4 cosas que su equipo de operación de redes debe saber acerca de sus redes de acceso | NETSCOUT
| Nota de aplicación |

4 cosas que su equipo de operación de redes
debe saber acerca de sus redes de acceso

En la última década, los negocios se han vuelto más dependientes de la conexión con sus asociados y clientes para que participen cuando planifican y gestionan sus negocios. Adicionalmente, la popularidad de Internet de las cosas (IoT) basada en la nube que realiza una comunicación máquina a máquina (M2M) ha creado una relación de amor-odio con el equipo de operación de TI, ya que estos dispositivos pueden estar operando en la red sin su conocimiento, lo que genera un riesgo operativo y de seguridad potencialmente devastador. Evidentemente, la red conmutada que finalmente conecta todas las cosas ha evolucionado y se está tornando más compleja, desde el punto de vista de la seguridad y la configuración. Este documento técnico analiza el estado de la red del switch y los atributos clave hacia los que el equipo de operación de TI debe tener visibilidad. Este documento analiza las prácticas recomendadas que ayudarán a hacer el equipo más eficiente en mantener el control de la red del switch, mejorar la colaboración del equipo de TI y mantener conectadas a las personas y que las cosas operen normalmente.

Las redes conmutadas de hoy en día

El papel de la red conmutada ha cambiado a lo largo de los años ya que fue en principio fue concebida a comienzos de los años noventa. Con el despliegue de los usuarios móviles y más productos BYOD (traiga su propio dispositivo), la red del switch ha tomado un papel más importante en hacer que más tipos diversos de dispositivos finales se conecten, en tanto que mantiene la seguridad de la red corporativa. Veamos las cuatro funciones clave de las redes switch de hoy en día cuyo control debe mantenerlo el equipo de operación de redes, así como las prácticas recomendadas:

Funciones clave Atributos clave que gestionar
Connectivity (Conectividad) Ofrecer potencia sobre Ethernet, duplex, velocidad al dispositivo y mecanismo de control de enlaces para facilitarla.
Autenticación y direccionamiento Mecanismo de autenticación de usuario y dispositivo, y el servicio de provisión de acceso y dirección.
Enrutamiento El switch y topología VLAN, y servicios de enrutamiento de paquetes como DNS, Gateway, NAT, que obtienen paquetes de IP de los clientes a su objetivo.
Eficiencia Ancho de banda, pérdida de paquete, retraso y fluctuación característica de ruta de red que afecta la eficiencia de la transmisión y mejoran la experiencia del usuario.

Cómo una red de switch funciona en conjunto para conectar y dar acceso a los dispositivos conectados

Connectivity (Conectividad)

Conectividad de potencia
La potencia sobre Ethernet se ha vuelto una popular forma de potenciar a los dispositivos finales porque reduce el coste de despliegue y mantenimiento. Muchos dispositivos de red, como los puntos de acceso, teléfonos VoIP y últimamente IoT, son todos virtualmente potenciados por PoE, exclusivamente. PoE es potencia calificada por normas 802,3 IEEE, y los dispositivos están clasificados según su voltaje y potencia en vatios. Existen dos tipos de dispositivos PoE:

  1. Equipo de fuente de alimentación (PSE, por sus siglas en inglés) que provee potencia al cable Ethernet. En nuevos despliegues, PSE es normalmente el switch y se le llama normalmente "endspan". Un inyector de PoE, llamado "midspan", puede colocarse entre un switch sin PoE y el dispositivo con PoE como retroadaptación. Basándose en la norma de PoE en la que se basa el PSE, corresponde a un TIPO PoE, 0 – 4 (ver Tabla 1). Los PSE pueden operar en dos modos: Un PSE en modo A suministra potencia usando 12, 36pares en el 4pares cable UTP, y un PSE en modo B utiliza los pares de repuesto 45, y 78. Es importante notar que el PSE define de qué modo se ofrece la potencia. La norma no requiere que un PSE admita ambos modos A y B.
  2. Un dispositivo alimentado (PD) es un dispositivo alimentado por un equipo de fuente de alimentación, y por tanto, consume energía. Un PD compatible con 802.3af y 802.3at debe poder admitir AMBOS modos A y B. Basándose en la potencia en vatios que el PD crea, recae en la Clase PoE, 0 – 4 (ver Tabla 2).

