SlideShare uma empresa Scribd logo

Medición en entornos switcheados optimizados para

Transferir como PPTX, PDF
Fundación Proydesa
Fundación Proydesa

Este documento describe diferentes métodos para medir el tráfico de red en entornos conmutados, incluidos SPAN, VSPAN y ACL. SPAN permite copiar el tráfico de puertos físicos a otro puerto para su análisis. VSPAN usa VLAN como fuente de tráfico. Las ACL se pueden usar para filtrar el tráfico antes de reenviarlo para su análisis. Se deben considerar factores como duplicación de paquetes y rendimiento al configurar estas técnicas.

1 de 42
Medición en entornos switcheados • Ing. Gustavo Ramón • flukenetworks@viditec.com.ar
Viditec 1981 - 2013
FLUKE Networks • Inicialmente creada como una unidad de Fluke Corporation en 1993 • Líder indiscutido en medición de cableado estructurado • Crea la categoría de productos Handheld Analyzer y mantiene un claro liderazgo en la misma • Primero en ofrecer una amplia línea de análisis distribuido y soluciones de monitoreo • Entra en el mercado de Telecomunicaciones y OSP en 1997
• Focalizándonos en el valor, calidad y confiabilidad – Arrastrando la herencia de 50 años de FLUKE con las herramientas mas confiables • Innovación – “Primero” en todas las categorías Handheld Frame Relay Installation Tool xDSL Installation Tool NetTool Connectivity Tester for everyone Full line-rate Gigabit Analysis Handheld Network Analyzer Out of the Box Network Mgmt Handheld Fast Ethernet Analyzer 1993 1995 1996 1998 1999 Digital Cable Tester Web- Enabled Handheld Analyzer Digital Cat 6 Cable Tester 1996 1997 Switch Wizard Handheld ATM Analyzer 199919981997 2000 WEB based OneTouch Series II 2000 2000 ¿Cómo llegamos hasta acá? Integrated Network Analyzer 2000
¿Qué brinda FLUKE Networks? • Nosotros damos • Network SuperVision • ¿Qué se supone que es?
Hardware Software Physical Application LAN WAN Portable Distributed Damos diferentes formas de ver a las redes:
ANALISIS Solo podemos analizar lo que vemos
Siguiendo los métodos descritos a continuación están pensados para resolver problemas como • Paquetes duplicados • Paquetes perdidos • Sobresuscripción de puertos Estos métodos garantizan que los indicadores calculados a partir de los datos capturados sean exactos y reduce carga de las herramientas de monitoreo de trafico de red. Dirigido a ingenieros de redes y administradores de redes. La idea
El SPAN de Cisco permite copiar el tráfico de los puertos físicos en un switch a otro puerto. Los puertos SPAN se configuran al crear una sesión SPAN compuesto por una fuente y un destino. Port Switch Analyzer (SPAN) Monitor session SOURCE - Especifica los puertos físicos de la que el SPAN copiará los datos. - Especifica la dirección del tráfico a copiar: RX, TX, o ambos (por defecto). Monitor session DESTINATION - Especifica el puerto físico al que el SPAN copiará los datos. La session source se compone de tres atributos: • Session number: Distingue la sesión dentro del switch. • Session source: Los puertos o VLAN de la que el SPAN copiará los datos. • Session direction: Especifica la dirección : RX, TX, o ambos (predeterminada)
SI • Los puertos de origen pueden ser puertos LAN L2 o L3 . • Pueden ser con o sin trunK NO • No Se Puede Configurar las interfaces de WAN COMO Puertos de origen. • Tampoco los Puertos EtherChannel • No Se pueden mezclar Puertos Físicos y VLAN en una misma Sesion • Si usamos una VLAN como source se monitorean todos los puertos de la misma Consideraciones de los Puertos SOURCE Consideraciones de los Puertos DESTINATION • Un puerto de destino puede ser cualquier puerto físico. • Un puerto de destino sólo puede dar servicio a una sola sesión SPAN (no EtherChannel) • Una sesión de monitor puede tener hasta 64 interfaces de destino.
Se compone de dos partes: • Session number: Distingue la sesión de monitor desde cualquier otro en el switch. • Session destination: especifica el puerto físico al que se copiaran los datos. Información de destino
(config)# monitor session 1 source interface fa01/7 (config)# monitor session 1 destination interface fa01/1 • Cada sesión de monitor permite especificar la dirección. • Los puertos de origen pueden ser configurado para copiar el tráfico de entrada, salida o ambos, • Si no se especifica la dirección de la sesión SPAN copiará ambas direcciones. El ejemplo 1 no especifica una dirección. Si la intención era sólo controlar los datos recibidos en fa01/7, la sesión se debería de configurar de la siguiente forma : Ejemplo: Port SPAN IOS Configuration
(config)#monitor session 1 source interface fa01/7 rx (config)#monitor session 1 destination interface fa01/1 El número de sesiones de SPAN que un switch soporta depende del modelo y debe tenerse en cuenta a la hora de configurar sesiones SPAN La idea de copiar el tráfico de producción a más de un analizador, permitiría por ejemplo, enviar una copia de cada paquete a un monitor de rendimiento y otra copia a un IDS u otro sistema de seguridad. Ejemplo: Ingress-Only IOS Configuration
Cuando el puerto de origen de una sesión es un puerto de trunk, puede configurarse un filtro con el fin de supervisar únicamente las VLAN específicas a través del comando “filter vlan-list”. Filtros de sesión También es posible filtrar las VLAN que salen de un puerto mediante el comando “switchport trunk allowed vlan vlan-list”. Este comando le permite especificar que VLAN se transmite por la interfaz, reduciendo los desbordes de buffer.
Generalmente las sesiones de SPAN deben proceder de las interfaces conectadas a servidores de producción que alojan las aplicaciones críticas. Usando el puerto SPAN (config)# monitor session 1 source interface Fa01/7 (config)# monitor session 1 destination interface Fa01/1
Consideraciones en entornos Multi-Tiered En el caso de aplicaciones n-tiered debemos tener en cuenta que trafico queremos analizar / monitorear
Utilizando VLAN SPAN, o VSPAN, abastecemos una sesión de monitor de un grupo de interfaces físicas utilizando un solo comando. VSPAN Ventajas de VSPAN • Es fácil de configurar ya que le permite captar grandes grupos de interfaces con un solo comando. • También significa que si los servidores se mueven los puertos en el switch / VLAN, el cambio será transparente. Desventajas de VSPAN Debido VSPAN no le da la capacidad de controlar de qué interfaces se obtienen los datos dando lugar a posibles congestiones y, posiblemente, descartes en la interfaz de salida.
Debido a que cada interfaz física de la VLAN manda una copia, cualquier paquete que viaja entre dos servidores en la VLAN es duplicado en un VSPAN. Duplicación de paquetes
Cuando un dispositivo de capa 2 sólo utiliza un puerto troncal para comunicarse con otros switches, se duplica el trafico. Duplicación de paquetes (config)# monitor session 1 source vlan 10 (config)# monitor session 1 destination interface fa01/1
Si la VLAN 20 también fuera una fuente para la sesión: 1. Cuando es recibido por FA01 / 9 en la VLAN 10 2. A medida que se transmite por el puerto Trunk Gig3 / 2 en la VLAN 10 3. A medida que se recibe por el puerto Trunk Gig3 / 2 en la VLAN 20 4. A medida que se transmite por FA01 / 7 en VLAN 20 Esta configuración podría conducir a cuadruplicar paquetes para ciertas conversaciones!!! En este escenario, las VLAN deben ser obtenidos en una sola dirección (RX) para que los datos sólo se refleja cuando entran al switch. Sourcing varias VLAN en presencia de troncales
SPAN sólo supervisa los datos transmitidos o recibidos por un puerto físico, si un paquete entra en un dispositivo de Capa 3 y va a una VLAN, no será visto hasta que se transmite. Como resultado, si un VSPAN proviene de una sola dirección, un lado de una conversación TCP se perderá. Sourcing VLAN en switches layer 3 (config)# monitor session 1 source vlan 10 rx (config)# monitor session 1 destination interface fa01/1 Los paquetes sólo se ven a medida que son recibidos por una interfaz en la VLAN 10, por lo que cualquier paquetes destinado a los hosts de VLAN 10 (TX) se pierden
