ZeroShell    Forum
   Feed Feed
EnglishEnglish     ItalianoItaliano     French     Spanish                Facebook      Twitter

Valid HTML 4.01 Transitional


      ¿Qué es esto?
      Imágenes
      Licencia
      Anuncios
      Lista de correo
      Forum
      Documentación
      FAQ
      Hardware
      Download
      Actualización on-line
      Kerberos Tutorial  
      Aviso legal
      Contacto


  Más detalladamente:
      Gráficos
      Net Balancer
      Router UMTS
      Antivirus proxy
      Punto de acceso WiFi
      OpenVPN cliente
      Servidor OpenVPN
      QoS
      OpenDNS
      Kerberos 5
      NIS y LDAP
      Certificados X.509
      RADIUS
      Portal Cautivo
      VPN
      Firewall





QoS y Traffic Shaping en modo de bridge transparente

El propósito de este documento es describir la realización de un bridge transparente que es capaz de realizar QoS (calidad de servicio) y gestión de ancho de banda del tráfico de red que lo cruza. La elección del modo de bridge (en lugar de que modo enrutado) se justifica por la sencillez con la que puede ser este componente introducido dentro de una topología de red sin tener que cambiar los parámetros de IP, tales como la subred y la puerta de enlace predeterminada
Como se muestra en el diagrama de Figura 1, vamos a añadir el bridge de calidad de servicio entre el router de Internet y el switch de capa 2 a través del cual los anfitriones de la LAN están conectados. Tenga en cuenta que la simplicidad de la configuración elegida no afecta a la generalidad del procedimiento que se puede aplicar en más topologías de red complejas. En cualquier caso, tenga en cuenta que el procedimiento sigue siendo válido incluso si Zeroshell está configurado para actuar como un enrutador de capa 3 en cambio, que como bridge. Esto se debe a las clases de calidad de servicio se unen directamente a las interfaces de red (Ethernet, VPN, PPPoE, VPN, bridge y bond) y no dependen del modo de envío seleccionado (enrutamiento o bridge).

QoS and Traffic Shaping in Bridge mode
Figura 1. Calidad de servicio y traffic shaping en modo bridge.


En la configuración siguiente ejemplo, vamos a crear un cierto número de clases de tráfico a la que vamos a asignar los parámetros de QoS como la prioridad, el ancho de banda garantizado mínima en el caso de la red y la congestión del ancho de banda máximo no superable o cuando la red está no congestionadas.
Vamos a utilizar Layer 7 filtros, que con el DPI (Deep Packet Inspection) puede clasificar a los tráficos, tales como VoIP y peer-to-Peer que no son posibles de interceptar por el uso de filtros en los puertos TCP y UDP.
En mayor detalle, obtendremos los siguientes resultados:
  • Para clasificar la VoIP (Voz sobre IP) de tráfico, tales como la producida por la SIP, H323, Skype y MSN Messenger conexiones dentro de una clase de alta prioridad y ancho de banda garantizado. Si lo hace, el tiempo de latencia se reduce y por lo tanto la calidad de reproducción de vídeo y la voz se aumenta;
  • Para limitar el ancho de banda máximo disponible para el intercambio de archivos P2P (Peer to Peer) las transferencias;
  • Para evitar que el tráfico interactivo como el producido por telnet y SSH shell remoto se retrasa. Esto se logra mediante la clasificación de este tipo de tráfico dentro de una clase de alta prioridad y baja latencia;
  • Para clasificar el tráfico a granel (Bulk), que es el flujo generado por las transferencias FTP y SMTP, en los que se mueven una gran cantidad de paquetes de datos grandes a través de la red, pero no tienen que ser entregados con una latencia baja. En este caso, tenemos que usar una clase con baja prioridad, pero sin límite de ancho de banda máximo.
Para fijar las ideas, que se supone que tienen un ancho de banda asimétrico con 4 Mbits/s de bajada y 2 Mbits/s en sentido ascendente y asignar a las clases de QoS de los parámetros reportados en Tabla 1


QoS ClassProtocolsPriorityGuaranteedMaximum
VOIPSIP, H323, Skype, MSN MessengerHigh1Mbit/s 
P2PeMule, EDonkey, KaZaA, Gnutella, BitTorrent, Direct ConnectLow 256Kbit/s
SHELLssh, telnetHigh  
BULKftp, smtpLow  
DEFAULTUnclassifiedMedium  
Tab.1 Parámetros de las clases de QoS


