Este documento describe diferentes métodos para medir el tráfico de red en entornos conmutados, incluidos SPAN, VSPAN y ACL. SPAN permite copiar el tráfico de puertos físicos a otro puerto para su análisis. VSPAN usa VLAN como fuente de tráfico. Las ACL se pueden usar para filtrar el tráfico antes de reenviarlo para su análisis. Se deben considerar factores como duplicación de paquetes y rendimiento al configurar estas técnicas.
3. FLUKE Networks
• Inicialmente creada como una unidad de Fluke Corporation
en 1993
• Líder indiscutido en medición de cableado estructurado
• Crea la categoría de productos Handheld Analyzer y
mantiene un claro liderazgo en la misma
• Primero en ofrecer una amplia línea de análisis distribuido y
soluciones de monitoreo
• Entra en el mercado de Telecomunicaciones y OSP en
1997
4. • Focalizándonos en el valor, calidad y confiabilidad
– Arrastrando la herencia de 50 años de FLUKE con las herramientas
mas confiables
• Innovación
– “Primero” en todas las categorías
Handheld Frame
Relay
Installation Tool
xDSL
Installation
Tool
NetTool
Connectivity
Tester for
everyone
Full line-rate
Gigabit
Analysis
Handheld
Network
Analyzer
Out of
the Box
Network
Mgmt
Handheld
Fast
Ethernet
Analyzer
1993 1995 1996 1998 1999
Digital
Cable
Tester
Web-
Enabled
Handheld
Analyzer
Digital Cat
6 Cable
Tester
1996 1997
Switch
Wizard
Handheld
ATM
Analyzer
199919981997 2000
WEB based
OneTouch
Series II
2000 2000
¿Cómo llegamos hasta acá?
Integrated
Network
Analyzer
2000
5. ¿Qué brinda FLUKE Networks?
• Nosotros damos
• Network SuperVision
• ¿Qué se supone que es?
8. Siguiendo los métodos descritos a continuación están pensados para
resolver problemas como
• Paquetes duplicados
• Paquetes perdidos
• Sobresuscripción de puertos
Estos métodos garantizan que los indicadores calculados a partir de los
datos capturados sean exactos y reduce carga de las herramientas de
monitoreo de trafico de red.
Dirigido a ingenieros de redes y administradores de redes.
La idea
9. El SPAN de Cisco permite copiar el tráfico de los puertos físicos en un switch
a otro puerto. Los puertos SPAN se configuran al crear una sesión SPAN
compuesto por una fuente y un destino.
Port Switch Analyzer (SPAN)
Monitor session SOURCE
- Especifica los puertos físicos de la que el SPAN copiará los datos.
- Especifica la dirección del tráfico a copiar: RX, TX, o ambos (por defecto).
Monitor session DESTINATION
- Especifica el puerto físico al que el SPAN copiará los datos.
La session source se compone de tres atributos:
• Session number: Distingue la sesión dentro del switch.
• Session source: Los puertos o VLAN de la que el SPAN copiará los datos.
• Session direction: Especifica la dirección : RX, TX, o ambos (predeterminada)
10. SI
• Los puertos de origen pueden ser puertos LAN L2 o L3 .
• Pueden ser con o sin trunK
NO
• No Se Puede Configurar las interfaces de WAN COMO Puertos de origen.
• Tampoco los Puertos EtherChannel
• No Se pueden mezclar Puertos Físicos y VLAN en una misma Sesion
• Si usamos una VLAN como source se monitorean todos los puertos de la misma
Consideraciones de los Puertos SOURCE
Consideraciones de los Puertos DESTINATION
• Un puerto de destino puede ser cualquier puerto físico.
• Un puerto de destino sólo puede dar servicio a una sola sesión SPAN (no EtherChannel)
• Una sesión de monitor puede tener hasta 64 interfaces de destino.
11. Se compone de dos partes:
• Session number: Distingue la sesión de monitor desde cualquier otro en el
switch.
• Session destination: especifica el puerto físico al que se copiaran los datos.
