Control de Trfico en el Acceso a Internet

1
Control de Tráfico en el Acceso a Internet

• Universidad Politécnica de Valencia

2
Control de Tráfico en la Conexión a Internet

• Motivos
• Máquinas que transfieren excesivo tráfico sin ser
  servidores oficiales.
• Dificultad de controlar el contenido del tráfico.
• Aprovechar adecuadamente el ancho de banda
  disponible
• En caso que el enlace de salida estuviera
  saturado, mejorar la calidad percibida por los
  usuarios.
• Solución
• Clasificar tráfico.
• Aplicar cuotas a cada máquina que no sea servidor
  oficial. Usar un sistema de créditos de forma que
  el ancho de banda se reparta equitativamente.

3
Sistema de Créditos

• Se trata de repartir equitativamente el caudal
  de salida entre todos los usuarios.
• Hay que valorar en una ventana temporal amplia,
  pues hay usuarios que transfieren datos de forma
  continua.
• Es necesario tener en cuenta el perfil de tráfico
  diario y semanal.

4
Herramientas disponibles

• Router Cisco 7200 en la salida a Internet.
• Facilidad Netflow de los routers Cisco para
  recopilar estadísticas de tráfico en un servidor.
• Utilidades flow-tools
• http//www.splintered.net/sw/flow-tools

5
Tratamiento en Salida

• Se utiliza CBWFQ (Class Based Weighted Fair
  Queueing) en combinación con TP (Traffic Policy)
• Clasificación de tráfico en Clases
• Clase5 ? Servicios Vitales
• Clase4 ? Servicios de Terminal
• Clase3 ? Servidores Centrales
• Clase2 ? Servidores Web
• Clase1 ? Tráfico de clientes normales
• Clase0 ? Tráfico de clientes que han excedido su
  cuota
• A la clase0 se le aplica también TP.

6
Tratamiento en Entrada

• Nuestra línea de acceso es de menor velocidad que
  la troncal de rediris, con lo que el descarte se
  produce en el router de acceso, no en el nuestro.
• Aplicamos Traffic Policy (CAR) para descartar
  paquetes TCP y obligar al control de flujo de TCP
  a bajar el caudal.
• A las máquinas con cuota excedida se les aplica
  un control de rate-limit para dejar espacio
  para el resto del tráfico.
• Dentro de este grupo se crean 10 ACLs distintos
  para repartir más equitativamente el caudal entre
  ellas.

7
Tratamiento en Entrada
8
Control de Máquinas con Cuota excedida

• El sistema incluye automáticamente a las máquinas
  en la lista en función del tráfico que
  transfieren en entrada o en salida en los últimos
  días.
• Los datos más recientes tienen más peso.
• Sólo considera una máquina si tiene demasiado
  volumen transferido y demasiadas conexiones.
• El control en entrada y en salida son
  independientes.
• El usuario puede comprobar si una máquina tiene
  la cuota excedida consultando desde ella en una
  página web.

9
Medidas de Funcionamiento

• Paquetes descartados en salida
• Efecto del Control en una máquina
• Descartes de entrada

10
Paquetes descartados en Salida
11
Efecto del Control en una Máquina
12
Resultados Globales

• Hemos desconectado el control entre las 1240 y
  las 1440 para ver el efecto global.
• Se observa saturación inmediata en salida y un
  aumento muy importante del tráfico en entrada.

Periodo sin control
Caudal máximo de salida
13
Descartes de Entrada (1)
14
Descartes de Entrada (2)
15
Descartes de Entrada (3)
16
Parametrización

• Algoritmo
• Cada H horas
• Calcular Tráfico del TopN de máquinas
• Para cada fichero de los últimos D días
• Para cada equipo
• Si bytes gt Bmin y
• Flujos gt Fmin y
• no Servidor
• entonces
• bytesMAC de equipo
• bytesP(días transcurridos)
• Para las M máquinas que más transfieren
• Incluir en los ACLs
• Configurar el router
• Importante listas de acceso compiladas