 

Tipo POE Nombre común Norma asociada Pares usados Máxima potencia a puerto de PSE Máxima potencia a PD
1 PoE 802.3af 2 15,4W 12,95W
2 PoE+, PoE Plus 802.3at 2 30 W 25,5W
3 PoE de 4 pares, PoE++, n.° UPoE 802.3bt* 4 60W 51W
4 PoE de alta potencia 802.3bt* 4 100W

Tabla 1: Tipos de PoE y PSE
N.°: UPoE es una referencia de clasificación de propietario Cisco en su Solución "Digital Ceiling" (Techo Digital).
*: 802.3bt es una norma IEEE propuesta que se prevé se ratifique a inicios de 2018.

Clase de PoE PD Tipo/norma Voltaje de DC en PSE Voltaje de DC en PD Potencia mín. de puerto de PSE Potencia usada por PD
0 1 / 802.3af 44-57V 37-57V 15,4W 0,44 – 12,95 W
2 1 / 802.3af 44-57V 37-57V 4,5 W 0,44 – 3,84 W
3 1 / 802.3af 44-57V 37-57V 7,5 W 3,84 – 6,49 W
4 1 / 802.3af 44-57V 37-57V 15,4W 6,49 – 12,95 W
4 1 / 802.3at 50-57V 42,5–57 V 30 W 12,95 – 25,5 W

Tabla 2: Clases de PoE PD

La 802,3 norma define a LLDP como el protocolo usado para que el PD se comunique con el PSE, y la clase a la que pertenece para que el PSE pueda brindar voltaje/corriente correctos. Sin embargo, existen dispositivos PoE en el mercado que utilizan protocolos propietarios, como el Cisco Discovery Protocol - CDP (Protocolo de Descubrimiento Cisco), antes que la norma se ratificara. No todos los dispositivos PoE cumplen necesariamente con la norma por lo que debemos revisar.

Lo que puede salir mal:
El reto al equipo de operación de redes es que a medida que más PD en diferentes clases se despliegan en la red, la energía disponible del PSE así como la interoperatividad entre el PD y el PSE necesita gestionarse y entenderse. Además, no todas las implementaciones de PoE cumplen con la norma ni el sistema de cableado existente es capaz de admitir PoE.

Síntoma Causas posibles
No se obtiene energía 1. Fallos en el cable:
  • a. abierto/cortocircuito
  • b. 2 cable par usado con PSE MODO B.
2. El PSE y PD no son compatibles; tipos o modo diferente
3. El puerto de PSE no activado para proporcionar la PoE
4. El PSE y/o PD no cumplen totalmente con la norma (por ej. el PD no tiene 25 ohmios en los pares alimentados o no admite ambos Modos A y B).
5. El PSE no tiene suficiente energía disponible para admitir el arranque de todos los PD conectados a este.
Descenso intermitente 1. Fallos en el cable:
  • a. muy largo (>100 m)
  • b. mucha resistencia
2. El PSE no tiene suficiente energía disponible para admitir todos los PD conectados que funcionan en el máximo consumo de energía (por ej. cuando las cámaras de seguridad motorizadas están escaneando).

Prácticas recomendadas:

  1. Capacite a su personal para que conozca cómo funciona la PoE.
  2. Lea cuidadosamente la especificación del equipo y despliegue únicamente los dispositivos que cumplen con la norma. Evite los PSE 'midspan' que no cumplen con la norma, como los cables Y Ethernet (no-no de por sí) o los llamados "Splitters pasivos PoE de 8 puertos" que simplemente sujetan un suministro de 48VDC a todos los pares "vagos".
  3. Registre la potencia en vatios del PSE y los PD.
  4. Revise al cambiar y añadir PD para garantizar que el PSE pueda admitir todos los PD conectados a este.
  5. Ofrezca herramientas normadas y procedimientos para que el equipo valide el estado del PD, PSE y cable durante el despliegue y resolución de problemas (por ej. verificar que el voltaje y la potencia en vatios del lado del PD esté disponible y cumpla el requisito).

 

Conectividad de enlace

La otra consideración cuando se trata de dispositivos conectados es el proceso de enlace entre el dispositivo y la red. Lo primero que se debe considerar es que el cable entre el dispositivo final y el switch debe poder admitir dicho enlace. La mayoría de sistemas de cableado estructurados de hoy requieren los cuatro pares conectados y certificados con una longitud de < 100 m durante el despliegue. Eso será suficiente para admitir todas las redes de hasta 1 Gbps como se muestran en la tabla a continuación. La tabla 2 a continuación muestra la norma mínima de cables requerida para admitir los diferentes tipos de despliegues. Durante la actualización, es importante volver a certificar el sistema de cableado para evitar que el desgaste o los cambios no registrados provoquen problemas.

