WAN empresarial de próxima generación - Guía de mejores prácticas

© 2012 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 15

WAN empresarial de próxima generación

Guia de mejores prácticas

Guia


AVISO. TODA DECLARACIÓN, INFORMACIÓN Y RECOMENDACIÓN INCLUIDAS EN ESTE MANUAL SE CONSIDERAN CORRECTAS PERO NO IMPLICAN GARANTÍA ALGUNA, NI EXPRESA NI IMPLÍCITA. LOS USUARIOS SERÁN LOS ÚNICOS RESPONSABLES POR LA APLICACIÓN QUE LE ASIGNEN A CUALQUIERA DE LOS PRODUCTOS.

LA LICENCIA DEL SOFTWARE Y LA GARANTÍA LIMITADA DEL PRODUCTO CORRESPONDIENTE SE INCLUYEN EN LA INFORMACIÓN ENVIADA JUNTO CON EL PRODUCTO Y SE INCORPORAN AL PRESENTE POR MEDIO DE ESTA REFERENCIA. SI NO ENCUENTRA LA LICENCIA O LA GARANTÍA LIMITADA DEL SOFTWARE, CONTÁCTESE CON SU REPRESENTANTE CISCO PARA OBTENER UNA COPIA.

La implementación de Cisco de la compresión de cabecera TCP (Protocolo de control de transmisión) es una adaptación de un programa desarrollado por la Universidad de California, Berkeley (UCB) como parte de la versión de dominio público del sistema operativo UNIX de UCB. Todos los derechos reservados. Copyright © 1981, Regentes de la University of California.

SIN PERJUICIO DE CUALQUIER OTRA GARANTÍA DEL PRESENTE DOCUMENTO, TODOS LOS ARCHIVOS DE DOCUMENTOS Y SOFTWARE DE ESTOS PROVEEDORES SE ENTREGAN EN EL ESTADO EN EL QUE ESTÁN, INCLUIDAS SUS FALLAS. CISCO Y LOS PROVEEDORES ANTES MENCIONADOS DESCONOCEN TODAS LA GARANTÍAS, EXPRESAS O IMPLÍCITAS, INCLUSO SIN LIMITACIÓN, A AQUELLAS DE COMERCIALIZACIÓN, ADAPTABILIDAD PARA ALGÚN PROPÓSITO EN PARTICULAR Y SIN INFRACCIÓN, O QUE PROVENGAN DE UN CURSO DE NEGOCIACIÓN, USO, O PRÁCTICA DE COMERCIO.

BAJO NINGUNA CIRCUNSTANCIA CISCO O SUS PROVEEDORES SERÁN RESPONSABLES DE DAÑOS Y PERJUICIOS INDIRECTOS, ESPECIALES, EMERGENTES O INCIDENTALES, ENTRE LOS QUE SE INCLUYEN LUCRO CESANTE O PÉRDIDA O DAÑO A LOS DATOS QUE SURJAN DEL USO O DE LA INCAPACIDAD PARA USAR ESTE MANUAL, AUN CUANDO CISCO O SUS PROVEEDORES HUBIEREN SIDO NOTIFICADOS DE LA POSIBILIDAD DE LA EXISTENCIA DE DICHOS DAÑOS.

CCDE, CCENT, Cisco Eos, Cisco Lumin, Cisco Nexus, Cisco StadiumVision, Cisco TelePresence, Cisco WebEx, el logotipo de Cisco, DCE y Welcome to the Human Network son marcas comerciales; Changing the Way We Work, Live, Play, and Learn y Cisco Store son marcas de servicio; y Access Registrar, Aironet, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, el logotipo de Cisco Certified Internetwork Expert, Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, el logotipo de Cisco Systems, Cisco Unity, Collaboration Without Limitation, EtherFast, EtherSwitch, Event Center, Fast Step, Follow Me Browsing, FormShare, GigaDrive, HomeLink, Internet Quotient, IOS, iPhone, iQuick Study, IronPort, el logotipo de IronPort, LightStream, Linksys, MediaTone, MeetingPlace, MeetingPlace Chime Sound, MGX, Networkers, Networking Academy, Network Registrar, PCNow, PIX, PowerPanels, ProConnect, ScriptShare, SenderBase, SMARTnet, Spectrum Expert, StackWise, The Fastest Way to Increase Your Internet Quotient, TransPath, WebEx y el logotipo de WebEx son marcas registradas de Cisco Systems, Inc. o de sus filiales en Estados Unidos y en otros países.

