Balanceo de carga multiplexación HTTP y aceleración

Los dispositivos FortiGate permiten la configuración de IP’s virtuales (VIP’s) de manera que estas ofrecen balanceo de carga de servidores, teniendo la capacidad de que las peticiones realizadas a la IP virtual puedan ser atendidas por un grupo de servidores habilitados para ese efecto. La distribución del balanceo de carga puede ser configurada a nivel de puertos TCP o UDP, con la posibilidad de tener varios servicios desplegados en la misma IP y atendidos por grupos de servidores distintos. Cada uno de los servidores que componen grupo de balanceo, puede ser monitorizado a nivel ICMP, TCP o HTTP de manera que ante el fallo de un servidor, el servicio continúa activo en el resto de equipos, dotando a la plataforma de alta disponibilidad.

De la misma forma, es posible configurar la IP virtual para que haga multiplexación del tráfico HTTP, de manera que varias conexiones externas se traducen en una única conexión entre el FortiGate y el servidor, haciendo que este consuma menos recursos al servir las peticiones entrantes.

Con la misma filosofía, los equipos FortiGate pueden realizar la labor de aceleradores SSL para conexiones HTTPS. La conexión HTTPS es terminada en el equipo FortiGate y este realiza la petición sin cifrar (o cifrada) al servidor correspondiente. De esta manera se elimina la necesidad de cifrar la sesión en el propio servidor, con lo que los recursos de este son optimizados para llevar a cabo las tareas del servicio, dejando la cifrado y descifrado del túnel SSL en manos del FortiGate.

Es también posible además mantener la persistencia de una sesión si es necesario (tanto en HTTP como en HTTPS).

2.12.4. Calidad de Servicio (QoS)

Mediante la aplicación de técnicas de Calidad de Servicio la red provee un servicio prioritario sobre el tráfico más sensible al retardo. Los equipos FortiGate permiten aplicar técnicas de priorización de tráfico y Calidad de Servicio (QoS), reservar ancho de banda para aquellas aplicaciones que sean más sensibles al retardo, o bien limitar el ancho de banda de aquellas aplicaciones que hagan un uso intensivo de los recursos de la red.

La Calidad de Servicio es una funcionalidad fundamental para poder gestionar el tráfico generado por la transmisión de voz y las aplicaciones multimedia. Estos tipos de tráfico son enormemente sensibles al retardo y a la variación del mismo (jitter). Una adecuada gestión de la calidad de servicio nos permitirá la utilización de estas aplicaciones sin recurrir a una ampliación innecesaria del ancho de banda de la red, reservando el ancho de banda necesario y priorizando este tipo de tráfico ante otros menos sensibles al retardo como pueda ser el correo o el tráfico ftp.

Los equipos FortiGate proveen calidad de servicio para todos los servicios soportados, incluyendo H.323, SIP, TCP, UDP, ICMP o ESP. La Calidad de Servicio es implementada en las plataformas FortiGate del siguiente modo:

La gestión de ancho de banda se realiza mediante la utilización de buffers que permiten regular los diferentes flujos de tráfico en base a la velocidad de transmisión de los paquetes. Lo que se consigue de este modo es evitar que los paquetes sean descartados, haciendo que se almacenen en el buffer hasta su transmisión, retrasando su envío hasta que sea posible. Los equipos FortiGate usan la técnica Token Bucket para garantizar y limitar el ancho de banda.

La bufferización se realiza en función de la prioridad asignada a cada flujo, pudiendo variar entre prioridad alta, media o baja. Si el ancho de banda no es suficiente para el envío de todos los paquetes almacenados, se transmiten en primer lugar los de prioridad alta. La tecnología DiffServ permite modificar los parámetros DSCP, siguiendo las normas RFC 2474 y 2475. Así, aquellos componentes de la red compatibles con DiffServ, son capaces de interpretar la prioridad de los paquetes transmitidos inspeccionando las cabeceras de los paquetes y clasificando, marcando, y gestionando el tráfico en base a esta información.

Los equipos FortiGate aplican la calidad de servicio de manera diferenciada en cada una de las políticas definidas en el firewall a través de perfiles previamente definidos. Una vez que el flujo de tráfico ha sido identificado por alguna de las políticas existentes, los parámetros QoS definidos en dicha política se aplican sobre ese flujo particular de tráfico.

Configuración de parámetros QOS

Gestión del Ancho de Banda (Traffic Shaping) a nivel de políticas

Los parámetros de configuración del ancho de banda nos permiten definir un ancho de banda mínimo o un límite máximo para el tráfico identificado con esa política. El ancho de banda definido no puede superar el ancho de banda total disponible, pero puede ser empleado para mejorar la calidad del uso de este ancho de banda por aquellas aplicaciones que hagan un uso intensivo del mismo, o bien aquellas aplicaciones sensibles al retardo.

Gestión del Ancho de Banda (Traffic Shaping) por dirección IP

Así mismo, también es posible establecer traffic shaping por IP, de forma que sea aplicado por cada dirección IP, en lugar de por política.

Soporte DiffServ en GUI

La funcionalidad DiffServ puede ser configurada en el equipo FortiGate con objeto de modificar los valores DSCP (Differentiated

Services Code Point) para todos los paquetes a los que se aplica

una política en particular. Hasta la versión 5.4.0 la única forma de configurar DSCP era por CLI. Ahora es posible configurarlo también en GUI.

Gestión del Ancho de Banda (Traffic Shaping) a nivel de Interfaces

Igual que a nivel de políticas, los dispositivos FortiGate permiten la gestión de ancho de banda a nivel de interfaz, permitiendo definir un ancho de banda máximo asociado a una interfaz específica, de esta forma se consigue limitar el tráfico entrante a una interfaz determinada pudiendo hacer control del ancho de banda disponible por interfaz. Esta técnica aplica tanto a interfaces físicas como a interfaces lógicas, tipo VLAN o VPN.

Esta característica ha de ser configurada únicamente vía CLI (no disponible en GUI):

(internal) # set inbandwidth

bandwidth-limit <integer> in KB/s (0-2097000; 0 for unlimited)