Estándar Nivel de certificación Par usado
10BASE-T Cat3 12 y 36
100BASE-T Cat5 12 y 36
1000BASE-T Cat5 12, 36, 45, 78

El proceso de enlazado se negocia entre el dispositivo final y el switch para establecer la velocidad, el duplex y los pares de cable para permitir la comunicación de datos. Es cada vez menor el problema pues la auto-negociación ha sido la configuración predeterminada en los puertos del switch y la Network Interface Card - NIC (Tarjeta de interfaz de red), lo que deja la interoperabilidad normalmente estable y bien comprendida. La siguiente tabla muestra la situación inconsistente cuando ya sea la NIC o el switch se configura manualmente para usarse a una velocidad y/o duplex específico. La regla general es que si un lado es forzado, el otro lado necesita ser forzado de igual forma. Cuando un lado está autonegociando, el otro lado debe estarlo también. Incluso en el caso de que se establece un enlace cuando un lado está configurado como automático y el otro lado no lo está, es bastante posible que el lado automático intente regularmente renegociar, lo que provoca una pérdida temporal del enlace. A medida que baja el precio de un switch con capacidad de 10G, más de estos switches con puertos 1/10G se están desplegando. En la mayoría de casos, un puerto de switch 1/10G no admite la mitad del duplex o la autonegociación. Por lo tanto, tanto el puerto del switch y la NIC deben ser compatibles para que ocurra la conexión.


Resultado del enlace para switch de Ethernet de 10/100/1000 Mbps y configuraciones de enlace basadas en NIC

Lo que puede salir mal:

Síntoma Causa
No se puede enlazar (no hay luz de enlace) Fallo de cableado
  - Abierto, cortocircuito en par transmisor
Fibra SFP usada incorrecta: modo único contra multimodo
Incompatibilidad en la configuración del enlace entre el switch y NIC
Velocidad de enlace menor a la óptima/reconexión de duplex e intermitente Tanto NIC como el switch se configuraron como autonegociar en tanto el otro se configuró a una velocidad fija de enlace de 10/100/1000 Mbps
Fallo de cableado
  - Pares divididos

Prácticas recomendadas:

  1. Siempre utilice una autonegociación para NIC y Puertos de switch en puertos 10/100/1000 Mbps. Si hay un puerto de switch de 1/10G, fije la codificación a la velocidad requerida.
  2. Registre las configuraciones del puerto de switch y la ruta de cableado- estructurado utilizada, y con mayor importancia, haga la información accesible con facilidad a los miembros de equipo.
  3. Ofrezca una manera fácil de revisar la configuración del enlace del puerto del switch actual, ya sea directamente usando LLPD o mediante un sistema de gestión. La mejor forma es tener una herramienta pasiva que puede conectarse en línea, entre la NIC y el switch para observar la capacidad de enlace ofrecida, y el enlace/duplex que el par estableció.

 


El puerto del switch puede comprobarse por PoE en base a un tipo/clase de PoE y mostrar el TruePower™ disponible para la clase del PD.

La comprobación del enlace muestra la capacidad del enlace en el puerto del switch.

Análisis en línea que muestra la velocidad/duplex anunciada y usada, entre el switch y el dispositivo.

Autenticación

Antes de que un dispositivo pueda comenzar a comunicarse con otros dispositivos de la red, necesitará pasar por un proceso de autenticación con tres fines: seguridad, direccionamiento y provisión de acceso. La autenticación permite a un dispositivo autorizado el acceso a la red, además de impedir que un dispositivo malicioso se conecte a su red.

En el pasado, únicamente los dispositivos Wi-Fi requerían autenticación, mientras que los conectados por cable solo requerían conectarse a la corriente. Con la proliferación de dispositivos IoT, la autenticación de dispositivos ahora es más importante que nunca para nosotros. Existen muchos mecanismos de autenticación, pero el más usado está basado en 802.1x y Radius, lo que es compatible con el servicio DHCP. Durante el proceso de autenticación, como el basado en 802.1x, existen un mínimo de tres partes:
  1. Solicitante: el elemento que desea tener acceso a la red, como a la cámara de seguridad.
  2. Autenticador: el elemento mediante el cual el solicitante puede acceder a la red, como el switch o el punto de acceso Wi-Fi.
  3. Servidor de autenticación: contiene la información que se usa para decidir si un solicitante puede o no tener acceso a los recursos de la red. Normalmente es un servidor que opera un protocolo Radius. El mecanismo de autenticación puede basarse en la dirección MAC del dispositivo, la cuenta del usuario como una contraseña de invitado a SSID de invitados para BYOD, o la certificación privada programada en una tarjeta inteligente de una cámara de seguridad. El ejemplo a continuación muestra cómo una cámara de seguridad de ubicación fija se autentica. En este caso, se utiliza un protocolo EAP para una mayor seguridad, comúnmente visto durante la autenticación Wi-Fi de dispositivos finales.