Todas las demás marcas comerciales mencionadas en este documento o en el sitio web pertenecen a sus respectivos propietarios. El uso de la palabra partner no implica la existencia de una asociación entre Cisco y cualquier otra empresa. (0809R)

Guia de mejores prácticas para la WAN empresarial de próxima generación

Copyright © 2012 Cisco Systems, Inc. Todos los derechos reservados.


Contenido Introducción ...................................................................................................................................................... 4

Detección de destino de PfR para NGEW ......................................................................................................... 5 Configuración de detección de destino de PfR en routers de agregación en la cabecera .................................. 5 Configuración de detección de destino de PfR en routers de sucursales .......................................................... 9

NGEW PfR con WAAS ..................................................................................................................................... 12

NGEW PfR con AVC ........................................................................................................................................ 13

NGEW AVC con WAAS.................................................................................................................................... 14


Introducción La WAN empresarial de próxima generación (NGEW) de Cisco® es una arquitectura de punta a punta que proporciona los cimientos para las redes empresariales de próxima generación. El diseño jerárquico proporciona la escalabilidad que solicitan las grandes empresas y puede ampliarse y replicarse en diversas regiones y divisiones geográficas. Esta uniformidad permite facilidad en la implementación, el mantenimiento y la solución de problemas.

Esta guia se basa en la Guia de implementación de NGEW y ofrece algunas de las pautas de mejores prácticas para la configuración de algunas de las características que se usan en NGEW, entre ellas, las combinaciones para routing basado en el rendimiento (PfR), detección de destinos, control y visibilidad de las aplicaciones (VAC) y servicios de aplicaciones de área amplia (WAAS).

A los fines de esta guia, se supone que el lector conoce la arquitectura WAN regional (RWAN) de NGEW. La guía también se basa en la arquitectura RWAN básica que se muestra en la figura 1, con principal enfoque en las sucursales con High-end y ultra-high-end. Para más información sobre la arquitectura RWAN y NGEW, consulte la Guia de implementación de WAN empresarial de próxima generación.

Figura 1. Arquitectura RWAN

La topología de los routers de sucursales con high-end y ultra-high-end, así como también la de los routers de agregación, se pueden ver en la figura 2. Además, en la figura también puede verse la convención de nomenclaturas.

http://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns742/ns816/guide_c07-680894.html


Figura 2. RWAN para sucursales con high-end y ultra-high-end

Detección de destino de PfR para NGEW La detección de destino del routing basado en el rendimiento (PfR) ofrece una mejora en la administración del tráfico entre redes de sucursales de la empresa, gracias a que automatiza la identificación y configuración de las instancias del acuerdo de nivel de servicio IP (IP SLA) y a que optimiza el uso de sondas activas de PfR. La detección de destino PfR versión 1.0 permite la interconexión de controladores maestros (MS) y utiliza routing de servicio (SR) a través del Service Advertisement Framework (SAF) de EIGRP para anunciar, detectar y configurar automáticamente las instancias de IP SLA y los prefijos IP de destino asociados, lo que permite una solución más escalable y flexible.

Para más información sobre PfR en NGEW, consulte la Guia complementaria de PfR. Para más información sobre Detección de destino de PfR en general, consulte la Guia de configuración para la detección de destino de PfR.

Para la implementación de NGEW, la detección de destino de PfR puede usarse para redireccionar tráfico crítico, como el de voz y video, a través de un enlace mucho menos congestionado, a la vez que se relega el tráfico menos importante a un enlace secundario, tal como se puede ver en la configuración de muestra a continuación.

