Configurar componentes de red para Zoom

Para entornos de red empresariales, es vital configurar los componentes de la red para priorizar los medios de colaboración en tiempo real, incluidos los datos de audio y vídeo de Zoom. Los siguientes ejemplos proporcionan orientación general y mejores prácticas para configurar dispositivos de red comunes para el tráfico de datos de Zoom.

Cortafuegos

La configuración adecuada del cortafuegos externo y del enrutador externo es fundamental para una conectividad y calidad de medios constantes de los productos de Zoom en su red

El enrutamiento eficiente de los datos a través de enrutadores externos y cortafuegos configurados para minimizar los retrasos en la inspección de paquetes, y que dispongan de reglas de cortafuegos precisas para las direcciones IP, puertos y protocolos de Zoom, ayuda a transmitir eficazmente los medios en tiempo real y la señalización de conectividad de Zoom.

Implementar todas las reglas de cortafuegos proporcionadas por Zoom permite una colaboración de audio y vídeo de Zoom coherente

Para una conectividad consistente y la mejor calidad de medios disponible, todas las direcciones IP, puertos y protocolos de Zoom proporcionados en el Configuración de cortafuegos o servidor proxy de red de Zoom deben aplicarse a las reglas de cortafuegos de su tráfico saliente. Zoom se comunicará con el puerto de destino que se reciba cuando una aplicación de Zoom o un dispositivo con Zoom habilitado en su red realice su conexión inicial. Configure el cortafuegos para permitir las conexiones de retorno desde Zoom.

Utilice la inspección de paquetes basada en DNS en su cortafuegos y enrutadores para una colaboración global fluida y escalabilidad al adoptar nuevas funciones de la plataforma Zoom

Zoom recomienda habilitar la inspección basada en DNS en los cortafuegos de red y la infraestructura de enrutamiento para asegurar y acceder de manera consistente a los servicios de Zoom. Esto ayuda a proporcionar una experiencia de colaboración sin interrupciones tanto dentro como fuera de su organización a lo largo de la presencia global de Zoom.

Al usar la inspección basada en DNS a medida que su organización adopta nuevas funciones de la plataforma o conforme cambia la infraestructura de Zoom, no debería ser necesario realizar mantenimiento adicional de rangos de IP ni soporte de políticas de cortafuegos para incorporar estos nuevos servicios en la nube usando su infraestructura. Zoom proporciona un conjunto completo de controles de seguridad que incluyen selección del tránsito del centro de datos y controles de residencia de datos en el portal de configuración de la cuenta de Zoom.

Las inserciones de encabezados personalizados en cortafuegos de próxima generación permiten a los administradores restringir la cantidad de ancho de banda que consumen los productos Zoom

Zoom ha trabajado con Palo Alto Networks para permitir encabezados personalizados en el tráfico de Zoom para aplicar ajustes específicos de la aplicación Zoom, incluida la restricción del uso de ancho de banda de la aplicación.

A través del proceso de descifrado SSL, los cortafuegos de próxima generación pueden ser capaces de insertar un encabezado personalizado para el tráfico de Zoom sobre el puerto TCP 443 que puede activar políticas específicas del cliente dentro de los Servicios web de Zoom, aplicando ajustes de la aplicación. Esto permite a los administradores imponer ajustes de la aplicación Zoom para sus usuarios que se unan a reuniones externas y para usuarios de Zoom no autenticados.

Para organizaciones que usan marcado DSCP, marcar los paquetes de datos entrantes de Zoom en su cortafuegos y enrutador externo es una medida importante para mantener una priorización equitativa de los medios

Marcado DSCP para las aplicaciones de Zoom Workplace está disponible a través de la configuración en el portal web y en la Directiva de grupo/Plist. Ambas opciones permiten el marcado del tráfico de medios y señales de Zoom saliente desde las aplicaciones Zoom Workplace compatibles. El tráfico entrante de Zoom mayormente perderá sus etiquetas DSCP mientras atraviesa Internet, dejando los paquetes de datos de Zoom sin marcar al regresar a su red.

Como buena práctica, el cortafuegos externo de su red (y el enrutador externo) debe marcar el tráfico entrante de Zoom utilizando las direcciones IP y puertos de medios proporcionados en nuestro artículo de soporte sobre cortafuegos para mantener una priorización igualitaria para el tráfico de datos de Zoom entrante y saliente.

Evitar el ingreso y salida centralizados para enrutadores externos puede mejorar la transmisión del tráfico de Zoom

Si bien el ingreso y la salida centralizados pueden proporcionar un único punto de control y seguridad, también pueden ser un punto de congestión en su red que puede retrasar la transmisión de los medios de Zoom.