 

En el ejemplo anterior, el autenticador sirve como proxy para comunicar el pedido de autenticación al servidor de autenticación. Después de la autenticación del dispositivo, este puede enviar una solicitud DHCP al servidor local DHCP para obtener una dirección IP y no hasta ese momento. Es importante notar que la autenticación y el conjunto de dirección IP designada requieren una sincronización. Tome como ejemplo la autenticación de usuario de Wi-Fi:

Después de que el dispositivo invitado BYOD es autenticado en la red mediante el SSID invitado, se configura AP para enviar el tráfico al VLAN 1 mientras que los Usuarios Corporativos conectados al SSID de la empresa se enviarán a la VLAN 101. Estas VLAN requieren configurarse en el switch para las redes WLAN, y cada VLAN requiere conectarse a un servidor local DHCP mediante un mecanismo de difusión de nivel 2 para que la dirección IP pueda proporcionarse al dispositivo. En algunos casos, un puente de protocolo DHCP, como el controlador Wi-Fi, puede usarse para enviar una solicitud DHCP de los clientes en diferentes VLAN a un solo servidor DHCP. Normalmente, las direcciones IP para cada VLAN son mutuamente excluyentes como se muestra para que los clientes que pertenecen a diferentes grupos puedan obtener acceso a sus distintos juegos de activos de red:

Grupo de usuario SSID VLAN Conjunto de direcciones IP Activos accesibles
Invitados Invitados 1 10.10.10.1-10.10.11.255 Ancho de banda de Internet limitado, impresora de invitados
Usuarios corporativos Empresa 101 20.10.10.1-20.10.19.255 Internet, VPN corporativo, servidores corporativos, impresoras…
Cámara de seguridad 201 20.10.20.1-20.10.21.255 Servidores de vídeo y almacenamiento
Administrador de redes Admin de red 301 20.10.30.1-20.10.30.127 Controlador de Wi-Fi, puertos de gestión de switch/router

Además de asignar una dirección IP al dispositivo, DHCP puede ofrecer otra información clave para el dispositivo final que es esencial para su operación. Por ejemplo, un teléfono VoIP recibe una dirección IP del servidor de configuración que contiene la dirección del gestor de llamadas y el n.° de puerto SIP para usar mediante el código de opción DHCP 66 (servidor TFTP) o 150 (servidor de configuración VoIP).
La tabla a continuación muestra las opciones DHCP comúnmente utilizadas y su n.° de código:

Código de opción DNS Descripción
1 Máscara de subred (debe enviarse después de la opción de router, opción3, si ambos están incluidos)
3 Router
6 Servidores DNS, deben enumerarse por orden de preferencia
15 Nombre del dominio DNS, deben enumerarse por orden de preferencia
44 Servidor WINS (nombre de servidor NetBIOS)
45 Servidor de distribución de datagrama NetBIOS (NBDD)
46 Tipo de nodo WINS/NetBIOS
47 ID de alcance NetBIOS
51 Tiempo de asignación
66 Nombre del servidor TFTP (RFC2132) o en el campo de nombre (RFC2131)
150 Dirección(es) IP de servidor(es) de configuración VoIP [tiene precedencia sobre la opción 66 (RFC5859)]

Lo que puede salir mal:

Síntoma Causas posibles
No se puede obtener dirección IP Problema de autenticación
  - Configuración de dispositivo final incorrecta (protocolo de autenticación, certificado incorrecto)
  - No hay una configuración de dispositivo final en el Servidor de autenticación
Dirección IP no disponible
  - No hay un suficiente conjunto de direcciones IP
Problema de redes
  - Servidor DHCP no accesible desde VLAN
Dirección IP incorrecta Problema de redes
  - VLAN asignada incorrecta
Un servidor DHCP incorrecto o malvado ofrece una dirección IP cuando el servidor DHCP está presente

Prácticas recomendadas:

  1. Registre la configuración VLAN en los switches, los puertos del vínculo superior de switch a switch, VLAN a la correlación de grupo/dirección de usuario, y DHCP proporcionado por cada dominio VLAN/de difusión.
  2. Haga la documentación accesible a los miembros del equipo responsable por la configuración y la resolución de problemas de las redes switch.
  3. Tenga procedimientos y un flujo de trabajo de comprobación estandarizados que permitan a cualquier miembro verificar la configuración del switch desde la ubicación del cliente a la dirección y VLAN adecuados.
  4. Tenga herramientas que ofrezcan visibilidad a todas las respuestas de DHCP desde la red, para detectar servidores DHCP malvados, la dirección IP y las opciones provistas a su cliente, mediante las credenciales de usuario.