Configuración de detección de destino de PfR en routers de agregación en la cabecera

Configuraciones para router de agregación AAG1

Paso 1. Configure la cadena clave para autenticación.

key chain NGEW-PFR

key 1

key-string pfrtd

Paso 2. Configure la interconexión de control maestro para PfR.

pfr master

mc-peer head-end Loopback0

http://www.cisco.com/en/US/netsol/ns816/networking_solutions_white_papers_list.html

http://www.cisco.com/en/US/docs/ios-xml/ios/pfr/configuration/xe-3s/pfr-target-disc.html


Paso 3. Habilite el controlador maestro de PfR y la función de router perimetral.

pfr master

no max-range-utilization

logging

!

border 10.104.11.204 key-chain NGEW-PFR

interface GigabitEthernet0/0/2 internal


interface GigabitEthernet0/0/0 external

max-xmit-utilization percentage 80

link-group MPLS-A

!





max-xmit-utilization percentage 80

link-group MPLS-B

pfr border

local Loopback0

master 10.104.11.204 key-chain NGEW-PFR

Paso 4. Habilite el reconocimiento de tráfico.

pfr master

learn

throughput

periodic-interval 0

monitor-period 1

traffic-class filter access-list DENY_PFR_GLOBAL_LEARN_LIST

list seq 10 refname BR_DATA

traffic-class access-list CRITICAL_DATA

aggregation-type prefix-length 32

throughput

list seq 20 refname VIDEO

traffic-class access-list VIDEO


throughput

mode route protocol pbr

mode route control

mode monitor fast


Paso 5. Cree una lista de prefijos IP de los prefijos de destino para las sondas activas o la lista de reconocimiento.

ip prefix-list BR_DATA1 seq 5 permit 10.105.0.0/24

ip prefix-list BR_DATA2 seq 5 permit 10.105.12.0/24

ip prefix-list ipfx seq 5 permit 10.104.200.0/24


ip prefix-list tgt seq 10 permit 10.104.11.204/32


Paso 6. Configure la detección de destino para PfR.

pfr master

target-discovery responder-list tgt inside-prefixes ipfx

Paso 7. Defina el plan de política para PfR.

pfr-map DATA 10

match pfr learn list BR_DATA

set periodic 90

set mode monitor active throughput

no set resolve delay

no set resolve range

set unreachable threshold 200000

set probe frequency 10

set link-group MPLS-A fallback MPLS-B

!

pfr-map DATA 20

match pfr learn list VIDEO

set periodic 90

set delay threshold 300

set mode monitor fast

set resolve loss priority 2 variance 5

set resolve jitter priority 3 variance 5

set resolve delay priority 4 variance 5

no set resolve range

no set resolve utilization

set loss threshold 50000



set link-group MPLS-B fallback MPLS-A


Paso 8. Defina la política global para equilibrio de carga del resto del tráfico.

pfr master

policy-rules DATA

learn

throughput

periodic-interval 0

monitor-period 1


list seq 10 refname BR_DATA

traffic-class access-list CRITICAL_DATA


throughput




throughput

Las listas de control de acceso (ACL) que se usan en la política global corresponden a las siguientes:

ip access-list extended CRITICAL_DATA

permit ip any any dscp af21

ip access-list extended DENY_PFR_GLOBAL_LEARN_LIST

deny ip any any

ip access-list extended VIDEO


permit ip any any dscp cs4

permit ip any any dscp ef

Configuraciones para router de agregación AAG2


key chain NGEW-PFR

key 1

key-string pfrtd

Paso 2. Habilite las funciones de router perimetral para PfR en AAG2.

pfr border

local Loopback0



Configuración de detección de destino de PfR en routers de sucursales

Configuraciones para router de sucursal con ultra-high-end BR1-A

Nota: La misma configuración puede usarse para router de sucursal con high-end (BR2-A) mediante el reemplazo de los comandos de interfaz ASR a continuación con las correspondientes interfaces de Cisco Integrated Services Routers de segunda generación (ISR G2).


key chain NGEW-PFR

key 1

key-string pfrtd

Paso 2. Configure la interconexión de control maestro para PfR.

pfr master

mc-peer 10.104.11.204 Loopback0

Paso 3. Habilite el controlador maestro de PfR y la función de router perimetral.

pfr master

no max-range-utilization

logging

!


interface GigabitEthernet0/0/3.1 internal




link-group MPLS-A

!






link-group MPLS-B

pfr border

local GigabitEthernet0/0/3.5



Paso 4. Habilite el reconocimiento de tráfico.

pfr master

learn


list seq 10 refname CriticalData_list

traffic-class access-list Critical_Data


throughput




throughput

mode route protocol pbr

mode route control

mode monitor fast

periodic 120

probe packets 20

Paso 5. Cree una lista de prefijos IP de los prefijos de destino para las sondas activas o la lista de reconocimiento.