Antes de empezar a configurar el bridge Zeroshell para llevar a cabo las políticas de QoS que queremos, es necesario tener en cuenta los siguientes conceptos:
  • Cuando una clase de QoS se aplica a una interfaz de red, la única clase que controla el tráfico de salida de la interfaz. En los paquetes entrantes desde una interfaz no hay control.
  • En cuanto a previamente punto, usted podría pensar que no es posible aplicar la QoS para el tráfico descendente, pero esto no es del todo cierto, porque se puede dar forma al tráfico entrante desde la interfaz de ETH01 (mirando a Figura 1) mediante el control del tráfico de salida de la ETH00.
Con el fin de simplificar el tratamiento de la ejecución del bridge transparente de calidad de servicio, que se divide en las siguientes secciones:

Hacer la configuración permanente

Así que la configuración ZeroShell se convierte en permanente y por lo que también vuelve a cargar después de reiniciar el sistema, es necesario crear y activar una base de datos (Profile). Si utiliza la versión en CD en vivo que necesita tener al menos una lectura / escritura dispositivo de almacenamiento conectado a una IDE, SATA, SCSI o USB. Si en lugar de utilizar la versión compact flash puede guardar la base de datos directamente en ella. Debido a su mayor estabilidad debido a la presencia de journaling debe utilizar un sistema de archivos ext3 o ReiserFS. Puede crear y formatear las particiones usando directamente la interfaz gráfica de usuario ZeroShell, pero debe tener cuidado cuando el dispositivo contiene datos importantes. Los pasos a realizar para crear y activar la base de datos son los siguientes:
  • Desde la sección [Setup][Storage] seleccionar la partición en la que crear la base de datos y pulse el botón [Crear DB];
  • En la ventana que aparece (mirada a la figura), inserte una descripción de la base de datos, escriba y confirme la contraseña para el usuario admin, compruebe que la dirección IP 192.168.0.75 se configura en el ETH00 de interfaz de red y configurar la puerta de enlace predeterminada a 192.168.0.254.
  • Pulse el botón [crear] para proceder a la generación de bases de datos;
  • Activar la base de datos seleccionando y pulsando el botón [Activar]. El sistema se reiniciará con la configuración (mirada a la figura).
Cuando haya terminado esta fase puede estar seguro de que la configuración que viene será permanente memorizado.

Creación de la BRIDGE00 bridge (ETH00, ETH01)

Ahora hay que crear la interfaz de BRIDGE00 y añadir a la ETH00 y la red ETH01 interfaces de modo que lo layer capa 2 de tráfico puede ser enviado entre las interfaces. Sin embargo, tenga en cuenta que cuando una interfaz se convierte en miembro de un bridge, automáticamente pierde cualquier configuración de IP y VLAN 802.1q. Este es un problema, como en nuestro caso, si la interfaz que se añade al bridge es el que a través del cual estamos conectados a la web Zeroshell interfaz gráfica de usuario. Para sortear que, en función de la consola de Zeroshell llamado "Crear un bridge" que permite migrar automáticamente la configuración (IP y VLANs) de la interfaz ethernet que es elegido por el operador a la interfaz del nuevo bridge. Este método, que sin embargo supone la posibilidad de acceder al sistema a través de la VGA o la consola serie, resuelve el problema y la pérdida de conectividad es sólo para el momento en que el bridge tiene que estar en el estado de envío (aproximadamente 15 segundos).
Los pasos necesarios para crear el BRIDGE00 (ETH00, ETH01) son los siguientes:
  • Acceder a la consola y pulse la tecla "B" corresponde a la función "Crear un bridge". Si no ha sido autenticado por la consola, a continuación se le pedirá la contraseña de administrador. A continuación, pulse la tecla "Y" para confirmar que ser conscientes de lo que está haciendo. Elija la interfaz ETH00 presionando la tecla "1".
    El bridge se ha creado y que ha heredado la IP 192.168.0.75 de la ETH00. Después de unos segundos, la conexión entre el navegador en el que está utilizando la interfaz web y la caja de Zeroshell se establece.
  • Ahora agregue la interfaz ETH01 al bridge BRIDGE00. Para hacer esto, utilizando la interfaz web, en la sección [Setup][Network] pulse el botón [Configuración] botón correspondiente a la interfaz BRIDGE00 y mover el ETH01 de la "Interfaces disponibles" a la lista de "Componentes del bridge" (vistazo a la figura). Confirme pulsando el botón [Confirmar] y la interfaz ETH01 se añadirá al bridge (ver en la figura).