En los 6500 de Cisco, cada paquete que se recibe por un puerto se transmite de forma automática al bus y a cada tarjeta. Cada tarjeta de línea bufferea el paquete mientras que reconoce la dirección y busca el destino del paquete. Una vez que se completa, el paquete se añade desde las memorias intermedias para las que se conoce destino, o se borra. Debido a que cada paquete ya se copia a cada tarjeta de línea, no hay impacto en el rendimiento cuando se configura SPAN. Impacto en el rendimiento de SPAN
Se recomienda que el SPAN provenga de puertos individuales siempre que sea posible. Idealmente, estos deben ser los puertos conectados directamente a los servidores de aplicaciones de interés. En el caso de aplicaciones n-tier, cada nivel debe ser origen para evitar duplicados. Esto se puede lograr creando un diagrama de flujo de la aplicación de antemano, y asegurarse de que cada flujo sólo cruza un puerto de origen. VSPAN • Puede causar duplicados en muchos escenarios • Adecuado para su uso en dispositivos layer2 • Cuando hay una única VLAN, ya sea sólo entrada o salida Recomendaciones
VACL es una lista de control de acceso que se aplica a una VLAN en lugar de a una interfaz. • Se puede utilizar para filtrar el tráfico, a reenviar a un dispositivo de monitoreo. • Las VACL se procesan en hardware y se aplican a cualquier paquete que se dirija a una VLAN desde un dispositivo layer 3. • VACL también permiten filtros personalizados para limitar el tráfico que se captura. • Compatibles con Cisco 6500 y 4500. Una ACL o lista de control de acceso, es una lista que se utiliza para que coincida el tráfico basado en características específicas. Cada línea de la lista que se conoce como Access Control Entry, o ACE. Cada ACE contiene una condición que se ajustará y una acción a seguir para todo el tráfico que coincide con esa condición. Lista de control de acceso VLAN ACL
El ACE puede filtrar en: • Dirección IP de origen • Dirección IP de destino • Protocolo • puerto de protocolo Fuente • puerto de protocolo Destino Un paquete que no coincide con ninguno de los ACE de una ACL será dado de baja. Existen capacidades de filtrado adicionales para ACL,. Formato: Fuente de Protocolo de actuación [puerto] ruta [puerto] Donde [puerto] es la dirección IP de origen o subred y puerto Capa 4 . EJEMPLO (filtrado trafico http): ACL permit tcp 192.168.0.0 0.0.0.255 eq 80 any permit tcp any eq 192.168.0.0 0.0.0.255 eq 80
• Las ACL se aplican a las VLAN mediante un mapa de acceso. • Un mapa de acceso puede contener múltiples ACL, • Cada uno con un número de prioridad que especifica el orden​ Mapas de acceso
Los pasos para configurar un mapa de acceso son: • Definir el mapa de acceso - Formato: VLAN access-map map_name [0-65535] - Ejemplo: vlan access-map SA-Capture 10 • Configurar la cláusula - Formato: match IP nombre_acl - Ejemplo: match ip address 10 • Configuración de la acción - Formato: Acción {forward | fordward [capture] | drop | redirect} - Ejemplo: action forward Configuración de un mapa de acceso
Ejemplo de aplicación un mapa de acceso: La Access list especifica el trafico permitido Access list 10 permit tcp any any Access list 10 permit udp any any ! El Access map define la action vlan access-map Filter-20 action forward match ip address 10 ! El comando VLAN filter aplica las ACL a las VLANS especificas vlan filter example vlan-list 10 TCP y UDP solamente
Ejemplo: captura de toda una VLAN (config)#access-list 101 permit ip any any ! (config)#vlan access-map APA_Cap 20 (config)#match ip address 101 (config)#action forward capture ! (config)#vlan filter APA_cap vlan-list 20 ! (config)#interface fa01/7 (config)#switchport capture
Ejemplo filtrar el tráfico a ser capturado (config)# access-list 101 permit tcp any any ! (config)#access-list 102 permit ip any any ! (config)# vlan access-map APA_cap 20 (config)# match ip address 101 (config)# action forward capture ! (config)# vlan access-map APA_cap 40 (config)# match ip address 102 (config)# action forward ! (config)#vlan filter APA_cap vlan-list 10 ! (config)#interface gig2/13 (config)#switchport capture
Ejemplo: filtrar las copias de seguridad (config)# access-list 101 permit ip host 192.168.1.1 any (config)# access-list 101 permit ip any host 192.168.1.1 (config)# access-list 101 permit ip host 192.168.1.2 any (config)# access-list 101 permit ip any host 192.168.1.2 ! (config)#access-list 102 permit ip any any ! (config)# vlan access-map APA_cap 30 (config)# match ip address 101 (config)# action forward ! (config)# vlan access-map APA_cap 40 (config)# match ip address 102 (config)# action forward capture ! (config)#vlan filter APA_cap vlan-list 10 ! (config)#interface gig2/13 (config)#switchport capture
Otra alternativa para resolver todo esto
TAP Function Conventional TAP
TAP Function Passive Non-Aggregating TAP
Passive Aggregating TAP
Regeneration TAP Function Regeneration TAP Aggregation TAPs
TAP Function Port 1A Port 1B Port 2A Port 2B AB CD FILTER AGGREGATION FILTER Deny Vlan 1 Block Broadcasts Multicasts Allow Ports 1024-1151 Allow IP 172.16.3.2 Allow MAC FATAP-2000BT/SX
¿Qué conectar? Analizadores de protocolo Por hardware Por Software ClearSight™ Software de análisis basado en aplicaciones que proporciona respuestas rápidas a problemas de rendimiento de aplicaciones •Motor de análisis de protocolo para Network Time Machine y OptiView XG Network Analysis Tablet •Supervisión de rendimiento de aplicaciones en tiempo real con alarmas para la identificación de problemas •Análisis basado en el tiempo para archivos de seguimiento de hasta 4 gigabytes para identificar rápidamente los paquetes relevantes para la vista basada en aplicaciones •Estadísticas en tiempo real, gráficos e informes para flujos en uno o múltiples segmentos: para ver de forma rápida los problemas •Estado de la llamada de vídeo y de voz, análisis de QoS y reproducción •Informe resumido personalizado por el usuario •Admite motor de decodificación Wireshark® OptiView® XG Tablet especializada en redes automatizadas y análisis de aplicaciones: la forma más rápida para que el ingeniero de redes vea la causa del problema Factor de forma de tablet que proporciona análisis automatizados de LAN inalámbricas de 10/100 Mbps, 1/10 Gbps y 802.11a/b/g/n Integrado con las herramientas inalámbricas AirMagnet. Interfaz de usuario intuitiva con navegación inteligente y resolución guiada de problemas integrada, además de cuadros de mandos personalizables por el usuario para ver los datos según se necesiten. El análisis de rutas con gráficos y el Navegador de redes proporcionan una imagen navegable al instante de las conexiones entre los switches de las redes y dispositivos conectados, agilizando "el tiempo para conocerse"
Results The throughput test finished with a result of 93.1Mbps sustained for 10 seconds between the two PCs. Tap Capture Results Packets captured: 133,126 Delta Time at TCP Setup: 243uSec SPAN Capture Results Packets captured: 125,221 Delta time of TCP connection setup: 221 uSec Test Setup We connected two PCs to a basic Cisco Catalyst Switch at 100Mbps. A throughput test using iPerf was configured and run between the two machines. On one of the PCs, we placed a 100Mbps tap, and placed a hardware analyzer on it to capture. Last, we configured a SPAN on the switch to forward all traffic to and from this port to another hardware analyzer. Below is a basic drawing of the setup.
¿Preguntas consultas?? Desde ya muchas gracias por vuestra atención • Ing. Gustavo Ramón • flukenetworks@viditec.com.ar

