Marcado de punto de código de servicios diferenciados (DSCP)

0
0
0

Descripción

Este artículo habla sobre la configuración del marcado de punto de código de servicios diferenciados (DSCP) en unidades FortiGate.

Solución

Los servicios diferenciados (también llamados DiffServ) se definen en RFC2474 y RFC2475 como mejoras en las redes IP para permitir la discriminación de servicios escalable en la red IP sin necesidad de estado por flujo y señalización en cada salto.
Los enrutadores que pueden comprender los servicios diferenciados clasifican el tráfico IP en clases al inspeccionar el campo DS en el encabezado de IPv4 o el campo de clase de tráfico en el encabezado de IPv6.

La función de servicios diferenciados de FortiGate se puede utilizar para cambiar el valor de DSCP (punto de código de servicios diferenciados) para todos los paquetes aceptados por una política.
La red puede usar estos valores DSCP para clasificar, marcar, dar forma y vigilar el tráfico, y para realizar colas inteligentes.
Las características de DSCP se aplican al tráfico configurando FortiGate para aplicar diferentes niveles de servicio a los paquetes según el valor de DSCP del paquete.

Si la función de servicios diferenciados no está habilitada, la unidad FortiGate trata el tráfico como si el valor DSCP estuviera establecido en el valor predeterminado (CS0) y no cambiará el campo DSCP de los paquetes IP.
Los valores de DSCP tampoco se aplican al tráfico si el tráfico se origina en una unidad FortiGate.

El campo DSCP del paquete para el tráfico que inicia una sesión (hacia adelante) o para el tráfico de respuesta (hacia atrás) se puede cambiar y habilitar en cada dirección por separado configurándolo en la política de firewall.
Los cambios en los valores de DSCP en una política de firewall afectan a las nuevas sesiones.
Si el tráfico debe usar los nuevos valores DSCP inmediatamente, se recomienda borrar todas las sesiones existentes.

Artículos relacionados  Cómo evitar el uso de algoritmos de código de autenticación de mensajes débiles de SSH

DSCP se habilita mediante el comando CLI.

# config firewall policy
    edit <policy_number>
    …
        set diffserv-forward enable
        set diffservcode-forward <binary_integer>
        set diffserv-reverse enable
        set diffservcode-rev <binary_integer>
    end

DSCP es un número en el rango del valor decimal 0 a 63 que se coloca en un paquete IP para marcarlo según la clase de tráfico a la que pertenece.
La siguiente tabla define la relación entre las clases de servicio y las marcas DSCP.

 
 
Considere un ejemplo en el que se envía una solicitud de eco ICMP desde un host a un servidor DNS público 4.2.2.2.
En FortiGate, DSCP está habilitado en ambas direcciones.
 
 

 
La política de firewall en FortiGate es la siguiente.

# config firewall policy
    edit 1
        set srcintf port1
        set dstintf wan2
        set srcaddr all
        set dstaddr all
        set action accept
        set schedule always
        set service ALL
        set diffserv-forward enable
        set diffservcode-forward 011010
        set diffserv-rev enable
        set diffservcode-rev 011010
    next
end

De acuerdo con la política de firewall, FortiGate cambia el campo DSCP tanto para el tráfico saliente como para su tráfico de respuesta.

Si el sniffer se toma en la interfaz de salida ‘wan2’, una captura de wireshark mostrará que el tráfico está marcado como AF31(011010) para el tráfico de salida.

# diag sniffer paquete wan2 “ping 4.2.2.2 e icmp” 6 0 a


 
 
Sin embargo, el tráfico entrante en la interfaz wan2 todavía está marcado como CS0 (mejor esfuerzo).
Esto es de esperar ya que se aplica el marcado en la interfaz del puerto 1 para el tráfico entrante.
 
 
 
 
Si el sniffer se toma en la interfaz ‘port1’, se aplica la marca predeterminada para el tráfico saliente como se aplica la marca para el tráfico inverso.

# diag sniffer paquete port1 “ping 4.2.2.2 e icmp” 6 0 a


 
 
Sin embargo, el tráfico se marca como AF31 para el tráfico entrante.
 
 

 
 
 
 

El marcado DSCP también se puede configurar en las políticas de configuración del cortafuegos y tiene la misma lógica que en la política del cortafuegos.

 

config cortafuegos configuración-política
    editar <id>
        establecer servicio «TODO»
        establecer dstintf «virtual-wan-link»
        establecer srcaddr «todos»
        establecer dstaddr «todos»
        establecer diffservcode-forward 011010
        establecer diffservcode-rev 011010
    next
end

 

alif_0-1643931031503.jpg

 

 

Enlaces relacionados.

https://docs.fortinet.com/document/fortigate/6.0.0/handbook/459043/configuración-de-servicios-diferenciados…
https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate- modelado de tráfico-54/TS_Configuration/…
https://tools.ietf.org/html/rfc4594

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *