Acerca de la Administración de Tráfico y QoS
En una red con muchas computadoras, el volumen de datos que se desplaza por el firewall puede ser muy grande. Puede utilizar las acciones de Administración de Tráfico y Calidad de Servicio (QoS) para evitar la pérdida de datos para aplicaciones comerciales importantes, y para asegurarse de que las aplicaciones críticas de la misión tengan prioridad sobre el resto del tráfico.
La administración de tráfico y la QoS proporcionan una cantidad de beneficios. Puede hacer lo siguiente:
- Garantizar o limitar el ancho de banda
- Controlar la velocidad a la cual el Firebox envía paquetes a la red
- Priorizar cuándo enviar paquetes a la red
La Administración de Tráfico utiliza colas de prioridad para los paquetes salientes en una interfaz. Hay una cola por interfaz para la Administración de Tráfico. Si QoS está habilitado, se utilizan ocho colas por interfaz para diferentes tipos de paquetes QoS. Cada cola puede contener 1000 paquetes. Los paquetes de menor prioridad se envían solo cuando no hay paquetes de mayor prioridad en la cola. Cuando la cola está llena, los paquetes posteriores se descartan.
Para aplicar la administración de tráfico a las políticas, debe definir una Acción de Administración de Tráfico. Una Acción de Administración de Tráfico es una colección de configuraciones que puede aplicar a una o más definiciones de la política. No es necesario ajustar la configuración de la administración de tráfico de manera independiente en cada política. Si utiliza Application Control, también puede aplicar las Acciones de Administración de Tráfico a aplicaciones y categorías de aplicaciones específicas. Puede definir Acciones de Administración de Tráfico adicionales si desea aplicar diferentes configuraciones a diferentes políticas o aplicaciones.
La Administración de Tráfico y la QoS afectan la capacidad de procesamiento máxima en el Firebox porque la CPU del Firebox debe completar un procesamiento adicional para cada paquete. Las posibles reducciones de la capacidad de procesamiento son las siguientes:
- Firewall de Administración Unificada de Amenazas (UTM) — En un Firebox con servicios de seguridad aplicados al tráfico HTTP, la capacidad de procesamiento puede reducirse hasta un 10 %.
- Firewall IMIX — La capacidad de procesamiento puede reducirse hasta un 40 %. Esto es más notable en los Fireboxes de mesa cuando mide el tráfico interno, para el cual el rendimiento máximo es menor que la velocidad de enlace potencial.
- Tráfico UDP IMIX a través de BOVPN — La capacidad de procesamiento puede reducirse hasta un 20 %.
No puede configurar la Administración de Tráfico o QoS en los ajustes del conjunto de enlaces o en los ajustes de la interfaz para un miembro de un conjunto de enlaces.
Activar administración de tráfico y QoS
Por motivos de rendimiento, todas las funciones de Administración de Tráfico y QoS están deshabilitadas de manera predeterminada. Debe activar estas funciones en la Configuración global antes de poder utilizarlas.
Cuando habilita todas las funciones de Administración de Tráfico y de QoS en la Configuración Global, el Firebox debe tomar decisiones adicionales sobre el tráfico, incluso si no configura la Administración de Tráfico o QoS en ninguna política. Esto puede provocar una reducción notable en el rendimiento general, especialmente en los dispositivos más pequeños que tienen menos poder de procesamiento. No habilite la Administración de Tráfico ni QoS en la configuración global a menos que vaya a usar estas funciones.
- Desde Fireware Web UI, seleccione Sistema > Configuración Global.
- Seleccione la pestaña Red.
- Seleccione la casilla de selección Activar toda la administración de tráfico y características QoS.
- Guarde su configuración.
Para habilitar las funciones de Administración de Tráfico y de QoS, en Policy Manager:
- Seleccione Configuración > Configuración Global.
- Seleccione la pestaña Red.
- Seleccione la casilla de selección Activar toda la administración de tráfico y características QoS.
- Guarde su configuración.
Compatibilidad de Sistema Operativo
Las Acciones de Administración de Tráfico operan de forma diferente en Fireware OS v11.9 y superior que en las versiones anteriores. Dado que Policy Manager puede administrar dispositivos que utilizan diferentes versiones de Fireware OS, debe establecer la versión de Compatibilidad del Sistema Operativo antes de agregar una Acción de Administración de Tráfico.
Para establecer la versión de Compatibilidad del Sistema Operativo, desde Policy Manager:
- Seleccione Configuración > Compatibilidad del Sistema Operativo.
Aparece el cuadro de diálogo de Compatibilidad del Sistema Operativo.
- En el cuadro de texto Para la versión Fireware XTM, seleccione la versión de sistema operativo que utiliza Firebox.
- Haga clic en Aceptar.