Recomendados

Todos+los+comandos+que+hay+que+saber+para+configurar+un+router
Todos+los+comandos+que+hay+que+saber+para+configurar+un+routerTodos+los+comandos+que+hay+que+saber+para+configurar+un+router
Todos+los+comandos+que+hay+que+saber+para+configurar+un+routerjlzo
 
Protocolo arp
Protocolo arpProtocolo arp
Protocolo arpLarry Ruiz Barcayola
 
OSPF
OSPFOSPF
OSPFdannyvelasco
 
Administracion de usuarios y grupos
Administracion de usuarios y gruposAdministracion de usuarios y grupos
Administracion de usuarios y gruposJACKELIN SORALUZ
 
PROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOS
PROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOSPROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOS
PROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOSJAV_999
 
Enrutamiento IPv6 OSPFv3
Enrutamiento IPv6 OSPFv3Enrutamiento IPv6 OSPFv3
Enrutamiento IPv6 OSPFv3Jhoni Guerrero
 
Dhcp
DhcpDhcp
DhcpCarlos J. Brito Abundis
 
CONTADOR BINARIO DESCENDENTE DE 8 BITS CON ARDUINO
CONTADOR BINARIO DESCENDENTE DE 8 BITS CON ARDUINOCONTADOR BINARIO DESCENDENTE DE 8 BITS CON ARDUINO
CONTADOR BINARIO DESCENDENTE DE 8 BITS CON ARDUINOFernando Marcos Marcos
 

Recomendados

Todos+los+comandos+que+hay+que+saber+para+configurar+un+router
Todos+los+comandos+que+hay+que+saber+para+configurar+un+routerTodos+los+comandos+que+hay+que+saber+para+configurar+un+router
Todos+los+comandos+que+hay+que+saber+para+configurar+un+routerjlzo
 
Protocolo arp
Protocolo arpProtocolo arp
Protocolo arpLarry Ruiz Barcayola
 
OSPF
OSPFOSPF
OSPFdannyvelasco
 
Administracion de usuarios y grupos
Administracion de usuarios y gruposAdministracion de usuarios y grupos
Administracion de usuarios y gruposJACKELIN SORALUZ
 
PROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOS
PROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOSPROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOS
PROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOSJAV_999
 
Enrutamiento IPv6 OSPFv3
Enrutamiento IPv6 OSPFv3Enrutamiento IPv6 OSPFv3
Enrutamiento IPv6 OSPFv3Jhoni Guerrero
 
Dhcp
DhcpDhcp
DhcpCarlos J. Brito Abundis
 
CONTADOR BINARIO DESCENDENTE DE 8 BITS CON ARDUINO
CONTADOR BINARIO DESCENDENTE DE 8 BITS CON ARDUINOCONTADOR BINARIO DESCENDENTE DE 8 BITS CON ARDUINO
CONTADOR BINARIO DESCENDENTE DE 8 BITS CON ARDUINOFernando Marcos Marcos
 
Eigrp
EigrpEigrp
EigrpBelen Toledo
 
Comandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos ciscoComandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos ciscoCISCO NETWORKING
 
Introduccion a linux
Introduccion a linuxIntroduccion a linux
Introduccion a linuxRicardo Sosa
 
Dhcp
DhcpDhcp
DhcpJACKELIN SORALUZ
 
Protocolos de enrutamiento
Protocolos de enrutamientoProtocolos de enrutamiento
Protocolos de enrutamientoOswaldo Monsalvo
 
Metodos de acceso y arquitectura de redes
Metodos de acceso y arquitectura de redesMetodos de acceso y arquitectura de redes
Metodos de acceso y arquitectura de redesEquipo de Redes
 
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11Ivan Sanchez
 
MikroTik Firewall : Securing your Router with Port Knocking
MikroTik Firewall : Securing your Router with Port KnockingMikroTik Firewall : Securing your Router with Port Knocking
MikroTik Firewall : Securing your Router with Port KnockingAkbar Azwir, MM, PMP, PMI-SP, PSM I, CISSP
 
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.Anthony Torres Bastidas
 
Routers
Routers Routers
RoutersCésar Ocampo
 
STP
STPSTP
STPCristobal Aldana
 
Redes wan seguridad, protocolos y aplicación
Redes wan seguridad, protocolos y aplicaciónRedes wan seguridad, protocolos y aplicación
Redes wan seguridad, protocolos y aplicaciónpiolinn03
 
Computacion Movil Y Ubicua
Computacion Movil Y UbicuaComputacion Movil Y Ubicua
Computacion Movil Y Ubicuaivan
 