 


OneTouch AT admite 802.1x con EAP para emular el del usuario.

Determine si se recibieron múltiples respuestas DHCP y cuáles fueron los parámetros ofrecidos.

Gane visibilidad de los VLAN configurados en puertos de switch, y otros estados, como la utilización y número de dispositivos conectados.

Enrutamiento

Cuando un dispositivo final obtiene una dirección IP y la información de configuración clave, luego puede comunicarse con otros dispositivos de la red. El enrutamiento es el mecanismo fundamental que la red utiliza para conectar diversos dispositivos basados en IP, en todas las redes públicas y privadas. Existe un número de servicios fundamentales claves en la red que facilitan esta función, que el equipo de operación de redes debe saber:

Elementos de enrutamiento Descripción
VLAN Virtual LAN es un mecanismo de nivel 2 que permite a los switches agrupar dispositivos finales y puertos de switch en un dominio de difusión.
Router Un router es un dispositivo que une redes y enruta el tráfico entre estas. Un router tendrá al menos dos tarjetas de interfaz de red (NIC): una se conectará físicamente a una red y la otra se conectará físicamente a otra red. Algunos routers pueden configurarse para únicamente permitir el tráfico en algunos puertos conocidos. Las aplicaciones que operan un protocolo con puertos especiales requerirán un cambio en la configuración para abrir dichos puertos.
DNS Un servidor de nombre de dominio, también llamado servidorDNS o servidor de nombre, gestiona una enorme base de datos que asigna los nombres de dominio a las direcciones IP. Cuando ingrese un URL en su navegador web, el servidor DNS predeterminado utiliza sus recursos para resolver el nombre en una dirección IP para el servidor web pertinente.
NAT Traducción de dirección de red, permite a un solo dispositivo, como un router, actuar como un representante entre la Internet (o "red pública") y una red local (o "privada"). Esto significa que únicamente se requieren una o varias direcciones IP para representar a todo un grupo de dispositivos con direcciones IP no reconocidas.

La forma cómo funcionan juntos estos servicios puede resumirse en los siguientes ejemplos:
El cliente comunicándose con un servidor en Intranet

  1. El cliente sabe el nombre del servidor
  2. El cliente envía una consulta a la IP del DNS predeterminada (parámetro de DHCP)
      a. Si el DNS predeterminado no se encuentra en la misma subred de la IP, envíe una consulta al router predeterminado en su VLAN
      b. El router envía la consulta al puerto del router conectado a la subred de la IP del DNS, y el ID VLAN cambiará muy probablemente.
  3. El servidor DNS responde con la dirección IP del servidor de la intranet, mediante el router si se necesita
  4. Enviar una solicitud de conexión a la dirección IP del servidor de la Intranet, nuevamente mediante el router, si se necesita
  5. El router envía la consulta al puerto del router conectado a la subred de la Intranet, y el ID VLAN cambiará
El cliente se conecta con la Internet
  1. Los primeros cuatro pasos son los mismos a cuando se comunica con el servidor de Intranet, excepto que el nombre del servidor puede ser un sitio web mediante un navegador web.
  2. El router reenvía el paquete IP al puerto del router conectado al enlace de Internet
  3. Si NAT es usado, el NAT cambiará la dirección fuente del cliente A hacia una dirección pública reconocible antes de enviar el enlace de Internet.

 

Lo que puede salir mal:

Síntoma Causas posibles
Todos los usuarios en el mismo VLAN no pueden conectarse al servidor de Intranet Dirección IP incorrecta o DNS predeterminado falló
El router no es accesible o falló
Ruta de enlace troncal VLAN rota o sobresuscrita
Todos los usuarios en el mismo VLAN no pueden conectarse a Internet Puerto del router o enlace a Internet no activo
El router no es accesible o falló
DNS no es accesible o falló
NAT falló
Alguna aplicaciones no pueden operar El router puede tener un puerto de protocolo bloqueado que la aplicación requiere
La llamada VoIP no funciona ¿El gestor de llamadas no es accesible?
¿La información de servidor de configuración DHCP VoIP no está disponible o está mal configurada?