Cuando se implementa enrutamiento distribuido, el tráfico de Zoom puede tomar rutas más directas entre el origen y el destino sin necesitar canalizarse a través de un enrutador centralizado. Esto reduce el riesgo de cuellos de botella y congestión en un único punto de la red. El enrutamiento distribuido puede ayudar a reducir la latencia y mejorar el rendimiento de las aplicaciones, particularmente para aplicaciones en tiempo real como la voz y la videoconferencia.

Inspección de paquetes

Las configuraciones adecuadas para la inspección de paquetes y la lista de permitidos ayudan a mantener una alta calidad de audio y vídeo en Zoom Meetings y Webinars

La inspección de paquetes es una parte clave de la seguridad de la red. Sin embargo, si la inspección de paquetes se realiza sobre los datos de audio y vídeo en tiempo real de Zoom, puede introducirse un retraso significativo que degrade la calidad de los medios que se transmiten entre las aplicaciones Zoom Workplace. Al configurar componentes de red que sean capaces de inspección de paquetes o de listas de permitidos (por ejemplo, cortafuegos externos, enrutadores, servidores proxy, etc.), puede ayudar a que los datos de audio y vídeo de Zoom pasen hacia y desde los productos de Zoom con menos demora.

Pueden necesitarse políticas para evitar la inspección profunda de paquetes para los datos de Zoom

Puede ser necesario implementar políticas en los dispositivos que realizan la inspección de paquetes para que no filtren los dominios de Zoom que se enumeran en nuestro artículo de soporte sobre cortafuegos.

Los componentes de red que realizan inspección o filtrado de seguridad pueden necesitar que se añadan las direcciones IP, puertos y dominios de Zoom a una lista de permitidos

Para cortafuegos, servidores proxy, controladores de redes definidas por software y otros componentes de red que funcionan con listas de permitidos, puede ser aconsejable que los administradores de red creen una lista de permitidos que especifique las direcciones IP, dominios o puertos de red asociados con los servicios de Zoom (proporcionados en nuestro artículo de soporte sobre cortafuegos) para que los datos de audio, vídeo y señalización de Zoom sean identificados y se les permita pasar sin inspección ni bloqueo.

Use Secure Real Time Protocol (SRTP) y evite la inspección SSL/TLS para el tráfico de Zoom

Los servidores proxy generalmente no están diseñados para el transporte de datos de audio y vídeo en tiempo real, y la inspección de paquetes SSL/TLS que puede realizarse en servidores proxy o en cortafuegos de próxima generación puede introducir un retraso significativo que degrade la calidad del audio y vídeo y de la señalización de Zoom.

Enrutamiento intra-red

Optimice el enrutamiento de la red para minimizar el “hairpinning” y reducir la latencia del tráfico interno de Zoom

Cuando el tráfico entre dos aplicaciones Zoom Workplace en la misma red local se enruta a un servidor proxy externo en lugar de hacerlo directamente entre las aplicaciones, pueden producirse latencia, pérdida de paquetes y un consumo adicional de ancho de banda. Además, el tráfico de Zoom que pasa por el servidor proxy externo puede anular las políticas QoS para el tráfico interno, provocando degradación del audio y vídeo o conectividad retrasada en las reuniones. Optimizar su red para reducir el hairpinning del tráfico de Zoom ayudará a mantener medios de Zoom de alta calidad y a reducir el consumo de ancho de banda en su red.

Windows admite la implementación de QoS mediante la Directiva de grupo y macOS/iOS la admiten mediante MDM y Cisco Fastlane

Los equipos Windows y macOS son un punto para la configuración de QoS y la priorización del tráfico de Zoom. Windows los administradores pueden usar la Directiva de grupo para desplegar QoS basado en políticas con marcado DSCP y controles de limitación de ancho de banda para priorizar los datos de Zoom para aplicaciones, usuarios y equipos específicos. Apple los ordenadores y dispositivos móviles trabajan en conjunto con una solución de gestión de dispositivos móviles (MDM) para permitir la priorización de los datos de la aplicación. Cisco Fastlane puede proporcionar controles más detallados para priorizar el tráfico de aplicaciones específicas como Zoom para dispositivos macOS e iOS.

Use moldeadores de paquetes o dispositivos de gestión de ancho de banda para priorizar el tráfico de Zoom y asignar ancho de banda a las aplicaciones de Zoom

La mayoría de los dispositivos de modelado o conformado de tráfico son capaces de identificar aplicaciones o protocolos utilizados para la colaboración de audio y vídeo en tiempo real y dar a estos datos colas de prioridad; permitiendo que los paquetes de medios se transmitan con una demora mínima. Muchos de estos dispositivos también supervisan métricas de rendimiento de la red como latencia, jitter y pérdida de paquetes para ajustar y asignar dinámicamente el ancho de banda de la red a las aplicaciones de Zoom durante picos en el uso de la red. También pueden estar disponibles herramientas de prevención de pérdida de paquetes, como la corrección de errores hacia adelante (FEC), para recuperar paquetes de medios perdidos sin retransmisión.

