22 de enero de 2007

Control del tráfico no deseado utilizando CAR

Muchas de nuestras redes se encuentran hoy "enfermas" de tráfico innecesario, tráfico que no responde a los objetivos de negocio de la empresa y que muchas veces afecta de modo directo la disponibilidad de recursos para la administración del tráfico crítico de la red. Este tráfico "no deseado" puede ser administrado utilizando CAR.

Una situación habitual es la que se provoca cuando un usuario se encuentra "bajando" información de un sitio web (un archivo de gran tramaño, video, música, etc.). Este tráfico puede afectar seriamente el desenvolvimiento normal de la red, o lo que es peor, hacer inaccesible en algún momento los servidores de producción.

CAR (Committed Access Rate) es un método que permite adminsitrar el tráfico no deseado de modo de asegurarnos que no afecte el tráfico propio de la operación de la red. Hay que tener en cuenta algunas consideraciones previas:

  • CAR solamente afecta el trafico IP. No opera sobre el tráfico no-IP.
  • Para utilizar CAR es necesario habilitar CEF en el router.
  • Esencialmente, CAR controla el ancho de banda que puede ocupar cierta tipo de tráfico, que es definido a través de una ACL.
  • CAR puede referirse tanto al tráfico que ingresa, como al que sale a través de la interfaz en la que se aplica CAR.

La implementación de CAR se realiza en 2 pasos sencillos:

  • Creación de una ACL para definir el tráfico que se desea limitar.
  • Utilizar el comando rate-limit, referenciando la ACL anterior en la interfaz más cercana posible al origen del tráfico, para indicar el ancho de banda que se asignará a este tráfico.

Para ver cómo opera esta solución, revisaremos un ejemplo:

Supongamos una red corporativa que une una casa central con sucursales. Una de esas sucursales (que tiene asignada la subred 10.10.20/24) está conectada utilizando una línea punto a punto de 128 Kb, lo que se ha mostrado eficiente para permitir trabajar con la aplicación desarrollada para la operación de la empresa. Ahora bien, se le acaba de dar acceso a la navegación web de Internet a esta sucursal a través de este enlace de 128 Kb, lo que ha afectado notoriamente la performace de la aplicación de trabajo que se encontraba corriendo. El acceso a Internet se da a través del enlace que posee la Casa Central.

Aún cuando la navegación de Internet es una herramienta conveniente en la sucursal en cuestión, está afectando negativamente la performace de la aplicación de producción.

Para controlar esta situación implementaremos CAR en el router de la casa central. El primer paso s definir el tráfico que se desea limitar n el router de casa central, utlizando una ACL. Siguiendo nuestro ejemplo:

Router(config)#access-list 110 permit tcp any eq www 10.10.20.0 0.0.0.255

En este caso estamos definiendo un filtro que seleccionará todo el tráfico originado en cualquier web server de Internet que tenga como destino un nodo de la subred 10.10.20/24 (la sucursal en cuestión).

El próximo paso es implementar el comando rate-limit en la interfaz que conecta a la sucursal:

Router(config)#interface serial0/0
Router(config)#rate-limit output access-group 110 50000 10000 20000 conform-action transmit exceed-action drop

Este comando aplica un límite de uso de ancho de banda en esta interfaz, en función de la selección de tráfico que realiza la lista de acceso 110. Está aplicada sobre el tráfico saliente a través de la interfaz (outup) porque lo estamos aplicando en el router de casa central, de modo de limitar el tráfico no deseado lo más cerca posible de su origen y evitar que afecte el uso del enlace WAN en cuestión.

Las cifras 50000, 10000 y 20000 establecen los límites (en bits por segundo) que se aplicarán al tráfico seleccionado por la ACL. La primera cifra (50000) indica la tasa de transmisión que se asigna para este tráfico. La segunda cifra (10000), el tamaño reservado para una ráfaga de datos. La tercera (20000) indica el tamaño máximo permitido para una ráfaga. En la medida en que el tráfico se ajusta a estos parámetros de requerimiento de ancho de banda disponible, será transmitido (conform-actio transmit).

Si el tráficoi excediera estos parámetros de ancho de banda, será descartado por el router (exceed-action drop).

Sintetizando. La configuración propuesta sobre la interfaz que conecta hacia la sucursal en cuestión hará que el tráfico web que está causando dificultades quede acotado y no pueda consumir más de 50 kbps de los 128 kbps del enlace.

Es preciso tener en cuenta que CAR limita todo y sólo aquel tráfico que se indica en la ACL.

Tenés alguna información o referencia adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

13 comentarios:

  1. Te felicito Oscar, soy David, el del chat XD.

    Otro tutorial para imprimir.

    Gracias.

    ResponderBorrar
  2. Oscar, 1° q'nada un saludo desde el Chaco, estuvimos con vos en el curso de Switching avanzado el año pasado en Noviembre. El articulo es muy bueno y ya probamos la config en 1 router anda espectacular. 1 Abrazo.

    ResponderBorrar
  3. Hola, soy estudiante universitario, me gustaria saber si me podria dar algunas referencias sobre dónde encontrar mas información acerca sobre CAR. muchas gracias

    ResponderBorrar
  4. Bien, podés comenzar revisando este enlace en el sitio de Cisco: http://www.cisco.com/en/US/products/sw/iosswrel/ps1820/products_feature_guide09186a00800f4890.html

    ResponderBorrar
  5. Buen día, investigando encontré la siguiente aplicación de este comando:
    "rate-limit input 1024000 25000 25000 conform-action transmit
    exceed-action drop" con esto restrinjo el trafico entrante a 1MB solamente? entendería que si, pero no estoy seguro. Gracias.

    ResponderBorrar
  6. hola Oscar, una consulta, este tipo de temas en que curriculum de la academia de cisco, se ve mas a detalle.

    ResponderBorrar
    Respuestas
    1. Hasta donde conozco, este tema no es tratado con profundidad en ningún currículum de Academia.

      Borrar
  7. hola Oscar, una consulta, estos temas en que certificacion puedo verlo?

    ResponderBorrar
    Respuestas
    1. Esteban.
      En la actualiada estos temas se ven en CCNP Service Provider.
      También es posible realizar el curso oficial de QoS, que por el momento no está incluido en lo requerido para ninguna certificación.

      Borrar
  8. Hola Oscar, existe alguna fórmula para sacar los valores dos y tres?

    ResponderBorrar
    Respuestas
    1. Los valores no dependen tanto de una fórmula, cuanto de la definición de políticas que se desean aplicar.

      Borrar
  9. Consulta, el rate-limit supongamos que sea 2Mb , y que limita la salida de toda una red hacia cualquier destino ; mi pregunta es la siguiente :
    Limita a cada IP que este dentro de la red con 2Mb cuando decida salir de la red??, osea cada ip sera limitada a 2Mb de salida ? si son varias direcciones IP de la red en simultaneo que deciden salir,cada una estara con 2Mb de limitación para uso propio de la IP o es que todas las IP que estan saliendo en simultaneo se limitaran a 2Mb en conjunto ?

    ResponderBorrar
    Respuestas
    1. El rate-limit se aplica a la interfaz, consecuentemente aplica a la totalidad del tráfico que circula a través de ella, no a IPs en particular.

      Borrar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.