Protocolo FTP
Protocolo FTPProtocolo FTP
Protocolo FTPJaime Vigueras
 
1.2.4.5 packet tracer network representation - ilm
1.2.4.5 packet tracer network representation - ilm1.2.4.5 packet tracer network representation - ilm
1.2.4.5 packet tracer network representation - ilmmariosaavedra27
 
Modelo Hibrido
Modelo HibridoModelo Hibrido
Modelo Hibridostevenmartinez95
 
Conceptos y Protocolos de Enrutamiento (Capitulo 1)
Conceptos y Protocolos de Enrutamiento (Capitulo 1)Conceptos y Protocolos de Enrutamiento (Capitulo 1)
Conceptos y Protocolos de Enrutamiento (Capitulo 1)Cristiān Villegās
 
Protocolos de enrutamiento
Protocolos de enrutamiento Protocolos de enrutamiento
Protocolos de enrutamiento Jhon Arley Morales Ciro
 
12.9.2 Lab - Configure IPv6 Addresses on Network Devices - ILM.docx
12.9.2 Lab - Configure IPv6 Addresses on Network Devices - ILM.docx12.9.2 Lab - Configure IPv6 Addresses on Network Devices - ILM.docx
12.9.2 Lab - Configure IPv6 Addresses on Network Devices - ILM.docxfernando241073
 
Nat
Nat Nat
Nat laura1352
 
WebRCT "VoIP también desde el navegador"
WebRCT "VoIP también desde el navegador"WebRCT "VoIP también desde el navegador"
WebRCT "VoIP también desde el navegador"Fundación Proydesa
 
Presentacion voip codec_2013
Presentacion voip codec_2013Presentacion voip codec_2013
Presentacion voip codec_2013Fundación Proydesa
 

Mais conteúdo relacionado

Mais procurados

Comandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos ciscoComandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos ciscoCISCO NETWORKING
 
Introduccion a linux
Introduccion a linuxIntroduccion a linux
Introduccion a linuxRicardo Sosa
 
Protocolos de enrutamiento
Protocolos de enrutamientoProtocolos de enrutamiento
Protocolos de enrutamientoOswaldo Monsalvo
 
Metodos de acceso y arquitectura de redes
Metodos de acceso y arquitectura de redesMetodos de acceso y arquitectura de redes
Metodos de acceso y arquitectura de redesEquipo de Redes
 
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11Ivan Sanchez
 
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.Anthony Torres Bastidas
 
Redes wan seguridad, protocolos y aplicación
Redes wan seguridad, protocolos y aplicaciónRedes wan seguridad, protocolos y aplicación
Redes wan seguridad, protocolos y aplicaciónpiolinn03
 
Computacion Movil Y Ubicua
Computacion Movil Y UbicuaComputacion Movil Y Ubicua
Computacion Movil Y Ubicuaivan
 
1.2.4.5 packet tracer network representation - ilm
1.2.4.5 packet tracer network representation - ilm1.2.4.5 packet tracer network representation - ilm
1.2.4.5 packet tracer network representation - ilmmariosaavedra27
 
Conceptos y Protocolos de Enrutamiento (Capitulo 1)
Conceptos y Protocolos de Enrutamiento (Capitulo 1)Conceptos y Protocolos de Enrutamiento (Capitulo 1)
Conceptos y Protocolos de Enrutamiento (Capitulo 1)Cristiān Villegās
 
12.9.2 Lab - Configure IPv6 Addresses on Network Devices - ILM.docx
12.9.2 Lab - Configure IPv6 Addresses on Network Devices - ILM.docx12.9.2 Lab - Configure IPv6 Addresses on Network Devices - ILM.docx
12.9.2 Lab - Configure IPv6 Addresses on Network Devices - ILM.docxfernando241073
 

Mais procurados (20)

Eigrp
EigrpEigrp
Eigrp
 
Comandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos ciscoComandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos cisco
 
Introduccion a linux
Introduccion a linuxIntroduccion a linux
Introduccion a linux
 
Dhcp
DhcpDhcp
Dhcp
 
Protocolos de enrutamiento
Protocolos de enrutamientoProtocolos de enrutamiento
Protocolos de enrutamiento
 
Metodos de acceso y arquitectura de redes
Metodos de acceso y arquitectura de redesMetodos de acceso y arquitectura de redes
Metodos de acceso y arquitectura de redes
 
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
 
MikroTik Firewall : Securing your Router with Port Knocking
MikroTik Firewall : Securing your Router with Port KnockingMikroTik Firewall : Securing your Router with Port Knocking
MikroTik Firewall : Securing your Router with Port Knocking
 
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
 
Routers
Routers Routers
Routers
 
STP
STPSTP
STP
 
Redes wan seguridad, protocolos y aplicación
Redes wan seguridad, protocolos y aplicaciónRedes wan seguridad, protocolos y aplicación
Redes wan seguridad, protocolos y aplicación
 
Computacion Movil Y Ubicua
Computacion Movil Y UbicuaComputacion Movil Y Ubicua
Computacion Movil Y Ubicua
 
Protocolo FTP
Protocolo FTPProtocolo FTP
Protocolo FTP
 
1.2.4.5 packet tracer network representation - ilm
1.2.4.5 packet tracer network representation - ilm1.2.4.5 packet tracer network representation - ilm
1.2.4.5 packet tracer network representation - ilm
 
Modelo Hibrido
Modelo HibridoModelo Hibrido
Modelo Hibrido
 
Conceptos y Protocolos de Enrutamiento (Capitulo 1)
Conceptos y Protocolos de Enrutamiento (Capitulo 1)Conceptos y Protocolos de Enrutamiento (Capitulo 1)
Conceptos y Protocolos de Enrutamiento (Capitulo 1)
 
Protocolos de enrutamiento
Protocolos de enrutamiento Protocolos de enrutamiento
Protocolos de enrutamiento
 
12.9.2 Lab - Configure IPv6 Addresses on Network Devices - ILM.docx
12.9.2 Lab - Configure IPv6 Addresses on Network Devices - ILM.docx12.9.2 Lab - Configure IPv6 Addresses on Network Devices - ILM.docx
12.9.2 Lab - Configure IPv6 Addresses on Network Devices - ILM.docx
 
Nat
Nat Nat
Nat
 

Destaque

WebRCT "VoIP también desde el navegador"
WebRCT "VoIP también desde el navegador"WebRCT "VoIP también desde el navegador"
WebRCT "VoIP también desde el navegador"Fundación Proydesa
 
DBA, Clase abierta por Alejandro Moge
DBA, Clase abierta por Alejandro MogeDBA, Clase abierta por Alejandro Moge
DBA, Clase abierta por Alejandro MogeFundación Proydesa
 
Vo ip analisis y medicion 17 10_2012
Vo ip analisis y medicion 17 10_2012Vo ip analisis y medicion 17 10_2012
Vo ip analisis y medicion 17 10_2012Fundación Proydesa
 
Webrtc"VoIP también desde el navegador"
Webrtc"VoIP también desde el navegador"Webrtc"VoIP también desde el navegador"
Webrtc"VoIP también desde el navegador"Fundación Proydesa
 
