Mis Libros de Networking: El orden de operaciones en entornos Cisco IOS

23 de junio de 2006

El orden de operaciones en entornos Cisco IOS

Comprender adecuadamente el orden en que se ejecutan diferentes operaciones sobre el flujo de tramas que atraviesa un dispositivo Cisco IOS es de vital importancia para implementar políticas de control del tráfico.

La información de este artículo es aplicable a entornos que
implementan NAT y/o QoS. Para su acabada comprensión
se requieren al menos conocimientos de ACL, routing, NAT y QoS.

El orden de operaciones es el que indica al dispositivo cómo debe procesar el tráfico de acuerdo a la configuración activa. De modo que este orden se vuelve crítico cuando se han configuraco opciones tales como NAT, QoS o encripción de datos.
La operación de Cisco IOS utiliza 2 tablas de orden de operaciones: el orden de operaciones de NAT y el orden de operaciones de QoS.
Orden de operaciones NAT
Cuando un dispositivo implementa esta tabla de orden de operaciones, el dispositivo toma el paquete entrante y ejecuta cada uno de los procesos descriptos en la table en orden descendente, del primero al último.
Si el paquete ingresa a través de la interfaz configurada como inside, utiliza la lista denominada inside-to-outside; si ingresa a través de la interfaz configurada como outside, utiliza entonces la lista outside-to-inside.
Lista inside-to-outside

Si implementa IPSec, verifica la lista de acceso de ingreso.
Desencripción (para CET o IPSec).
Verifica lista de acceso de tráfico entrante.
Verifica límites de tasa de ingreso.
Estadísticas de ingreso.
Policy routing.
Routing.
Redireccionamiento a web cache.
Traducción a dirección global (NAT).
Crypto (verifica mapeo y marca para encripción).
Verifica lista de accesso de tráfico saliente.
Verifica CBAC (context-based access control).
Encripción.

Lista outside-to-inside

Si implementa IPSec, verifica la lista de acceso de ingreso.
Desencripción (para CET o IPSec).
Verifica lista de acceso de tráfico entrante.
Verifica límites de tasa de ingreso.
Estadísticas de ingreso.
Traducción a dirección local (NAT)
Policy routing.
Routing.
Redireccionamiento a web cache.
Crypto (verifica mapeo y marca para encripción)
Verifica lista de accesso de tráfico saliente.
Verifica CBAC (context-based access control).
Encripción.

¿Cómo influye este orden de operaciones?
Supongamos que un paquete atraviesa el dispositivo desde la interfaz NAT ouside a la interfaz NAT inside, y se desea entrablecer una lista de acceso (ACL) que bloquee el tráfico proveniente de ciertas direcciones IP. ¿Cuál es la dirección IP que debe filtrarse? ¿La IP pública de origen o la IP privada a la que será traducida esa IP pública?
Al verificar el orden de operaciones correspondiente al tráfico outside-to-inside, se constata que la traducción de la IP pública a la IP privada (NAT) se realiza después de verificar las ACL para tráfico entrante. En consecuencia, para bloquear este tráfico se debe utilizar la dirección IP pública ya que realizará esta operación antes de la traducción.
Analicemos otra posibilidad. Se requiere la creación de una ruta estática para direccionar tráfico que es somentido al proceso de NAT. Una vez más, ¿qué debemos considerar, la red de destino pública o la privada?
En este caso se debe utilizar la dirección de destino privada, porque el tráfico será traducido antes de ser procesado para su ruteo.
Orden de operaciones QoS
Esta lista es de suma importancia en aquellos casos en los que se implementa QoS.
En este caso, el orden de operaciones para tráfico entrante al dispositivo es:

QoS Policy Propagation a través de BGP
Clasificación común de ingreso.
Lista de acceso de tráfico entrante.
Marcación de tráfico entrante (CAR).
Política de ingreso (CAR).
IPSec.
Cisco Express Forwarding o Fast Switching.

El orden de operaciones para el tráfico saliente desde el dispositivo es:

CEF o Fast Switching.
Clasificación común de salida.
Lista de acceso de tráfico saliente.
Marcación de tráfico saliente.
Política de salida (CAR).
Queueing (CBWFQ y LLQ) y WRED

Estas tablas permite comprender cómo se es el flujo de tráfico a través de los dispositivos y cómo se controla ese tráfico.

Es particularmente importante el orden de operaciones de NAT, ya que si no se lo considera adecuadamente es muy difícil superar algunas dificultades que surgen al configurar de como concurrente NAT y ACLs.

Oscar Antonio Gerometta
Todo comentario o aprte que desee hacer,
por favor, incorporalo en forma de comentario
a este artículo. Muchas gracias.

1 comentario:

Anónimomayo 11, 2011 9:59 p.m.
Muy interesante. Un saludo desde España.
ResponderBorrar
Respuestas

Agregar un comentario

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.

El Autor

Oscar Gerometta es Instructor desde 1999 y ha certificado como CCAI, CCSI y CCBF.
Ha capacitado a miles de técnicos y preparado para obtener sus certificaciones a cientos de ellos incluyendo CCNA R&S, CCNP R&S, CCDA, CCNAsec, CCNAwi, CCNPsec, CCNPwi. Es consultor, redactor y docente en diferentes áreas vinculadas a las TICs. Sus publicaciones incluyen la primer Guía de Preparación para el Examen de Certificación CCNA en español.

Se autoriza la reproducción de los materiales de este blog citando la fuente e incluyendo un enlace al mismo.

http://about.me/ogerometta