Información de destino
12. (config)# monitor session 1 source interface fa01/7
(config)# monitor session 1 destination interface fa01/1
• Cada sesión de monitor permite especificar la dirección.
• Los puertos de origen pueden ser configurado para copiar el tráfico de
entrada, salida o ambos,
• Si no se especifica la dirección de la sesión SPAN copiará ambas
direcciones.
El ejemplo 1 no especifica una dirección. Si la intención era sólo controlar los
datos recibidos en fa01/7, la sesión se debería de configurar de la siguiente
forma :
Ejemplo: Port SPAN IOS Configuration
13. (config)#monitor session 1 source interface fa01/7 rx
(config)#monitor session 1 destination interface fa01/1
El número de sesiones de SPAN que un switch soporta depende del modelo y debe
tenerse en cuenta a la hora de configurar sesiones SPAN
La idea de copiar el tráfico de producción a más de un analizador, permitiría por
ejemplo, enviar una copia de cada paquete a un monitor de rendimiento y otra
copia a un IDS u otro sistema de seguridad.
Ejemplo: Ingress-Only IOS Configuration
14. Cuando el puerto de origen de una sesión es un puerto de trunk,
puede configurarse un filtro con el fin de supervisar únicamente las
VLAN específicas a través del comando “filter vlan-list”.
Filtros de sesión
También es posible filtrar las VLAN que salen de un puerto mediante el
comando “switchport trunk allowed vlan vlan-list”. Este comando le
permite especificar que VLAN se transmite por la interfaz, reduciendo
los desbordes de buffer.
15. Generalmente las sesiones de SPAN deben proceder de
las interfaces conectadas a servidores de producción que alojan
las aplicaciones críticas.
Usando el puerto SPAN
(config)# monitor session 1 source interface Fa01/7
(config)# monitor session 1 destination interface Fa01/1
16. Consideraciones en entornos Multi-Tiered
En el caso de aplicaciones n-tiered debemos tener en cuenta que trafico
queremos analizar / monitorear
17. Utilizando VLAN SPAN, o VSPAN, abastecemos una sesión de monitor de un grupo
de interfaces físicas utilizando un solo comando.
VSPAN
Ventajas de VSPAN
• Es fácil de configurar ya que le permite captar grandes grupos de interfaces con un
solo comando.
• También significa que si los servidores se mueven los puertos en el switch / VLAN,
el cambio será transparente.
Desventajas de VSPAN
Debido VSPAN no le da la capacidad de controlar de qué interfaces se obtienen los
datos dando lugar a posibles congestiones y, posiblemente, descartes en la interfaz
de salida.
18. Debido a que cada interfaz física de la VLAN manda una copia, cualquier paquete que
viaja entre dos servidores en la VLAN es duplicado en un VSPAN.
Duplicación de paquetes
19. Cuando un dispositivo de capa 2 sólo utiliza un puerto troncal para comunicarse
con otros switches, se duplica el trafico.
Duplicación de paquetes
(config)# monitor session 1 source vlan 10
(config)# monitor session 1 destination interface fa01/1
20. Si la VLAN 20 también fuera una fuente para la sesión:
1. Cuando es recibido por FA01 / 9 en la VLAN 10
2. A medida que se transmite por el puerto Trunk Gig3 / 2 en la VLAN 10
3. A medida que se recibe por el puerto Trunk Gig3 / 2 en la VLAN 20
4. A medida que se transmite por FA01 / 7 en VLAN 20
Esta configuración podría conducir a
cuadruplicar paquetes para ciertas
conversaciones!!!
En este escenario, las VLAN deben ser
obtenidos en una sola dirección (RX) para
que los datos sólo se refleja cuando entran
al switch.
Sourcing varias VLAN en presencia de troncales
21. SPAN sólo supervisa los datos transmitidos o recibidos por un puerto físico, si un
paquete entra en un dispositivo de Capa 3 y va a una VLAN, no será visto hasta
que se transmite. Como resultado, si un VSPAN proviene de una sola dirección,
un lado de una conversación TCP se perderá.