Introducción a mpls
Introducción a mplsIntroducción a mpls
Introducción a mplsneyneyney
 
MPLS - Multiprotocol Label Switching v1.3
MPLS - Multiprotocol Label Switching v1.3MPLS - Multiprotocol Label Switching v1.3
MPLS - Multiprotocol Label Switching v1.3Gianpietro Lavado
 
Diapositivas mpls
Diapositivas mplsDiapositivas mpls
Diapositivas mplsJAV_999
 
Actualizacion de medidion en cobre y fibra optica
Actualizacion de medidion en cobre y fibra opticaActualizacion de medidion en cobre y fibra optica
Actualizacion de medidion en cobre y fibra opticaFundación Proydesa
 
Introducción al Cableado Estructurado
Introducción al Cableado EstructuradoIntroducción al Cableado Estructurado
Introducción al Cableado EstructuradoFundación Proydesa
 

Destaque (20)

WebRCT "VoIP también desde el navegador"
WebRCT "VoIP también desde el navegador"WebRCT "VoIP también desde el navegador"
WebRCT "VoIP también desde el navegador"
 
Presentacion voip codec_2013
Presentacion voip codec_2013Presentacion voip codec_2013
Presentacion voip codec_2013
 
DBA, Clase abierta por Alejandro Moge
DBA, Clase abierta por Alejandro MogeDBA, Clase abierta por Alejandro Moge
DBA, Clase abierta por Alejandro Moge
 
Presentacion voip codec_2013
Presentacion voip codec_2013Presentacion voip codec_2013
Presentacion voip codec_2013
 
Seguridad en i pv6 (2)
Seguridad en i pv6 (2)Seguridad en i pv6 (2)
Seguridad en i pv6 (2)
 
El cuadrado magico de durero
El cuadrado magico de dureroEl cuadrado magico de durero
El cuadrado magico de durero
 
Vo ip analisis y medicion 17 10_2012
Vo ip analisis y medicion 17 10_2012Vo ip analisis y medicion 17 10_2012
Vo ip analisis y medicion 17 10_2012
 
Webrtc"VoIP también desde el navegador"
Webrtc"VoIP también desde el navegador"Webrtc"VoIP también desde el navegador"
Webrtc"VoIP también desde el navegador"
 
Vo ip codec 2013
Vo ip codec 2013Vo ip codec 2013
Vo ip codec 2013
 
VPN (virtual private network)
VPN (virtual private network) VPN (virtual private network)
VPN (virtual private network)
 
Webex: IT Essentials
Webex: IT EssentialsWebex: IT Essentials
Webex: IT Essentials
 
Webex: ¿Qué es CCNA?
Webex: ¿Qué es CCNA?Webex: ¿Qué es CCNA?
Webex: ¿Qué es CCNA?
 
Cableado estructurado
Cableado estructuradoCableado estructurado
Cableado estructurado
 
Introducción a mpls
Introducción a mplsIntroducción a mpls
Introducción a mpls
 
MPLS - Multiprotocol Label Switching v1.3
MPLS - Multiprotocol Label Switching v1.3MPLS - Multiprotocol Label Switching v1.3
MPLS - Multiprotocol Label Switching v1.3
 
Diapositivas mpls
Diapositivas mplsDiapositivas mpls
Diapositivas mpls
 
Actualizacion de medidion en cobre y fibra optica
Actualizacion de medidion en cobre y fibra opticaActualizacion de medidion en cobre y fibra optica
Actualizacion de medidion en cobre y fibra optica
 
Asterix: simplemente...
Asterix: simplemente...Asterix: simplemente...
Asterix: simplemente...
 
VoIP sobre IPv6
VoIP sobre IPv6VoIP sobre IPv6
VoIP sobre IPv6
 
Introducción al Cableado Estructurado
Introducción al Cableado EstructuradoIntroducción al Cableado Estructurado
Introducción al Cableado Estructurado
 

Semelhante a Medición en entornos switcheados optimizados para

Ccna3 cap8 (1)
Ccna3 cap8 (1)Ccna3 cap8 (1)
Ccna3 cap8 (1)José Mora
 
50984443 vlan-virtual-network-lan-
50984443 vlan-virtual-network-lan-50984443 vlan-virtual-network-lan-
50984443 vlan-virtual-network-lan-Rafael Zamora
 
Rastreo conceptual hsrp, vrrp, stp, rstp, vtp, vlan, roting inter vla ns y po...
Rastreo conceptual hsrp, vrrp, stp, rstp, vtp, vlan, roting inter vla ns y po...Rastreo conceptual hsrp, vrrp, stp, rstp, vtp, vlan, roting inter vla ns y po...
Rastreo conceptual hsrp, vrrp, stp, rstp, vtp, vlan, roting inter vla ns y po...Ârnëth Mârtëlo
 
enrutamiento vlan para redes y sistemas .pptx
enrutamiento vlan para redes y sistemas .pptxenrutamiento vlan para redes y sistemas .pptx
enrutamiento vlan para redes y sistemas .pptxssuserd93d41
 
La red de la Cantabria Net al descubierto
La red de la Cantabria Net al descubiertoLa red de la Cantabria Net al descubierto
La red de la Cantabria Net al descubiertoDavid Cristóbal
 
QUE SON LAS REDES VLAN
QUE SON LAS REDES VLANQUE SON LAS REDES VLAN
QUE SON LAS REDES VLANlanzero17
 
Practica 2 enritamiento basico entre vlan
Practica 2 enritamiento basico entre vlanPractica 2 enritamiento basico entre vlan
Practica 2 enritamiento basico entre vlanJose Limon
 
Conmutación y Conexión Inalámbrica de LAN (Capítulo 3)
Conmutación y Conexión Inalámbrica de LAN (Capítulo 3)Conmutación y Conexión Inalámbrica de LAN (Capítulo 3)
Conmutación y Conexión Inalámbrica de LAN (Capítulo 3)Cristiān Villegās
 
Acl en windows
Acl en windowsAcl en windows
Acl en windowsrasuba
 
Bcmsn resumen cap 2
Bcmsn resumen cap 2Bcmsn resumen cap 2
Bcmsn resumen cap 2nelson
 

Semelhante a Medición en entornos switcheados optimizados para (20)

ENCOR_Chapter_1.en.es.pptx
ENCOR_Chapter_1.en.es.pptxENCOR_Chapter_1.en.es.pptx
ENCOR_Chapter_1.en.es.pptx
 
Capitulo 4
Capitulo 4Capitulo 4
Capitulo 4
 
Ccna3 cap8 (1)
Ccna3 cap8 (1)Ccna3 cap8 (1)
Ccna3 cap8 (1)
 
Redes 2 clase 7 - vlans 202002
Redes 2 clase 7 - vlans 202002Redes 2 clase 7 - vlans 202002
Redes 2 clase 7 - vlans 202002
 
