Funcionalidades SPAN para monitoreo de tráfico a través de switches

En la tarea de administración de redes LAN es de fundamental importancia mantener un atento monitoreo del tráfico y del desempeño de los dispositivos de la infraestructura de red. En este contexto es frecuente que por diferentes motivos (detección de tráfico no deseado, relevamiento de actividad de ciertos protocolos, etc.) el Administrador requiera utilizar un analizador de protocolos (p.e. Ethereal) para monitorear, decodificar y comprender el tráfico de la red. Para esta tarea, luego de instalar el analizador de protocolos en una terminal, se ha de conectar la estación de monitoreo a un switch o hub a fin de capturar y revisar el tráfico que está atravesando la red.

Si la infraestructura de la red está compuesta de hubs, esta es una tarea relativamente sencilla. Sin embargo la mayoría de nuestras redes actuales utilizan switches. Y no es posible monitorear el tráfico de la red si la estación de monitoreo está sencillamente conectada a un puerto de un switch.

Cuando se monta una estación de monitoreo, en principio se busca capturar tanto tráfico como resulte posible para luego filtrarlo y de ese modo quedarse con lo que verdaderamente se está buscando. Sin embargo, si la estacion de monitoreo está conectada a una boca de un switch lo único que se puede capturar es el tráfico generado en la misma terminal o que tiene a esa terminal como destino, así como el tráfico de broadcast que esté circulando por ese segmento de red.

¿Porqué ocurre esto?
Pues simplemente porque el switch divide dominios de colisión. O lo que es lo mismo, cuando su tabla de direcciones MAC ya está poblada, establece circuitos punto a punto entre los puertos que desean entablar la comunicacion evitando inundar todos los puertos con el tráfico, como lo haría un hub. Los switches sólo inundan los puertos con tráfico de broadcast, o que tiene una dirección MAC destino desconocida. Por este motivo, nuestra estación de monitoreo al estar conectada a un switch ya no puede capturar todo el tráfico que circula por él sino solamente el que tiene su dirección MAC como origen o destino, o tráfico de broadcast.

Lo que necesitamos en nuestra tarea es que el switch envíe una copia de toda trama que circule por él al puerto en el que hemos conectado nuestra estación de monitoreo. Para esto podemos recurrir a un feature de los switches Cisco llamado Switched Port ANalyzer (SPAN) o una variante, Remote SPAN (RSPAN). Se trata de una funcionalidad semejante a la que en otros fabricantes se conoce como "port mirroring".

¿Cómo trabaja SPAN?
SPAN permite tomar el tráfico que atraviesa por un puerto, grupo de puertos o VLAN completa de un switch y lo copia en el puerto de destino, que es el puerto en el que debemos conectar nuestra estación de monitoreo. Adicionalmente, al configurar esta funcionalidad se especifica no sólo los puertos de origen y destino, sino también si se desea copiar el tráfico que tiene ese puerto como origen, destino o ambos.

Por su lado, RSPAN permite que el tráfico generado en múltiples switches distribuidos en la red pueda ser reenviado al puerto al que hemos conectado nuestra estación de monitoreo. Así, por ejemplo, si una VLAN cualquiera se encuentra configurada en múltiples switches de la red, RSPAN permite que todo el tráfico que tiene como destino puertos de la VLAN en cuestión, de cualquiera de los switches involucrados sea copiado a nuestro puerto de trabajo

¿Cómo se configura SPAN?
La configuración es simple. Sin embargo tiene sus complejidades cuando se trata de protocolos como STP,VTP y CDP, por lo que es sumamente aconsejable revisar la documentación oficial en el sitio de Cisco Systems.

Veamos un ejemplo de configuración. Suponemos que se trata de un switch de 24 puertos. Conectamos nuestra estación de monitoreo al puerto Fastethernet 0/24 y deseamos monitorear todo el tráfico que pasa a través de los restantes 23 puertos del dispositivo. Por lo tanto debemos indicar al dispositivo que envíe copia al puerto F0/24 de cada trama que ingrese o salga a través de los puertos F0/1 a 0/23.

Switch(config)#monitor session 1 source interface fastethernet 0/1 - 23 both
Switch(config)#monitor session 1 destination interface fastethernet 0/24

Es preciso tener presente que este tipo de operaciones son un requerimiento intensivo para el dispositivo, y que consecuentemente pueden afectar sensiblemente la performance del mismo. Asegúrese de deshabilitar esta función cuando haya terminado la tarea utilizando el comando

Switch(config)#no monitor session 1

Para verificar si se está ejecutando alguna sesión de monitoreo en el dispositivo, utilice el comando:

Switch#show monitor

• El comando monitor session.
• Configuración de SPAN y RSPAN.
• Sitio de Ethereal.
• Sitio de WireShark, el sucesor de Ethereal.

Tenés alguna información o referencia adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta.

Control del tráfico no deseado utilizando CAR

Muchas de nuestras redes se encuentran hoy "enfermas" de tráfico innecesario, tráfico que no responde a los objetivos de negocio de la empresa y que muchas veces afecta de modo directo la disponibilidad de recursos para la administración del tráfico crítico de la red. Este tráfico "no deseado" puede ser administrado utilizando CAR.

Una situación habitual es la que se provoca cuando un usuario se encuentra "bajando" información de un sitio web (un archivo de gran tramaño, video, música, etc.). Este tráfico puede afectar seriamente el desenvolvimiento normal de la red, o lo que es peor, hacer inaccesible en algún momento los servidores de producción.

