionar las mediciones de paquetes o de la velocidad de transferencia en las interfaces WAN del tráfico entrante y saliente. Asimismo, los administradores de la red pueden ver gráficos de QoS, como gráficos de líneas y barras, junto a las descripciones de las políticas. Los administradores pueden resolver problemas de rendimiento al examinar los patrones del tráfico en relación con los mecanismos de aplicación de QoS, como medición, gestión de colas, modelado y descarte (figura 8). Los administradores hasta pueden utilizar una función de “ampliación” de fecha y hora para explorar los datos de QoS de distintos períodos de tiempo y utilizar funciones de exportación de archivos para realizar otros análisis con otras herramientas.

Supervisión del tráfico con QoS Policy Manager

Figura 8. Configuración de políticas de ancho de banda con CiscoWorks QPM.

En algunas regiones del mundo, el costo elevado de los enlaces WAN de alta velocidad obliga a las instituciones de educación superior a utilizar circuitos T1, E1 o incluso más pequeños para las redes académicas. En estos entornos, las instituciones se enfrentan a problemas a la hora de distribuir contenidos de medios dinámicos e innovadoras aplicaciones educativas. La solución Cisco ACNS optimiza la distribución de contenido en redes con limitaciones de ancho de banda, que reduce la congestión de la red ya que almacena y distribuye el contenido en el extremo de la red.

El software Cisco ACNS combina las tecnologías de distribución del contenido de la red (caching) y posicionamiento previo impulsadas por el incremento de la demanda de aplicaciones web, objetos, archivos y medios continuos para acelerar la distribución de contenidos. La solución se ejecuta en Cisco Wide Area Application Engines (WAE), Cisco Content Distribution Manager (CDM) y plataformas de routers de contenido de Cisco.

Estos inteligentes componentes de hardware y software ofrecen:

• Distribución de contenido en el extremo: las instituciones pueden utilizar el dispositivo Cisco WAE o el módulo de red Cisco WAE con el fin de evitar la congestión de la WAN al almacenar y distribuir el contenido en el extremo de la red.
• Funciones de administración centralizada de contenidos: los departamentos de TI pueden utilizar el dispositivo Cisco CDM, así como las funciones de administración de la red y de dispositivos del conjunto de software CiscoWorks, a fin de administrar y controlar desde una ubicación central la distribución del contenido.
• Funciones de enrutamiento de contenido: las instituciones pueden utilizar el dispositivo del router de contenido de Cisco para el enrutamiento HTTP y el protocolo WCCP (Web Cache Control Protocol) integrado en los routers Cisco y switches Cisco Catalyst con el software Cisco IOS a fin de optimizar el enrutamiento y la distribución (caching) de contenido.

Si desea obtener más información sobre la solución Cisco ACNS, visite www.cisco.com/go/acns.