Vlan
VlanVlan
Vlan
 
50984443 vlan-virtual-network-lan-
50984443 vlan-virtual-network-lan-50984443 vlan-virtual-network-lan-
50984443 vlan-virtual-network-lan-
 
Vlans
VlansVlans
Vlans
 
Rastreo conceptual hsrp, vrrp, stp, rstp, vtp, vlan, roting inter vla ns y po...
Rastreo conceptual hsrp, vrrp, stp, rstp, vtp, vlan, roting inter vla ns y po...Rastreo conceptual hsrp, vrrp, stp, rstp, vtp, vlan, roting inter vla ns y po...
Rastreo conceptual hsrp, vrrp, stp, rstp, vtp, vlan, roting inter vla ns y po...
 
enrutamiento vlan para redes y sistemas .pptx
enrutamiento vlan para redes y sistemas .pptxenrutamiento vlan para redes y sistemas .pptx
enrutamiento vlan para redes y sistemas .pptx
 
La red de la Cantabria Net al descubierto
La red de la Cantabria Net al descubiertoLa red de la Cantabria Net al descubierto
La red de la Cantabria Net al descubierto
 
implementacion de vlan
implementacion de vlanimplementacion de vlan
implementacion de vlan
 
Mirroring
MirroringMirroring
Mirroring
 
QUE SON LAS REDES VLAN
QUE SON LAS REDES VLANQUE SON LAS REDES VLAN
QUE SON LAS REDES VLAN
 
Practica 2 enritamiento basico entre vlan
Practica 2 enritamiento basico entre vlanPractica 2 enritamiento basico entre vlan
Practica 2 enritamiento basico entre vlan
 
Conmutación y Conexión Inalámbrica de LAN (Capítulo 3)
Conmutación y Conexión Inalámbrica de LAN (Capítulo 3)Conmutación y Conexión Inalámbrica de LAN (Capítulo 3)
Conmutación y Conexión Inalámbrica de LAN (Capítulo 3)
 
Acl en windows
Acl en windowsAcl en windows
Acl en windows
 
calidad
calidadcalidad
calidad
 
Udp vtp
Udp vtpUdp vtp
Udp vtp
 
Udp vtp
Udp vtpUdp vtp
Udp vtp
 
Bcmsn resumen cap 2
Bcmsn resumen cap 2Bcmsn resumen cap 2
Bcmsn resumen cap 2
 

Mais de Fundación Proydesa

WebRCT - Comunicaciones en tiempo real desde el navegador...
WebRCT - Comunicaciones en tiempo real desde el navegador...WebRCT - Comunicaciones en tiempo real desde el navegador...
WebRCT - Comunicaciones en tiempo real desde el navegador...Fundación Proydesa
 
La nueva privacidad en internet y sus consecuencias
La nueva privacidad en internet y sus consecuenciasLa nueva privacidad en internet y sus consecuencias
La nueva privacidad en internet y sus consecuenciasFundación Proydesa
 
Extracto Herramientas Estratégicas
Extracto Herramientas EstratégicasExtracto Herramientas Estratégicas
Extracto Herramientas EstratégicasFundación Proydesa
 
Tendencias de seguridad en redes
Tendencias de seguridad en redesTendencias de seguridad en redes
Tendencias de seguridad en redesFundación Proydesa
 

Mais de Fundación Proydesa (13)

Voice OVER IP
Voice OVER IPVoice OVER IP
Voice OVER IP
 
WebRCT - Comunicaciones en tiempo real desde el navegador...
WebRCT - Comunicaciones en tiempo real desde el navegador...WebRCT - Comunicaciones en tiempo real desde el navegador...
WebRCT - Comunicaciones en tiempo real desde el navegador...
 
Webex: Red Hat Academy
Webex: Red Hat AcademyWebex: Red Hat Academy
Webex: Red Hat Academy
 
JAVA 2 EE
JAVA 2 EEJAVA 2 EE
JAVA 2 EE
 
Webex: Migración IPV4 a IPV6
Webex: Migración IPV4 a IPV6Webex: Migración IPV4 a IPV6
Webex: Migración IPV4 a IPV6
 
La nueva privacidad en internet y sus consecuencias
La nueva privacidad en internet y sus consecuenciasLa nueva privacidad en internet y sus consecuencias
La nueva privacidad en internet y sus consecuencias
 
Voip webex310512
Voip webex310512Voip webex310512
Voip webex310512
 
Presentacion PL/SQL
Presentacion PL/SQLPresentacion PL/SQL
Presentacion PL/SQL
 
Análisis y soluciones wireless
Análisis y soluciones wirelessAnálisis y soluciones wireless
Análisis y soluciones wireless
 
Extracto Herramientas Estratégicas
Extracto Herramientas EstratégicasExtracto Herramientas Estratégicas
Extracto Herramientas Estratégicas
 
Wslaboral
WslaboralWslaboral
Wslaboral
 
Tendencias de seguridad en redes
Tendencias de seguridad en redesTendencias de seguridad en redes
Tendencias de seguridad en redes
 