Paso 6. Configure la detección de destino para PfR.

pfr master

target-discovery responder-list tgt inside-prefixes ipfx

Paso 7. Defina el plan de política para PfR.

pfr-map Branch 10

match pfr learn list VIDEO

set periodic 90


set mode monitor fast

set resolve loss priority 2 variance 5

set resolve jitter priority 3 variance 5


set loss threshold 50000

set jitter threshold 30

set active-probe jitter 10.104.11.204 target-port 2000





set link-group MPLS-A fallback MPLS-B

pfr-map Branch 20

match pfr learn list CriticalData_list

set periodic 120


set mode monitor active throughput




set link-group MPLS-B fallback MPLS-A

Paso 8. Defina la política global para equilibrio de carga del resto del tráfico.

pfr master

policy-rules Branch

learn

throughput

periodic-interval 0

monitor-period 1


list seq 10 refname CriticalData_list

traffic-class access-list Critical_Data


throughput




throughput

Las listas de control de acceso que se usan en la política global corresponden a las siguientes:

ip access-list extended Critical_Data


ip access-list extended DENY_PFR_GLOBAL_LEARN_LIST

deny ip any any

ip access-list extended VIDEO


permit ip any any dscp cs4

permit ip any any dscp ef

Para más información sobre la calidad de servicio (QoS) para video y otro tipo de tráfico, consulte la Guia de diseño de la solución para QoS empresarial.


Configuraciones para router de sucursal con ultra-high-end BR1-B

Nota: La misma configuración puede usarse para router de sucursal con high-end BR2-B mediante el reemplazo de los comandos de interfaz ASR a continuación con las correspondientes interfaces de ISR G2.


key chain NGEW-PFR

key 1

key-string pfrtd

Paso 2. Habilite las funciones de router perimetral para PfR en BR1-B.

pfr border local GigabitEthernet0/0/3.5


NGEW PfR con WAAS PfR puede habilitarse con WAAS para optimización de WAN y routing, pero debe prestarse especial atención cuando se habilitan ambas funciones en los ASR.

Cuando las sesiones de protocolo de control de caché web (WCCP) de WAAS se establecen entre el router y WAAS, las interfaces de túneles se crean tal como se muestra en el comando de show tunnel groups a continuación.

router#show tunnel groups

2 tunnel groups active

WCCP : service group 317 in "Default", ver v2, assgnmnt: mask-value set intf: Tunnel0, locally sourced WCCP : service group 318 in "Default", ver v2, assgnmnt: mask-value set intf: Tunnel2, locally sourced

Dado que PfR requiere la definición de interfaces como "interna" o "externa" debe agregar las interfaces de túneles creadas desde los establecimientos de la sesión WCCP a la lista de interfaz en la configuración del controlador maestro de PfR. Estas interfaces de túneles deben agregarse como interfaces "internas". La configuración resultante se verá aproximadamente como la siguiente (con la creación de configuraciones desde el paso 2 "Configuraciones para router de sucursal con ultra-high-end BR1-A" en este mismo documento).

pfr master border 10.105.12.1 key-chain NGEW-PFR





link-group MPLS-A interface Tunnel0 internal !! Added PfR internal interfaces interface Tunnel2 internal !! Added PfR internal interfaces

Este agregado manual de interfaz no es necesario cuando se configura PfR y WAAS en routers de sucursales con ISR G2.