Use conmutadores de red capaces de manejar datos de medios en tiempo real y utilice las herramientas a bordo disponibles para optimizar los conmutadores para el tráfico de datos de Zoom

Utilizar conmutadores de red con alto ancho de banda y alto rendimiento (por ejemplo, conmutadores con puertos Ethernet Gigabit o de 10 Gigabit), junto con tasas de conmutación y reenvío de baja latencia, ayuda a transmitir paquetes de datos de audio y vídeo con retrasos o cuellos de botella mínimos.

Investigue y aproveche funciones adicionales a bordo en sus conmutadores de red que puedan ayudar en la transmisión eficiente y prevención de pérdida de paquetes para los datos de Zoom

Los conmutadores de red pueden disponer de algunas de las siguientes funciones que se pueden utilizar para priorizar el tráfico de Zoom y mantener audio y vídeo de alta calidad.

Calidad de servicio (QoS) y marcado DSCP

Los conmutadores de red pueden ser capaces de implementar políticas QoS y reconocer etiquetas DSCP para priorizar los medios de audio y vídeo de colaboración.

Almacenamiento de jitter (jitter buffering)

Habilitar el almacenamiento de jitter en los conmutadores de red puede mitigar los efectos de los retrasos de paquetes almacenando y reordenando los paquetes de datos fuera de orden para reducir las variaciones en las llegadas de paquetes.

Prevención de pérdida de paquetes y rutas de transmisión redundantes

Los conmutadores de red pueden contar con Forward Error Correction (FEC) que añade información redundante a los paquetes de vídeo, permitiendo la recuperación de paquetes perdidos sin retransmisión, y las rutas redundantes proporcionan rutas alternativas para la entrega de paquetes en caso de fallos de la red.

Configurar soluciones SD-WAN para el tráfico de Zoom ayuda a transmitir audio y vídeo de Zoom de manera eficiente a través de su red de área amplia

Las soluciones SD-WAN ofrecen a las organizaciones mayor agilidad, flexibilidad y control sobre sus redes de área amplia, permitiendo a los grupos adaptarse a las necesidades empresariales cambiantes, reducir costos y mejorar el rendimiento y la fiabilidad de su infraestructura de red. Zoom es compatible con varias plataformas SD-WAN.

Las soluciones SD-WAN pueden reconocer aplicaciones sensibles al retraso, incluido Zoom, y aplicar controles de ancho de banda basados en políticas para los medios de Zoom que viajan por la WAN de una organización. SD-WAN selecciona dinámicamente la mejor ruta para el tráfico en función de factores como la calidad del enlace, la latencia, la pérdida de paquetes y el ancho de banda disponible. Puede enrutar el tráfico a través de múltiples tecnologías de transporte, incluidas MPLS, Internet de banda ancha, redes celulares 4G/5G e incluso enlaces satelitales, para optimizar el rendimiento y la fiabilidad.

Entregar los medios de Zoom a puertas de enlace SD-WAN o dispositivos de borde SD-WAN para aplicar políticas y usar rutas de transmisión dinámicas

Las plataformas SD-WAN proporcionan puertas de enlace o dispositivos de borde que pueden ser hardware o virtuales. Estas puertas de enlace se implementan en las ubicaciones remotas de una organización, p. ej., residencias, sucursales u oficinas satélite. Al enrutar los datos de audio y vídeo de Zoom a las puertas de enlace SD-WAN, se aplicarán la priorización de red basada en la aplicación deseada, las políticas QoS, la asignación de ancho de banda y las selecciones de rutas dinámicas.

Utilizar una conexión a Internet dual con una solución SD-WAN permite una transmisión más eficiente del tráfico de Zoom al separarlo del tráfico de Internet no crítico para el negocio

Una solución SD-WAN y conexiones a Internet duales podrían usarse para restringir ciertos tipos de tráfico a una cantidad reducida de ancho de banda o forzar que todo el tráfico no crítico para el negocio—como redes sociales o medios de streaming—salga por una canalización de datos secundaria, o esté bajo un límite de ancho de banda restringido. Esto permitiría una asignación consistente de ancho de banda para medios sensibles al retraso como las aplicaciones de colaboración de audio y vídeo de Zoom.

Use las configuraciones de QoS y de red disponibles a través de su proveedor de servicios de Internet, incluidos los servidores DNS proporcionados por el ISP

Acuerdos de nivel superior con el proveedor de servicios de Internet (ISP) para empresas u organizaciones pueden proporcionarle opciones centralizadas de QoS que usted puede controlar o solicitar que su ISP configure en su nombre. Estas opciones le permiten priorizar el tráfico de Zoom y otro tráfico de medios en tiempo real para su transmisión acelerada a través del ISP.