Proydesa | CCF
Proydesa | CCFProydesa | CCF
Proydesa | CCF
 

Medición en entornos switcheados optimizados para

  • 1. Medición en entornos switcheados • Ing. Gustavo Ramón • flukenetworks@viditec.com.ar
  • 3. FLUKE Networks • Inicialmente creada como una unidad de Fluke Corporation en 1993 • Líder indiscutido en medición de cableado estructurado • Crea la categoría de productos Handheld Analyzer y mantiene un claro liderazgo en la misma • Primero en ofrecer una amplia línea de análisis distribuido y soluciones de monitoreo • Entra en el mercado de Telecomunicaciones y OSP en 1997
  • 4. • Focalizándonos en el valor, calidad y confiabilidad – Arrastrando la herencia de 50 años de FLUKE con las herramientas mas confiables • Innovación – “Primero” en todas las categorías Handheld Frame Relay Installation Tool xDSL Installation Tool NetTool Connectivity Tester for everyone Full line-rate Gigabit Analysis Handheld Network Analyzer Out of the Box Network Mgmt Handheld Fast Ethernet Analyzer 1993 1995 1996 1998 1999 Digital Cable Tester Web- Enabled Handheld Analyzer Digital Cat 6 Cable Tester 1996 1997 Switch Wizard Handheld ATM Analyzer 199919981997 2000 WEB based OneTouch Series II 2000 2000 ¿Cómo llegamos hasta acá? Integrated Network Analyzer 2000
  • 5. ¿Qué brinda FLUKE Networks? • Nosotros damos • Network SuperVision • ¿Qué se supone que es?
  • 6. Hardware Software Physical Application LAN WAN Portable Distributed Damos diferentes formas de ver a las redes:
  • 8. Siguiendo los métodos descritos a continuación están pensados para resolver problemas como • Paquetes duplicados • Paquetes perdidos • Sobresuscripción de puertos Estos métodos garantizan que los indicadores calculados a partir de los datos capturados sean exactos y reduce carga de las herramientas de monitoreo de trafico de red. Dirigido a ingenieros de redes y administradores de redes. La idea
  • 9. El SPAN de Cisco permite copiar el tráfico de los puertos físicos en un switch a otro puerto. Los puertos SPAN se configuran al crear una sesión SPAN compuesto por una fuente y un destino. Port Switch Analyzer (SPAN) Monitor session SOURCE - Especifica los puertos físicos de la que el SPAN copiará los datos. - Especifica la dirección del tráfico a copiar: RX, TX, o ambos (por defecto). Monitor session DESTINATION - Especifica el puerto físico al que el SPAN copiará los datos. La session source se compone de tres atributos: • Session number: Distingue la sesión dentro del switch. • Session source: Los puertos o VLAN de la que el SPAN copiará los datos. • Session direction: Especifica la dirección : RX, TX, o ambos (predeterminada)
  • 10. SI • Los puertos de origen pueden ser puertos LAN L2 o L3 . • Pueden ser con o sin trunK NO • No Se Puede Configurar las interfaces de WAN COMO Puertos de origen. • Tampoco los Puertos EtherChannel • No Se pueden mezclar Puertos Físicos y VLAN en una misma Sesion • Si usamos una VLAN como source se monitorean todos los puertos de la misma Consideraciones de los Puertos SOURCE Consideraciones de los Puertos DESTINATION • Un puerto de destino puede ser cualquier puerto físico. • Un puerto de destino sólo puede dar servicio a una sola sesión SPAN (no EtherChannel) • Una sesión de monitor puede tener hasta 64 interfaces de destino.
  • 11. Se compone de dos partes: • Session number: Distingue la sesión de monitor desde cualquier otro en el switch. • Session destination: especifica el puerto físico al que se copiaran los datos. Información de destino
  • 12. (config)# monitor session 1 source interface fa01/7 (config)# monitor session 1 destination interface fa01/1 • Cada sesión de monitor permite especificar la dirección. • Los puertos de origen pueden ser configurado para copiar el tráfico de entrada, salida o ambos, • Si no se especifica la dirección de la sesión SPAN copiará ambas direcciones. El ejemplo 1 no especifica una dirección. Si la intención era sólo controlar los datos recibidos en fa01/7, la sesión se debería de configurar de la siguiente forma : Ejemplo: Port SPAN IOS Configuration
  • 13. (config)#monitor session 1 source interface fa01/7 rx (config)#monitor session 1 destination interface fa01/1 El número de sesiones de SPAN que un switch soporta depende del modelo y debe tenerse en cuenta a la hora de configurar sesiones SPAN La idea de copiar el tráfico de producción a más de un analizador, permitiría por ejemplo, enviar una copia de cada paquete a un monitor de rendimiento y otra copia a un IDS u otro sistema de seguridad. Ejemplo: Ingress-Only IOS Configuration
  • 14. Cuando el puerto de origen de una sesión es un puerto de trunk, puede configurarse un filtro con el fin de supervisar únicamente las VLAN específicas a través del comando “filter vlan-list”. Filtros de sesión También es posible filtrar las VLAN que salen de un puerto mediante el comando “switchport trunk allowed vlan vlan-list”. Este comando le permite especificar que VLAN se transmite por la interfaz, reduciendo los desbordes de buffer.
  • 15. Generalmente las sesiones de SPAN deben proceder de las interfaces conectadas a servidores de producción que alojan las aplicaciones críticas. Usando el puerto SPAN (config)# monitor session 1 source interface Fa01/7 (config)# monitor session 1 destination interface Fa01/1
  • 16. Consideraciones en entornos Multi-Tiered En el caso de aplicaciones n-tiered debemos tener en cuenta que trafico queremos analizar / monitorear
  • 17. Utilizando VLAN SPAN, o VSPAN, abastecemos una sesión de monitor de un grupo de interfaces físicas utilizando un solo comando. VSPAN Ventajas de VSPAN • Es fácil de configurar ya que le permite captar grandes grupos de interfaces con un solo comando. • También significa que si los servidores se mueven los puertos en el switch / VLAN, el cambio será transparente. Desventajas de VSPAN Debido VSPAN no le da la capacidad de controlar de qué interfaces se obtienen los datos dando lugar a posibles congestiones y, posiblemente, descartes en la interfaz de salida.
  • 18. Debido a que cada interfaz física de la VLAN manda una copia, cualquier paquete que viaja entre dos servidores en la VLAN es duplicado en un VSPAN. Duplicación de paquetes
  • 19. Cuando un dispositivo de capa 2 sólo utiliza un puerto troncal para comunicarse con otros switches, se duplica el trafico. Duplicación de paquetes (config)# monitor session 1 source vlan 10 (config)# monitor session 1 destination interface fa01/1
  • 20. Si la VLAN 20 también fuera una fuente para la sesión: 1. Cuando es recibido por FA01 / 9 en la VLAN 10 2. A medida que se transmite por el puerto Trunk Gig3 / 2 en la VLAN 10 3. A medida que se recibe por el puerto Trunk Gig3 / 2 en la VLAN 20 4. A medida que se transmite por FA01 / 7 en VLAN 20 Esta configuración podría conducir a cuadruplicar paquetes para ciertas conversaciones!!! En este escenario, las VLAN deben ser obtenidos en una sola dirección (RX) para que los datos sólo se refleja cuando entran al switch. Sourcing varias VLAN en presencia de troncales
  • 21. SPAN sólo supervisa los datos transmitidos o recibidos por un puerto físico, si un paquete entra en un dispositivo de Capa 3 y va a una VLAN, no será visto hasta que se transmite. Como resultado, si un VSPAN proviene de una sola dirección, un lado de una conversación TCP se perderá. Sourcing VLAN en switches layer 3 (config)# monitor session 1 source vlan 10 rx (config)# monitor session 1 destination interface fa01/1 Los paquetes sólo se ven a medida que son recibidos por una interfaz en la VLAN 10, por lo que cualquier paquetes destinado a los hosts de VLAN 10 (TX) se pierden