Prácticas recomendadas:

  1. Durante la instalación, tenga herramientas y procedimientos estandarizados para que los técnicos puedan controlar la muestra de accesibilidad y ruta al router local y servidores críticos, Intranet e Internet, desde un límite VLAN usando cada credencial.
  2. Registre el router predeterminado correcto y la dirección IP del DNS que debe proporcionarse al cliente basándose en la credencial de usuario/dispositivo para la referencia durante la resolución de problemas. Haga la información accesible al equipo.
  3. Para la resolución de problemas, tenga herramientas que puedan mostrar el traceroute y ruta del switch, y observe que el proceso DNS pasa/falla cuando se accede al activo fuera del dominio local de subred/difusión.

 


Realizar una conexión TCP para verificar la resolución DNS, la conectividad al servidor y el tiempo de respuesta de ambos.

Verifique que el Gateway/Router predeterminado sea accesible.

Determine las rutas del switch entre el puerto del switch y el dispositivo objetivo.

Eficiencia

Con la conectividad, la autenticación y la ruta verificadas, lo último no menos importante es garantizar que la red puede ayudar a entregar un tráfico eficientemente. Existen diversos factores clave que pueden afectar la experiencia de usuario de la aplicación debido a la red:

  1. El ancho de banda disponible puede afectar la clase del servicio provisto, especialmente en los enlaces WAN, así como la carga en la red.
  2. La ruta de la red usada puede en ocasiones afectar la latencia transversa y el ancho de banda disponible.
  3. Los dispositivos inteligentes como el distribuidor de carga y los aceleradores WAN que pueden remodelar la transacción de aplicación.
Ya que el diseño de la red mayormente dicta estos factores, es responsabilidad del equipo operativo de la red validar el diseño para que la red pueda admitir la aplicación antes que se despliegue y no tenga carga, así como después de desplegar la red para su uso. Los parámetros más comúnmente comprobados son: velocidad de transferencia de información (IR, por sus siglas en inglés) o ancho de banda, fluctuación, retrasos y pérdida de paquetes. Los tres enfoques de comprobación de redes más comúnmente usados son iPerf, IETF RFC2544 E ITU Y.1564. La tabla a continuación muestra cómo estas comprobaciones hacen la comparación:

 

  RFC2544 iPerf Y.1564
Tipo de tramo UDP únicamente TCP, UDP UDP
Comprobaciones de redes clave Velocidad de transferencia de información, retraso y pérdida de datos. Fluctuación es opcional TCP: Velocidad de transferencia de información,
UDP: Velocidad de transferencia de información,
retraso, fluctuación y pérdida de datos
Velocidad de transferencia de información, retraso, fluctuación y pérdida de datos, CBS y EMS
Parámetros principales sintonizables IPv4, DSCP, TOS y VLAN;
Siete tamaños de tramo (byte):
64, 128, 256, 512, 1024,
1280, 1518; N.° mismo puerto
enviar y recibir
IPv4 o IPv6,
DSCP, TOS y VLAN;
TCP: Total de bytes enviados,
MTU/MSS, tamaño de ventana TCP,
y archivo para enviar; UDP:
tramo definido por usuario; tamaño
N.° Puerto dif. enviar y recibir
IPv4 o IPv6,
Etiqueta de nivel 3: MPLS,
802.1p, 802.1ad,
DSCP y COS;
Perfil de flujo: MTU,
CIR, EIR, EMIX;
N.° Puerto dif. enviar y recibir
N.° de conexiones simultáneas Una fuente de alimentación Múltiples Múltiples
Plataforma HW Equipo de comprobación profesional Computadora basada en Window/Linux/Unix Equipo de comprobación profesional
Ventajas Configuración simple para máximo ancho de banda Comprobación de TCP y UDP;
Comprobación de varios flujos;
licencia bajo BSD libre
Comprobación de TCP y UDP;
Comprobación de varios flujos;
período de comprobación corto
Desventaja UDP únicamente
Requiere HW dedicada
Velocidad de transferencia de información dependiente de línea de comando UI del controlador NIC Configuración compleja atípica en empresa LAN; requiere HW dedicado

De estos tres enfoques de comprobación, el RFC2544 es el primero en usarse y aún es el más usado. Ha sido suficiente para validar el rendimiento de redes de extremo a extremo. iPerf ha ganado popularidad en la comunidad de ingenieros de redes debido a su habilidad para realizar comprobaciones de ancho de banda con flujos TCP, y es de menor coste de despliegue. Y.1564 se usa principalmente para comprobaciones de enlaces de redes Metro, en las que SLA es un requisito. Enterprise no la ha adoptado ampliamente.

¿Qué podría provocar una lentitud en la aplicación?
Cuando un usuario se queja de un rendimiento lento de la red, existen varias preguntas que formular para determinar si la red es el problema:
  a. ¿Qué aplicación está afectada? voz/datos en tiempo real o tráfico de datos
  b. Si no es una aplicación corporativa, formule preguntas para determinar si los flujos de la aplicación están contenidos dentro de la red corporativa.
  c. ¿Cuántos clientes están afectados? ¿Cómo es la relación entre estos clientes?