Las opciones de configuración de Administración de Tráfico disponibles dependen de la versión de Fireware OS que utiliza el dispositivo.
Para obtener más información, consulte:
- Acerca de la Administración de Tráfico
- Acerca de la Administración de Tráfico en Fireware OS v11.8.x e Inferior
Garantía de Ancho de Banda
Las reservas de ancho de banda pueden evitar los tiempos de espera de conexión. Una cola de administración de tráfico con ancho de banda reservado y una prioridad baja pueden proporcionar ancho de banda a aplicaciones en tiempo real con mayor prioridad cuando sea necesario y sin desconexiones. Otras colas de administración de tráfico pueden aprovechar el ancho de banda reservado sin utilizar cuando esté disponible.
La configuración de Ancho de Banda Garantizado en una Acción de Administración de Tráfico le permite establecer un ancho de banda mínimo que desea asignar al tráfico controlado por la Acción de Administración de Tráfico.
Por ejemplo, supongamos que la compañía tiene un servidor FTP en una red externa y usted desea garantizar que las cargas FTP siempre tengan por lo menos 200 Kilobytes por segundo (Kbps) mediante la interfaz externa. Tal vez también desee establecer un ancho de banda garantizado para las descargas FTP para asegurarse de que la conexión tenga un ancho de banda garantizado de extremo a extremo. Para ello, puede crear una Acción de Administración de Tráfico que garantiza un mínimo de 200 Kbps, y luego usarla como la acción Hacia Adelante en la política FTP que maneja el tráfico de la red de confianza a la red externa. Esto permite un ftp put a 200 Kbps. Si desea permitir un ftp get a 200 Kbps, debe configurar una segunda Acción de Administración de Tráfico que garantice 200 Kbps y usarla como la acción Hacia Atrás en la política de FTP. Para garantizar por separado el tráfico en cada dirección, debe utilizar dos Acciones de Administración de Tráfico diferentes; ya que, si una política utiliza la misma Acción de Administración de Tráfico para el tráfico Hacia Adelante y Hacia Atrás, la acción se aplica al ancho de banda combinado del tráfico en ambas direcciones.
Restringir el Ancho de Banda
Para preservar el ancho de banda que está disponible para otras aplicaciones, el monto de ancho de banda puede restringirse para determinados tipos o aplicaciones de tráfico. Una restricción en el ancho de banda puede desalentar el uso de determinadas aplicaciones cuando los usuarios encuentran que la velocidad del rendimiento de la aplicación está significativamente degradada.
La configuración del Ancho de Banda Máximo en una Acción de Administración de Tráfico le permite establecer un límite en la cantidad de tráfico permitido por la Acción de Administración de Tráfico.
Por ejemplo, en el caso de que necesite permitir descargas FTP, pero desee limitar la velocidad a la que los usuarios descargan los archivos. Puede agregar una Acción de Administración de Tráfico que tiene el Ancho de Banda Máximo establecido para una cantidad baja, como 100 Kbps. Luego, puede utilizarla como la Acción Hacia Atrás en la configuración de Administración de Tráfico en la política de FTP saliente. Esto puede ayudar a desalentar descargas FTP grandes cuando los usuarios en la red de confianza se encuentren con una experiencia FTP desalentadora.
Marcado QoS
El marcado QoS crea diferentes clases de servicio para distintos tipos de tráfico de red saliente. Cuando marca el tráfico, cambia hasta seis bits en los campos del encabezado del paquete definidos para este fin. Otros dispositivos pueden utilizar este marcado para administrar un paquete de la manera adecuada mientras viaja de un punto a otro de la red.
Puede activar el marcado QoS para una interfaz individual o una política individual. Cuando define el marcado QoS para una interfaz, cada paquete que abandona la interfaz está marcado. Cuando define el marcado QoS para una política, todo el tráfico que utiliza esa política también está marcado.
En Fireware v12.7 o superior, puede habilitar el marcado de prioridad 802.1p (etiquetado) para las interfaces de VLAN en su Firebox. Para más información, consulte Acerca del Marcado 802.1p para Interfaces VLAN.
No puede configurar la QoS en los ajustes del conjunto de enlaces o en los ajustes de la interfaz para un miembro de un conjunto de enlaces.
Prioridad de Tráfico
Puede asignar diferentes niveles de prioridad a las políticas o al tráfico de una interfaz en particular. La priorización del tráfico en el firewall le permite administrar varios tipos de servicios (ToS) múltiples y reservar la prioridad más alta para los datos en tiempo real o la transmisión de datos. Una política con alta prioridad puede extraer ancho de banda de las conexiones existentes de baja prioridad cuando el enlace está congestionado; entonces, el tráfico debe competir por el ancho de banda.
Ver También
Configure los Límites de la Tasa de Conexión