  • 22. En los 6500 de Cisco, cada paquete que se recibe por un puerto se transmite de forma automática al bus y a cada tarjeta. Cada tarjeta de línea bufferea el paquete mientras que reconoce la dirección y busca el destino del paquete. Una vez que se completa, el paquete se añade desde las memorias intermedias para las que se conoce destino, o se borra. Debido a que cada paquete ya se copia a cada tarjeta de línea, no hay impacto en el rendimiento cuando se configura SPAN. Impacto en el rendimiento de SPAN
  • 23. Se recomienda que el SPAN provenga de puertos individuales siempre que sea posible. Idealmente, estos deben ser los puertos conectados directamente a los servidores de aplicaciones de interés. En el caso de aplicaciones n-tier, cada nivel debe ser origen para evitar duplicados. Esto se puede lograr creando un diagrama de flujo de la aplicación de antemano, y asegurarse de que cada flujo sólo cruza un puerto de origen. VSPAN • Puede causar duplicados en muchos escenarios • Adecuado para su uso en dispositivos layer2 • Cuando hay una única VLAN, ya sea sólo entrada o salida Recomendaciones
  • 24. VACL es una lista de control de acceso que se aplica a una VLAN en lugar de a una interfaz. • Se puede utilizar para filtrar el tráfico, a reenviar a un dispositivo de monitoreo. • Las VACL se procesan en hardware y se aplican a cualquier paquete que se dirija a una VLAN desde un dispositivo layer 3. • VACL también permiten filtros personalizados para limitar el tráfico que se captura. • Compatibles con Cisco 6500 y 4500. Una ACL o lista de control de acceso, es una lista que se utiliza para que coincida el tráfico basado en características específicas. Cada línea de la lista que se conoce como Access Control Entry, o ACE. Cada ACE contiene una condición que se ajustará y una acción a seguir para todo el tráfico que coincide con esa condición. Lista de control de acceso VLAN ACL
  • 25. El ACE puede filtrar en: • Dirección IP de origen • Dirección IP de destino • Protocolo • puerto de protocolo Fuente • puerto de protocolo Destino Un paquete que no coincide con ninguno de los ACE de una ACL será dado de baja. Existen capacidades de filtrado adicionales para ACL,. Formato: Fuente de Protocolo de actuación [puerto] ruta [puerto] Donde [puerto] es la dirección IP de origen o subred y puerto Capa 4 . EJEMPLO (filtrado trafico http): ACL permit tcp 192.168.0.0 0.0.0.255 eq 80 any permit tcp any eq 192.168.0.0 0.0.0.255 eq 80
  • 26. • Las ACL se aplican a las VLAN mediante un mapa de acceso. • Un mapa de acceso puede contener múltiples ACL, • Cada uno con un número de prioridad que especifica el orden​ Mapas de acceso
  • 27. Los pasos para configurar un mapa de acceso son: • Definir el mapa de acceso - Formato: VLAN access-map map_name [0-65535] - Ejemplo: vlan access-map SA-Capture 10 • Configurar la cláusula - Formato: match IP nombre_acl - Ejemplo: match ip address 10 • Configuración de la acción - Formato: Acción {forward | fordward [capture] | drop | redirect} - Ejemplo: action forward Configuración de un mapa de acceso
  • 28. Ejemplo de aplicación un mapa de acceso: La Access list especifica el trafico permitido Access list 10 permit tcp any any Access list 10 permit udp any any ! El Access map define la action vlan access-map Filter-20 action forward match ip address 10 ! El comando VLAN filter aplica las ACL a las VLANS especificas vlan filter example vlan-list 10 TCP y UDP solamente
  • 29. Ejemplo: captura de toda una VLAN (config)#access-list 101 permit ip any any ! (config)#vlan access-map APA_Cap 20 (config)#match ip address 101 (config)#action forward capture ! (config)#vlan filter APA_cap vlan-list 20 ! (config)#interface fa01/7 (config)#switchport capture
  • 30. Ejemplo filtrar el tráfico a ser capturado (config)# access-list 101 permit tcp any any ! (config)#access-list 102 permit ip any any ! (config)# vlan access-map APA_cap 20 (config)# match ip address 101 (config)# action forward capture ! (config)# vlan access-map APA_cap 40 (config)# match ip address 102 (config)# action forward ! (config)#vlan filter APA_cap vlan-list 10 ! (config)#interface gig2/13 (config)#switchport capture
  • 31. Ejemplo: filtrar las copias de seguridad (config)# access-list 101 permit ip host 192.168.1.1 any (config)# access-list 101 permit ip any host 192.168.1.1 (config)# access-list 101 permit ip host 192.168.1.2 any (config)# access-list 101 permit ip any host 192.168.1.2 ! (config)#access-list 102 permit ip any any ! (config)# vlan access-map APA_cap 30 (config)# match ip address 101 (config)# action forward ! (config)# vlan access-map APA_cap 40 (config)# match ip address 102 (config)# action forward capture ! (config)#vlan filter APA_cap vlan-list 10 ! (config)#interface gig2/13 (config)#switchport capture
  • 32. Otra alternativa para resolver todo esto
  • 37.
  • 38. TAP Function Port 1A Port 1B Port 2A Port 2B AB CD FILTER AGGREGATION FILTER Deny Vlan 1 Block Broadcasts Multicasts Allow Ports 1024-1151 Allow IP 172.16.3.2 Allow MAC FATAP-2000BT/SX
  • 39.
  • 40. ¿Qué conectar? Analizadores de protocolo Por hardware Por Software ClearSight™ Software de análisis basado en aplicaciones que proporciona respuestas rápidas a problemas de rendimiento de aplicaciones •Motor de análisis de protocolo para Network Time Machine y OptiView XG Network Analysis Tablet •Supervisión de rendimiento de aplicaciones en tiempo real con alarmas para la identificación de problemas •Análisis basado en el tiempo para archivos de seguimiento de hasta 4 gigabytes para identificar rápidamente los paquetes relevantes para la vista basada en aplicaciones •Estadísticas en tiempo real, gráficos e informes para flujos en uno o múltiples segmentos: para ver de forma rápida los problemas •Estado de la llamada de vídeo y de voz, análisis de QoS y reproducción •Informe resumido personalizado por el usuario •Admite motor de decodificación Wireshark® OptiView® XG Tablet especializada en redes automatizadas y análisis de aplicaciones: la forma más rápida para que el ingeniero de redes vea la causa del problema Factor de forma de tablet que proporciona análisis automatizados de LAN inalámbricas de 10/100 Mbps, 1/10 Gbps y 802.11a/b/g/n Integrado con las herramientas inalámbricas AirMagnet. Interfaz de usuario intuitiva con navegación inteligente y resolución guiada de problemas integrada, además de cuadros de mandos personalizables por el usuario para ver los datos según se necesiten. El análisis de rutas con gráficos y el Navegador de redes proporcionan una imagen navegable al instante de las conexiones entre los switches de las redes y dispositivos conectados, agilizando "el tiempo para conocerse"
  • 41. Results The throughput test finished with a result of 93.1Mbps sustained for 10 seconds between the two PCs. Tap Capture Results Packets captured: 133,126 Delta Time at TCP Setup: 243uSec SPAN Capture Results Packets captured: 125,221 Delta time of TCP connection setup: 221 uSec Test Setup We connected two PCs to a basic Cisco Catalyst Switch at 100Mbps. A throughput test using iPerf was configured and run between the two machines. On one of the PCs, we placed a 100Mbps tap, and placed a hardware analyzer on it to capture. Last, we configured a SPAN on the switch to forward all traffic to and from this port to another hardware analyzer. Below is a basic drawing of the setup.
  • 42. ¿Preguntas consultas?? Desde ya muchas gracias por vuestra atención • Ing. Gustavo Ramón • flukenetworks@viditec.com.ar