Utilizar un servidor DNS proporcionado por su ISP, en lugar de un servidor DNS de terceros o agregado, puede proporcionar una resolución DNS más rápida. Los servidores DNS del proveedor de servicios de Internet pueden almacenar en caché dominios de uso común e implementar enrutamiento optimizado hacia servicios populares, incluido Zoom.

Confirme que las configuraciones de QoS y marcado DSCP sean coherentes entre las redes MPLS por las que atraviesa su tráfico de Zoom

Las redes MPLS (Multi-Protocol Label Switching) proporcionan una plataforma robusta para construir redes de área amplia (WAN) con controles granulares centralizados, la capacidad de segregar el tráfico y optimizar su enrutamiento, y proporcionar seguridad y control QoS.

Cuando el tráfico de Zoom atraviesa una o más redes MPLS, confirme que las políticas QoS y los mecanismos de preservación de etiquetas DSCP estén configurados correctamente y que estas configuraciones sean coherentes entre múltiples redes MPLS. Esto ayuda a que el tráfico de Zoom siga estando priorizado como datos de comunicación en tiempo real y que las etiquetas DSCP permanezcan intactas mientras los datos atraviesan la(s) red(es) MPLS.

Los puntos de acceso inalámbricos con estándares Wi-Fi actuales, una cobertura sólida de puntos de acceso y configuraciones de priorización de tráfico ayudan a facilitar medios de Zoom de alta calidad

Para una red inalámbrica sólida, capaz de manejar múltiples flujos de colaboración de audio y vídeo, la cobertura de puntos de acceso (AP), la proporción de usuarios por AP y el hardware de AP actualizado son factores importantes, junto con la supervisión continua y la resolución de problemas de los cuellos de botella de la red. Para mayor rendimiento y claridad de señal, se recomienda el canal inalámbrico de 5 GHz para la colaboración de audio y vídeo de Zoom.

Use las configuraciones disponibles de QoS, control de ancho de banda o priorización de aplicaciones para optimizar sus puntos de acceso inalámbricos para Zoom

Los AP modernos pueden disponer de algunas de las siguientes configuraciones a bordo, que permiten la priorización del tráfico de audio y vídeo de Zoom.

Calidad de servicio (QoS)

Muchos puntos de acceso inalámbricos modernos admiten QoS, lo que permite a los administradores configurar el nivel de prioridad de los datos de audio y vídeo de Zoom.

Wi-Fi Multimedia (WMM)

Parte del estándar IEEE 802.11e, Wi-Fi Multimedia (WMM) es una función de QoS que prioriza diferentes tipos de tráfico Wi-Fi según sus requisitos (voz, vídeo, mejor esfuerzo y en segundo plano). Habilitar WMM en un punto de acceso puede ayudar a priorizar el tráfico en tiempo real como Zoom.

Control de ancho de banda

Los límites de ancho de banda y las políticas de conformado de tasa pueden asignar una porción dedicada del ancho de banda total específicamente para el tráfico de Zoom.

Visibilidad y priorización de aplicaciones

Las funciones de priorización a nivel de aplicación permiten a los administradores asignar mayor prioridad a aplicaciones o protocolos específicos. Busque opciones para priorizar Zoom o aplicaciones de videoconferencia dentro de la configuración del AP.

Listas de control de acceso (ACL)

Para priorizar el tráfico de Zoom, utilice listas de control de acceso (ACL) para restringir el acceso del tráfico no esencial durante los períodos de uso pico en los AP inalámbricos.

Selección y optimización de canales

Optimice la selección y configuración de los canales inalámbricos para maximizar el rendimiento del tráfico de Zoom. Elija canales menos congestionados y ajuste los anchos de canal y los niveles de potencia de transmisión según sea necesario para optimizar el rendimiento.

Redes privadas virtuales

Use el enrutamiento dividido de VPN (VPN Split Tunneling) para evitar la degradación del audio y vídeo de Zoom y la sobrecarga de su infraestructura VPN

Los servicios de Red Privada Virtual (VPN) son importantes para asegurar los datos a los que acceden los usuarios que trabajan desde ubicaciones remotas. Sin embargo, cuando los medios de aplicaciones de colaboración multimedia en tiempo real como Zoom se transmiten a través de una VPN, se coloca una carga importante en la infraestructura VPN y puede producirse una degradación significativa del audio y vídeo.

Trabajar con su proveedor de VPN para desplegar una plantilla para VPN Split Tunneling le permite designar qué datos de aplicaciones atravesarán su VPN y cuáles la omitirán hacia su red local.