Asignación del ancho de banda global para las interfaces bridge

Asignación del ancho de banda global para cada una de las interfaces de red que participan en calidad de servicio es una operación fundamental para el correcto funcionamiento de la Calidad de Servicio. De hecho, ya que el sistema no es capaz de estimar de forma dinámica la disponibilidad de ancho de banda real, es necesario indicar una estimación basada en que el ancho de banda se distribuirá a las siguientes clases de QoS. Tenga en cuenta que si el ancho de banda realmente disponible en un momento dado es más baja que la estimada, la calidad de servicio en ese momento no funciona bien.
Los pasos necesarios para asignar el ancho de banda global a la ETH00 interfaces y ETH01 son las siguientes:
  • Desde la sección [QoS][Interface Manager], haga clic en el botón [Global de ancho de banda] relacionadas con la interfaz ETH00. En el formulario que aparece (mirada a la figura) establecer el ancho de banda máximo y con garantías en 4 Mbits/s, y confirme haciendo clic en [Guardar];
  • Haga clic en el [Ancho de banda global] relacionadas con la interfaz de la interfaz de red ETH01 y establecer el ancho de banda máximo y garantizado para 2 Mbit/s.
  • Para activar la configuración de ancho de banda global, haga clic en el botón [Activar Cambios pasado].

Creación de las clases de QoS

Utilice el Administrador de la clase de la sección [QoS][Clase Administrador] (ver en el figura) para crear las clases de QoS que usted necesita. Tenga en cuenta que inicialmente sólo existe la clase predeterminada en la que se envía el tráfico sin clasificar.
Los pasos a realizar para crear las clases de QoS son las siguientes:
  • Haga clic en el botón [New] del "Administrador de Clase" y escriba el VOIP cadena como nombre de la clase. Introduzca la descripción de "Voz sobre IP" y luego establecer la prioridad de alto y el ancho de banda garantizado de 1 Mbit/s. Guardar la clase, haga clic en el botón [Guardar];
  • Crear la clase P2P utilizando el mismo procedimiento que en el paso anterior, con la descripción "peer para compartir archivos de archivos" y luego establecer la prioridad baja y el ancho de banda garantizado a 256Kbit/s;
  • Crear la clase de calidad de servicio SHELL con la descripción de "tráfico de shell interactivo" y de alta prioridad;
  • Crear el volumen clase de QoS con la descripción de "Transferencia de datos grande" y la prioridad baja;
Usted no debe cambiar la configuración de la clase por defecto es porque queremos que todo el tráfico sin clasificar tiene prioridad media y esto ya está establecido para esta clase.

Agregar clases de QoS para las interfaces bridge

Ahora es el momento de asignar las clases de QoS creado en los pasos anteriores para las interfaces de red, cuyo tráfico saliente que desea controlar.
Los pasos a realizar para asignar las clases de QoS para las interfaces son las siguientes:
  • [QoS][Interface Manager], haga clic en el botón [Agregar clase] relacionadas con la interfaz ETH00. Desde la ventana de diálogo que aparece ( mirada a la figura), haga clic en el botón [Agregar] para la VoIP, P2P, SHELL y BULK QoS clases;
  • Añadir las mismas clases de la interfaz ETH01 con el mismo procedimiento del paso anterior;
  • Habilitar la Calidad de Servicio para ETH00 y ETH01 haciendo clic en las banderas relacionadas con "Up";
  • Guarde los cambios haciendo clic en el botón [Activar Cambios pasado].
Tenga en cuenta que ha activado la calidad de servicio directamente a los miembros (ETH00, ETH01) del bridge y no en el BRIDGE00.
En este punto la calidad de servicio está trabajando en el bridge, pero todo el tráfico saliente es de la clase por defecto, ya que no han clasificado el tráfico todavía. En los próximos pasos vamos a hacer eso.