Sourcing VLAN en switches layer 3
(config)# monitor session 1 source vlan 10 rx
(config)# monitor session 1 destination interface fa01/1
Los paquetes sólo se ven a medida que son recibidos
por una interfaz en la VLAN 10, por lo que cualquier
paquetes destinado a los hosts de VLAN 10 (TX) se
pierden
22. En los 6500 de Cisco, cada paquete que se recibe por un puerto se transmite de
forma automática al bus y a cada tarjeta. Cada tarjeta de línea bufferea el paquete
mientras que reconoce la dirección y busca el destino del paquete. Una vez que se
completa, el paquete se añade desde las memorias intermedias para las que se
conoce destino, o se borra. Debido a que cada paquete ya se copia a cada tarjeta de
línea, no hay impacto en el rendimiento cuando se configura SPAN.
Impacto en el rendimiento de SPAN
23. Se recomienda que el SPAN provenga de puertos individuales siempre que sea posible.
Idealmente, estos deben ser los puertos conectados directamente a los servidores de
aplicaciones de interés. En el caso de aplicaciones n-tier, cada nivel debe ser origen para
evitar duplicados.
Esto se puede lograr creando un diagrama de flujo de la aplicación de antemano, y
asegurarse de que cada flujo sólo cruza un puerto de origen.
VSPAN
• Puede causar duplicados en muchos escenarios
• Adecuado para su uso en dispositivos layer2
• Cuando hay una única VLAN, ya sea sólo entrada o salida
Recomendaciones
24. VACL es una lista de control de acceso que se aplica a una VLAN en lugar de a una
interfaz.
• Se puede utilizar para filtrar el tráfico, a reenviar a un dispositivo de monitoreo.
• Las VACL se procesan en hardware y se aplican a cualquier paquete que se dirija a
una VLAN desde un dispositivo layer 3.
• VACL también permiten filtros personalizados para limitar el tráfico que se captura.
• Compatibles con Cisco 6500 y 4500.
Una ACL o lista de control de acceso, es una lista que se utiliza para que coincida el
tráfico basado en características específicas. Cada línea de la lista que se conoce
como Access Control Entry, o ACE. Cada ACE contiene una condición que se
ajustará y una acción a seguir para todo el tráfico que coincide con esa condición.
Lista de control de acceso VLAN
ACL
25. El ACE puede filtrar en:
• Dirección IP de origen
• Dirección IP de destino
• Protocolo
• puerto de protocolo Fuente
• puerto de protocolo Destino
Un paquete que no coincide con ninguno de los ACE de una ACL será dado de
baja.
Existen capacidades de filtrado adicionales para ACL,.
Formato:
Fuente de Protocolo de actuación [puerto] ruta [puerto]
Donde [puerto] es la dirección IP de origen o subred y puerto Capa 4 .
EJEMPLO (filtrado trafico http):
ACL
permit tcp 192.168.0.0 0.0.0.255 eq 80 any
permit tcp any eq 192.168.0.0 0.0.0.255 eq 80
26. • Las ACL se aplican a las VLAN mediante un mapa de acceso.
• Un mapa de acceso puede contener múltiples ACL,
• Cada uno con un número de prioridad que especifica el orden
Mapas de acceso
27. Los pasos para configurar un mapa de acceso son:
• Definir el mapa de acceso
- Formato: VLAN access-map map_name [0-65535]
- Ejemplo: vlan access-map SA-Capture 10
• Configurar la cláusula
- Formato: match IP nombre_acl
- Ejemplo: match ip address 10
• Configuración de la acción
- Formato: Acción {forward | fordward [capture] | drop | redirect}
- Ejemplo: action forward
Configuración de un mapa de acceso
28. Ejemplo de aplicación un mapa de acceso:
La Access list especifica el trafico permitido
Access list 10 permit tcp any any
Access list 10 permit udp any any
!
El Access map define la action
vlan access-map Filter-20
action forward
match ip address 10
!
El comando VLAN filter aplica las ACL a las VLANS especificas
vlan filter example vlan-list 10
TCP y UDP solamente
29. Ejemplo: captura de toda una VLAN
(config)#access-list 101 permit ip any any
!
