TORMENTAS DE TRÁFICO
Cierto tipo de tráfico como broadcast, multicast y unknown unicast pueden crear tormentas al generar un nivel de tráfico que pueda afectar a la red negativamente. Para reconocer una tormenta de tráfico debemos saber si el tráfico ha llegado a una carga no normal para nuestra red, debemos saber cuál es el tiempo de respuesta normal para detectar posibles tormentas.
Para evitar esto habilitamos "storm control" en el equipo y este monitorizará los niveles de tráfico y descartará paquetes cuando alcance el nivel que hayamos configurado. Por defecto está configurado al 80% en todas las interfaces.
Para configurarlo:
#set ethernet-switching-options storm-control interface all bandwidth X
Vemos las opciones que nos da. |
También se puede configurar para interfaces individuales. Algo a tener en cuenta siempre es que si aplicamos el "storm control" a un Agregado (dos interfaces unidas en una, lo que en Cisco es un Etherchannel), se configurará el bandwidth para cada interfaz, es decir, si tenemos la ge-0/0/0.0 y la ge-0/0/1.0 y configuramos 15000 kpbs, serán 15000 para cada interfaz haciendo un total de 30000 kpbs.
A esta configuración le siguen las acciones, es decir, qué hace el equipo con la interfaz afectada por una tormenta cuando supera el umbral. La opción por defecto es descartar los paquetes (dropping), pero podemos configurarlo para que deshabilite el interfaz (action-shutdown).
Para recuperar el interfaz cuando ha habido una violación y se ha deshabilitado:
clear ethernet-switching port-error interface X
También tenemos la opción de que se recupere automáticamente cuando deshabilita un interfaz pasado un tiempo que nosotros configuramos.
port-error-disable y disable timeout para recuperar automáticamente |
Para monitorizar:
FIREWALL FILTERS
Firewall Filter es lo que Cisco llama access list (ACL). Estos filtros se tienen que poner tanto en entrada como en salida (stateless), ya que no trazan las sesiones tcp, sino que examinan los paquetes individualmente. Los firewall "statefull" trazan las sesiones y se pueden aplicar filtros y acciones para todo el flujo: se permite la conexión inicial y, automáticamente, se permite el flujo bidireccional.
Se suelen usar para permitir o denegar tráfico e incluso monitorizar.
Los switches EX no soportan esta característica de statefull, son todos "stateless". pero el chequeo de los paquetes y los filtros se hace siempre sobre el hardware (PFE+TCAM), haciéndolo más eficiente, no como Cisco.
Tipos de Filtro:
Está claro que en los filtros de capa 2 no podrán configurarse opciones para filtrar tráfico en base a capas superiores. Los filtros de capa 3 (routed-based) pueden ponerse en interfaces físicas, loopbacks, agregados y RVI's. Cuando los EX aplican un filtro a una loopback, la interfaz de gestión (me0) no se ve afectada si pasa tráfico por ella (esto pasaba en otros Junos).
Solo se puede configurar un filtro por VLAN, puerto o interface enrutable y en una dirección.
La clave en los filtros de firewall son los "term". Dentro de un term podemos tener ningúno o varios "from" (condiciones) y una o más acciones (then). Si todos los "from" se cumplen, se toma la acción o acciones específicas de dentro del "term". Si no hay ningún "from" configurado, todo el tráfico estará sujeto a la acción que hayamos definido.
Los filtros de firewall tienen por defecto un "term" que descarta los paquetes no específicamente permitidos (es como un deny any any de Cisco).
Para crear un filtro al menos debe tener un "term".
Podemos usar en el "from" muchos campos de la cabecera (header) del paquete. Se suelen dividir en 3 categorías: rango numérico, dirección y el campo "bit". Por ejemplo, para filtro en puertos de capa 2 y VLAN:
Ya sabemos que el "from" es donde configuramos la condición y es en el "then" donde configuramos la acción a tomar:
Las acciones terminativas pueden llegar a parar la evaluación de la política.
Accept: acepta el paquete y continua procesándolo.
Discard: descarta el paquete silenciosamente, sin mandar un ICMP de vuelta al origen para avisar.
Reject: descarta el paquete y avisa mandando un ICMP de vuelta al origen.
Se pueden modificar las acciones terminativas con los modificadores de acción. Pueden configurarse uno o más modificadores dentro de una misma acción terminativa. Si configuramos un modificador pero no se especifica acción terminativa, el switch aplicará un "accept":
Count: conteo de número de paquetes que han pasado por el filtro
Policer: llama a una política de tráfico
Analyzer: el switch duplica los paquetes para un posterior análisis.
Forwarding-class y loss-priority son modificadores de CoS.
Como ya hemos dicho en un filtro de firewall la acción por defecto si un paquete no coincide con ninguno de los criterios que hemos configurado se encontrará un "discard".
Sin embargo, en las políticas de enrutamiento si no coincide será un "accept".
Ejemplo de configuración de filtros:
1. Implementar filtros en los puertos de acceso para que solo deje pasar la mac del PC, descartar y contar las tramas que no cumplan la condición.
2. También hay que implementar un filtro en las dos VLAN's para que no deje pasar las tramas que tengan una mac de destino 01:80:c2:00:00:00 (Multicast para LLD). Descartar y contar también las tramas que no cumplan el criterio.
Configuramos los filtros:
Configuramos el punto 1 |
Configuramos el punto 2 |
Aplicamos los filtros:
Para monitorizar:
No hay comentarios:
Publicar un comentario