Enlace de los servicios a las clases de QoS

Para enlazar un servicio en el que desea aplicar la QoS a una clase que usted tiene que usar el clasificador.
Los pasos a realizar para clasificar el tráfico son los siguientes:
  • Seleccione el clasificador de la sección [QoS][Clasificador] (ver en el figura). Pulse el botón [Agregar] para insertar la primera regla en el clasificador relacionado con el intercambio de archivos P2P. En la ventana de diálogo que aparece ( mirada a la figura) que todos los peer-to-peer banderas. Seleccione la clase de destino P2P y, a continuación, haga clic en el botón [Confirmar] para confirmar la regla;
  • Ahora es el momento para el tráfico de VoIP a ser clasificados. Comience con el protocolo SIP que la identificación con el L7-filtro y el establecimiento de la clase VoIP QoS como objetivo ( mirada a la figura). Utilizando el mismo procedimiento, se debe clasificar en la clase de la calidad de servicio VOIP H323, de Skype a Skype y los protocolos de MSN Messenger;
  • Para clasificar el tráfico interactivo en la clase QoS SHELL que tiene una baja latencia utilizar la característica de un servidor ssh que escucha en el puerto TCP 22 y el de telnet en el puerto TCP 23. Se necesitan cuatro reglas, ya que el clasificador debe clasificar los paquetes con origen o puerto de destino igual a estos valores (22 y 23). Este es un ejemplo de una de estas cuatro reglas;
  • Para clasificar la mayor parte del tráfico generado por las transferencias electrónico utilizan la característica de que un servidor SMTP escucha en el puerto 25/TCP (mirada en el la figura);
  • Aunque el FTP utiliza el puerto 21/tcp para el intercambio de los comandos, las transferencias tienen lugar en los puertos al azar y por lo tanto el camino más fácil para clasificarlos en la clase BULK, es mediante el uso de de filtro Layer 7 (vistazo a la figura).
  • Guardar y activar las reglas que ha creado haciendo clic en el botón [Guardar].
Nota: clasificar el tráfico de los diversos servicios es una de las operaciones más complejas que participan en la construcción de un sistema de calidad de servicio. No siempre es fácil identificar el tipo de conexión utilizando como filtro únicos parámetros tales como las direcciones IP y los puertos TCP/UDP. De hecho, muchas veces hemos utilizado la Capa de 7 filtros (proyecto L7-filter) que son capaces de inspeccionar la carga útil de los paquetes con las expresiones regulares para clasificar el tráfico de la capa de aplicación. Sin embargo, no deben abusar en el uso de la L7-Filter, por dos razones. En primer lugar, este tipo de control, que aplica las expresiones regulares en el contenido de los paquetes, se consume más CPU que los filtros de direcciones IP y puertos TCP/ DP y por lo tanto no podrían funcionar bien en sistemas basados ​​en procesadores lentos. La segunda es que para algunos protocolos el L7-Filter tienen el problema de la sobreigualación que es cuando un paquete que no pertenece a un protocolo se identifica a formar parte de ella. En general, usted no debe usar la capa 7 filtros cuando es posible identificar una conexión mediante el uso de otros tipos de condiciones. Supongamos, por ejemplo, que en su situación todas las videoconferencias H.323 llevará a cabo utilizando el mismo MCU (unidad de conferencia multipunto): en este caso, en lugar de identificar las conexiones H.323 con el L7-Filter, podríamos clasificarlos con la dirección IP de la MCU.

Viendo las estadísticas de la calidad de servicio

En este punto, el bridge de calidad de servicio es de trabajo y el tráfico debe ser clasificado en las clases de calidad de servicio que ha creado. Para asegurarse de que la clasificación de calidad de servicio funciona bien, puede ver las estadísticas de la sección [QoS][Estadísticas] (ver en el figura). Para cada interfaz para que la calidad de servicio es activada, usted puede ver las clases asociadas calidad de servicio y por cada clase que usted puede ver la configuración (prioridad, ancho de banda máximo y con garantía de ancho de banda), así como la cantidad de bytes que se envían fuera de la clase y la tasa, que es el número de bits por segundo que se transmiten de la clase. Además, es posible mostrar el gráfico en relación con el tráfico de salida clasificados por tipo de tráfico. Para más detalles haga clic en aquí.



    Copyright (C) 2005-2012 by Fulvio Ricciardi