Síntoma Cuál puede ser el problema
Todos los usuarios de solamente una aplicación de Intranet tienen un rendimiento lento La aplicación o el servidor tiene un problema;
La red que conlleva al/a los servidor(es) de la aplicación es mala
Todos los usuarios de una aplicación de Internet tienen un rendimiento lento Problema de aplicación de Internet;
Flujo bloqueado de la aplicación de Internet
La experiencia de un usuario con una aplicación fue mala Dispositivo del cliente o configuración de cuenta;
Problema de conectividad del cliente y la red, especialmente si se desconecta del Wi-Fi
Menos usuarios en la misma VLAN tuvieron bajo rendimiento Problema de ruta de red de la aplicación a la VLAN
Problema de aprovisionamiento de grupo VLAN

Prácticas recomendadas:
Durante el despliegue:

  1. Haga una comprobación del rendimiento de la red para el enlace de extremo a extremo entre las rutas críticas hasta el máximo ancho de banda del enlace más débil, y en relación con los requisitos de SLA del enlace más débil. Si no tiene disponible un parámetro de SLA, se usará la siguiente pauta: retraso de una dirección de extremo a extremo < 150msec, fluctuación < 100msec y pérdida de paquete < 1%.
  2. Resultado de la comprobación de documento del enlace para la referencia futura.
Durante la resolución de problemas:
  1. Si es una aplicación TCP, intente hacer una comprobación de Conexión TCP al servidor. Si la comprobación se completa al 100% con poco retraso, es muy probable que el servidor de por sí sea el problema, no el retraso de la red. El siguiente paso es probar que la pérdida de paquete en la ruta de red entre el cliente y el servidor está bien para eliminar totalmente la red como la causa. Normalmente, deseamos que esté a < 1% de la velocidad que la máxima velocidad de transferencia de información requerida para la aplicación. Si el servidor está fuera de la red corporativa, solo necesitará verificar hasta el punto antes de que el flujo deje la red.
  2. Si la aplicación es de voz/vídeo en tiempo real, algunos teléfonos VoIP pueden darle estadísticas de fluctuación/pérdida de paquete de la llamada. De lo contrario, puede operar una comprobación RFC2544 o iPerf contra el punto final objetivo. La voz y vídeo típicos requiere un retraso de una vía de extremo a extremo de < 150 msec, fluctuación < 40 msec y pérdida de paquete < 1%, a la velocidad de flujo UDP alrededor del flujo de voz/medio.
  3. Registre todos los resultados de comprobación. Si no es la red, intente captura la transacción de la aplicación en ambos extremos de la aplicación: cerca del cliente y del servidor. El mejor enfoque es capturar el tráfico usando TAP en línea o mediante un puerto SPAN/espejo.

 



Practique la conectividad al servidor de la aplicación y verifique la resolución DNS, el tiempo de respuesta enrutado o ambos.

Garantice el rendimiento del enlace alámbrico al router con la comprobación de rendimiento de OneTouch AT. Mida la capacidad de transmisión de entrada y salida de hasta 1 Gbps además de la pérdida, fluctuación y retraso.

Capture paquetes en línea entre el switch y el dispositivo, y aplique un filtro para almacenar la información relevante en SD-RAM.

Tenerlo todo junto

Para que el equipo de red sea eficiente al apoyar las redes de switch de hoy, el equipo debe estar al día con las tecnologías que hacen todo posible. También es crítico que los miembros del equipo compartan efectivamente la información, no solo acerca del conocimiento como la configuración de la red realizada, sino también la información en el lugar durante el despliegue o resolución de problemas. A pesar del mejor esfuerzo, no todos los miembros del equipo tienen el mismo nivel de habilidades. Existen muchas herramientas y freeware disponibles en el mercado, pero no todos los miembros de equipo tienen el conocimiento para utilizar estas herramientas, así como interpretar y compartir los resultados de las comprobaciones. Freeware también es notorio por la falta de documentación e informe de comprobación que pueden ser fácilmente compartidos. La habilidad para guardar y compartir la información en tiempo real acerca de la red no solo mejora la colaboración entre los equipos durante la resolución de problemas, sino que también sirve significativamente como evidencia cuando se requiere llamar a terceros como proveedores de servicios para resolver un problema causado por ellos.


Las herramientas de comprobación de redes portátiles NETSCOUT no solo brindan a los equipos de operación de redes los medios para obtener visibilidad, sino que la familia de herramientas ofrece dos atributos clave que ayudan al equipo a ser más efectivo.