(config)#vlan access-map APA_Cap 20
(config)#match ip address 101
(config)#action forward capture
!
(config)#vlan filter APA_cap vlan-list 20
!
(config)#interface fa01/7
(config)#switchport capture
30. Ejemplo filtrar el tráfico a ser capturado
(config)# access-list 101 permit tcp any any
!
(config)#access-list 102 permit ip any any
!
(config)# vlan access-map APA_cap 20
(config)# match ip address 101
(config)# action forward capture
!
(config)# vlan access-map APA_cap 40
(config)# match ip address 102
(config)# action forward
!
(config)#vlan filter APA_cap vlan-list 10
!
(config)#interface gig2/13
(config)#switchport capture
31. Ejemplo: filtrar las copias de seguridad
(config)# access-list 101 permit ip host 192.168.1.1 any
(config)# access-list 101 permit ip any host 192.168.1.1
(config)# access-list 101 permit ip host 192.168.1.2 any
(config)# access-list 101 permit ip any host 192.168.1.2
!
(config)#access-list 102 permit ip any any
!
(config)# vlan access-map APA_cap 30
(config)# match ip address 101
(config)# action forward
!
(config)# vlan access-map APA_cap 40
(config)# match ip address 102
(config)# action forward capture
!
(config)#vlan filter APA_cap vlan-list 10
!
(config)#interface gig2/13
(config)#switchport capture
38. TAP Function
Port 1A Port 1B
Port 2A Port 2B
AB
CD
FILTER
AGGREGATION
FILTER
Deny
Vlan 1
Block
Broadcasts
Multicasts
Allow Ports
1024-1151
Allow IP
172.16.3.2
Allow
MAC
FATAP-2000BT/SX
39.
40. ¿Qué conectar?
Analizadores de protocolo
Por hardware Por Software
ClearSight™
Software de análisis basado en aplicaciones que proporciona
respuestas rápidas a problemas de rendimiento de
aplicaciones
•Motor de análisis de protocolo para Network Time Machine y OptiView XG Network
Analysis Tablet
•Supervisión de rendimiento de aplicaciones en tiempo real con alarmas para la
identificación de problemas
•Análisis basado en el tiempo para archivos de seguimiento de hasta 4 gigabytes para
identificar rápidamente los paquetes relevantes para la vista basada en aplicaciones
•Estadísticas en tiempo real, gráficos e informes para flujos en uno o múltiples
segmentos: para ver de forma rápida los problemas
•Estado de la llamada de vídeo y de voz, análisis de QoS y reproducción
•Informe resumido personalizado por el usuario
•Admite motor de decodificación Wireshark®
OptiView® XG
Tablet especializada en redes automatizadas y análisis de aplicaciones:
la forma más rápida para que el ingeniero de redes vea la causa del
problema
Factor de forma de tablet que proporciona análisis automatizados de LAN
inalámbricas de 10/100 Mbps, 1/10 Gbps y 802.11a/b/g/n
Integrado con las herramientas inalámbricas AirMagnet.
Interfaz de usuario intuitiva con navegación inteligente y resolución
guiada de problemas integrada, además de cuadros de mandos
personalizables por el usuario para ver los datos según se necesiten.
El análisis de rutas con gráficos y el Navegador de redes proporcionan
una imagen navegable al instante de las conexiones entre los switches
de las redes y dispositivos conectados, agilizando "el tiempo para
conocerse"
41. Results
The throughput test finished with a result of
93.1Mbps sustained for 10 seconds between
the two PCs.
Tap Capture Results
Packets captured: 133,126
Delta Time at TCP Setup: 243uSec
SPAN Capture Results
Packets captured: 125,221
Delta time of TCP connection setup: 221 uSec
Test Setup
We connected two PCs to a basic Cisco Catalyst
Switch at 100Mbps. A throughput test using iPerf
was configured and run between the two
machines. On one of the PCs, we placed a
100Mbps tap, and placed a hardware analyzer on
it to capture. Last, we configured a SPAN on the
switch to forward all traffic to and from this port
to another hardware analyzer. Below is a basic
drawing of the setup.