NGEW PfR con AVC Una de las ventajas de AVC es la tecnología de inspección profunda de paquetes (DPI) de próxima generación, el Reconocimiento de aplicaciones con base en la red 2 (NBAR2), que puede identificar más de 1000 protocolos de aplicaciones. Puede aprovechar las nuevas aplicaciones NBAR2 con PfR utilizando NBAR2 o calidad de servicio (QoS) en la interfaz de ingreso para marcar el tráfico de aplicaciones deseado con un punto de código de servicios diferenciados (DSCP), de manera tal que la aplicación se reconozca a través de NBAR. El proceso se resume en la figura 3.

Figura 3. Marcación DSCP para reconocimiento de aplicación

La siguiente configuración de muestra presenta una política de servicio que marca el tráfico en la nube con DSCP AF41 aplicado a la interfaz de la red LAN.

class-map match-any cloud-collaboration-app

match protocol webex-meeting

match protocol livemeeting policy-map lan-remark

class cloud-collaboration-app

set dscp af41

interface GigabitEthernet0/0/3.1

service-policy input lan-remark

Ahora, configure una política PfR para que actúe sobre el DSCP. Aquí creamos una lista de reconocimiento de PfR basada en el DSCP.

pfr master learn

list seq 10 refname AF41_TRAFFIC

traffic-class access-list af41-acl


throughput

ip access-list extended af41-acl

permit tcp any any af41

El aviso actual con estas soluciones es para hacer un seguimiento del rendimiento del flujo, PfR usa NetFlow entrante, que ocurriría antes de que QoS marque el tráfico. La solución es, en primer lugar, eliminar NetFlow del comando perimetral de PfR, con lo que se deshabilita el NetFlow entrante habilitado de manera predeterminada por PfR. Luego, habilite el NetFlow saliente para que reconozca el tráfico marcado; para ello aplique los comandos ip flow ingress e ip flow egress en la interfaz WAN.


pfr border

no netflow

interface GigabitEthernet0/0/0

ip flow ingress

ip flow egress

Para obtener una lista de los protocolos NBAR2 compatibles, use el comando use ip match protocol? o consulte la Biblioteca de protocolos de NBAR2.


match protocol?

3com-amp3 3Com AMP3

3com-tsmux 3Com TSMUX

3pc Third Party Connect Protocol

914c/g Texas Instruments 914 Terminal

9pfs Plan 9 file service

CAIlic Computer Associates Intl License Server

Konspire2b konspire2b p2p network

MobilitySrv Mobility XE protocol

aarp AppleTalk ARP

!! Truncated List !!

NGEW AVC con WAAS Con la arquitectura de NGEW, puede aprovechar tanto la optimización de AVC como la de WAN WAAS No obstante, debido a que lo primero que ocurre es la optimización de WAN, es posible que NBAR no pueda ver adecuadamente el tráfico de aplicaciones después de que se aplique WAAS. La solución, que se explica más detalladamente a continuación, se usa para QoS sin NBAR en la interfaz del perímetro saliente, a la vez que habilita NBAR en la interfaz saliente o solo en la de la red LAN. En la figura 4 se resume este concepto.

Figura 4. Optimización de AVC y WAAS WAN con QoS y NBAR

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6558/ps6616/product_bulletin_c25-627831.html


Configure NBAR como siempre.


match protocol webex-meeting

match protocol livemeeting

class-map match-any enterprise-app

match protocol exchange

class-map match-any recreational-app

match protocol attribute sub-category streaming

class-map match-any unwanted-app

match protocol skype

match protocol attribute application-group bittorrent-group

Establezca el valor de DSCP para el tráfico.

policy-map lan-remark

class cloud-collaboration-app

set dscp cs4

class enterprise-app

set dscp af41

class recreational-app

set dscp 0

class unwanted-app

drop

Aplique NBAR a la red LAN o interfaz saliente solamente. WAAS conservará las marcaciones de DSCP.

interface GigabitEthernet0/0/3.1

service-policy input lan-remark

En la interfaz saliente o de egreso, habilite solamente calidad de servicio de la red WAN, sin NBAR.

Impreso en EE. UU. C07-709157-00 07/12

WAN empresarial de próxima generación - Guía de mejores prácticas

Technology

Transcript of WAN empresarial de próxima generación - Guía de mejores prácticas