1. Comprobación automatizada para admitir el procedimiento de comprobación estandarizada programable.
Las herramientas ofrecen un AutoTest que proveerá visibilidad a los cuatro aspectos de la red de switch con solo apretar un botón, así como límites de pase/falla de usuario programables y generar informes de forma automatizada. Existen disponibles tres opciones que ofrecen distintos niveles de detalle y profundidad de comprobación:

Funciones de AutoTest             LinkSprinter
            LinkRunner
            OneTouch AT
Conectividad - PoE Tipo 1 Tipo 1 y 2 con
TruePower
Tipo 1 y 2 con
TruePower
Conectividad - enlace 10/100/1000 Mbps
Cobre
10/100/1000 Mbps
Cobre o fibra
10/100/1000 Mbps
Cobre o fibra y
Hasta 802.11ac
Conectividad - identificación del Switch Informes LLDP/CDP
Nombre/n.° puerto del switch
Informes LLDP/CDP
Nombre/n.° puerto del switch
Informes LLDP/CDP
Nombre/n.° puerto del switch
Autenticación 802.1x/EAP 802.1x/EAP
Dirección DHCP y estático DHCP y estático DHCP y estático
Identificación VLAN
Enrutamiento Gateway (puerta de enlace),
Dispositivo con Ping 1 IP
Resolución DNS
Gateway (puerta de enlace),
Dispositivo con Ping 10 IP
Resolución DNS
Gateway (puerta de enlace),
Ping, conexión TCP,
CORREO ELECTRÓNICO, FTP, IGMP,
Comprobación WEB para usuario
N.° definible de dispositivos
Eficiencia Tiempo de respuesta para comprobación Ping Tiempo de respuesta para comprobación Ping Tiempo de respuesta para
comprobación de ruta
RFC2544 hasta 1Gbps
Herramientas notables • Ver resultado de comprobación
sobre Wi-Fi de
Aplicación móvil
• Alimentado por PoE o batería AA
• Distancia al fallo
• Generador de tono para
detector de cables
• Mapa de cableado para cables
comprobación
• Distancia al fallo
• Captura de paquetes
• Análisis de PoE y VoIP en línea
• Detección de dispositivos y
Informe de inventario
• Control remoto
• Distancia al fallo

Tabla: Comparación de funciones clave entre la comprobación de redes portátiles NETSCOUT para redes conmutadas

2. Flujo de trabajo colaborativo con portal en nube para el almacenamiento e intercambio de resultados de comprobación.

Para facilitar la visibilidad y colaboración entre el equipo de operación de la red, toda herramienta de comprobación de redes portátiles NETSCOUT comparten una base de datos de gestión de resultados e informes con base en la nube, llamada Link-Live. Es un servicio gratuito basado en la nube que admite la carga automatizada de resultados de comprobación de todas las herramientas portátiles. Durante el despliegue de la red, se puede generar fácilmente un informe del avance que muestre los puertos de switch comprobados cada día, su velocidad de enlace y distribución de duplex y resultados de comprobaciones de PoE. Durante la resolución de problemas, los resultados de comprobación anteriores de un puerto de switch pueden compararse con los resultados de comprobación actual para una identificación rápido de cambio.

 

Fig: cuadro de mandos de resultados Link-Live que muestra un resumen de los resultados de la comprobación

Fig: Resultados de comprobación ampliados que muestran información detallada

Fig: Informe de resumen de Link-Live que muestra el avance desde la perspectiva de resultados de comprobación en un período de tiempo.

Conclusión

Las redes de switch han evolucionado desde ser simples dispositivos de conexión a ser la red de la energía de alimentación, la autenticación de un dispositivo y usuario, y el enrutamiento del tráfico efectiva y automáticamente. El equipo de operación de la red necesita mantener su conocimiento de la tecnología adoptada, así como la forma de ganar visibilidad para erigir y hacer cambios en su red de switch, especialmente alrededor del límite, donde los dispositivos y usuarios se mueven constantemente, y donde se añaden nuevos dispositivos M2M. Tener una práctica recomendada que permite la normalización del procedimiento de comprobación, compartir la información, desde el diseño y la configuración en tiempo real, en estado local, mejorará la eficiencia global del equipo. Las herramientas de comprobación de red portátiles NETSCOUT ofrecen funciones de comprobación de calidad superior, así como procedimientos de comprobación automatizados para permitir al equipo de operación de redes ser eficientes y tomar control de 4 los aspectos clave de las redes de switch.

 
 
Powered By OneLink