CAR (Committed Access Rate) es un método que permite adminsitrar el tráfico no deseado de modo de asegurarnos que no afecte el tráfico propio de la operación de la red. Hay que tener en cuenta algunas consideraciones previas:

• CAR solamente afecta el trafico IP. No opera sobre el tráfico no-IP.
• Para utilizar CAR es necesario habilitar CEF en el router.
• Esencialmente, CAR controla el ancho de banda que puede ocupar cierta tipo de tráfico, que es definido a través de una ACL.
• CAR puede referirse tanto al tráfico que ingresa, como al que sale a través de la interfaz en la que se aplica CAR.

La implementación de CAR se realiza en 2 pasos sencillos:

• Creación de una ACL para definir el tráfico que se desea limitar.
• Utilizar el comando rate-limit, referenciando la ACL anterior en la interfaz más cercana posible al origen del tráfico, para indicar el ancho de banda que se asignará a este tráfico.

Para ver cómo opera esta solución, revisaremos un ejemplo:

Supongamos una red corporativa que une una casa central con sucursales. Una de esas sucursales (que tiene asignada la subred 10.10.20/24) está conectada utilizando una línea punto a punto de 128 Kb, lo que se ha mostrado eficiente para permitir trabajar con la aplicación desarrollada para la operación de la empresa. Ahora bien, se le acaba de dar acceso a la navegación web de Internet a esta sucursal a través de este enlace de 128 Kb, lo que ha afectado notoriamente la performace de la aplicación de trabajo que se encontraba corriendo. El acceso a Internet se da a través del enlace que posee la Casa Central.

Aún cuando la navegación de Internet es una herramienta conveniente en la sucursal en cuestión, está afectando negativamente la performace de la aplicación de producción.

Para controlar esta situación implementaremos CAR en el router de la casa central. El primer paso s definir el tráfico que se desea limitar n el router de casa central, utlizando una ACL. Siguiendo nuestro ejemplo:

Router(config)#access-list 110 permit tcp any eq www 10.10.20.0 0.0.0.255

En este caso estamos definiendo un filtro que seleccionará todo el tráfico originado en cualquier web server de Internet que tenga como destino un nodo de la subred 10.10.20/24 (la sucursal en cuestión).

El próximo paso es implementar el comando rate-limit en la interfaz que conecta a la sucursal:

Router(config)#interface serial0/0
Router(config)#rate-limit output access-group 110 50000 10000 20000 conform-action transmit exceed-action drop

Este comando aplica un límite de uso de ancho de banda en esta interfaz, en función de la selección de tráfico que realiza la lista de acceso 110. Está aplicada sobre el tráfico saliente a través de la interfaz (outup) porque lo estamos aplicando en el router de casa central, de modo de limitar el tráfico no deseado lo más cerca posible de su origen y evitar que afecte el uso del enlace WAN en cuestión.

Las cifras 50000, 10000 y 20000 establecen los límites (en bits por segundo) que se aplicarán al tráfico seleccionado por la ACL. La primera cifra (50000) indica la tasa de transmisión que se asigna para este tráfico. La segunda cifra (10000), el tamaño reservado para una ráfaga de datos. La tercera (20000) indica el tamaño máximo permitido para una ráfaga. En la medida en que el tráfico se ajusta a estos parámetros de requerimiento de ancho de banda disponible, será transmitido (conform-actio transmit).

Si el tráficoi excediera estos parámetros de ancho de banda, será descartado por el router (exceed-action drop).

Sintetizando. La configuración propuesta sobre la interfaz que conecta hacia la sucursal en cuestión hará que el tráfico web que está causando dificultades quede acotado y no pueda consumir más de 50 kbps de los 128 kbps del enlace.

Es preciso tener en cuenta que CAR limita todo y sólo aquel tráfico que se indica en la ACL.

• Referencias respecto del comando rate-limit.

Tenés alguna información o referencia adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

Template de configuración básica de un firewall Cisco PIX

Como ya hemos visto en el caso de switches Catalyst, el uso de "templates" de Excel nos permite automatizar procesos de configuración. Con este propósito les presento este nuevo template Excel, en este caso para relizar la configuración básica de un nuevo firewall Cisco PIX 501 versión 6.3.

¿Qué hace este template?
Estos templates permiten generar los comandos de configuración necesarios para completar una tarea, utilizando la información (claves, direcciones IP, etc.) que nosotros proporcionamos.

Para esto el archivo cuenta con 2 hojas:

• Una hoja de referencias, en la que encontramos los comandos que han de utilizarse para desarrollar la tarea. Estos comandos están acompañados de una brevísima descripción de su propósito.
• Una segunda hoja de variables, en la que debemos ingresar los parámetros específicos que deseamos sean aplicados al dispositivo.

Completada la información, los macros del archivo generarán automáticamente una nueva hoja con los comandos de configuración que deben ser utilizados para conseguir la configuración objetivo.

En este caso particular, la hora de referencias realiza las siguientes acciones:

• Configura un hostname.
• Genera una clave de acceso al dispositivo.
• Crea una clave de acceso al modo enable.
• Habilita el web server del PIX para posibilitar la administración remota utilizando el PDM (PIX Device Manager).
• Configura los parámetros necesarios para sincronizar el reloj del dispositivo utilizando NTP.
• Configura las direcciones IP de las interfaces inside y outside, y habilita ambas interfaces.
• Asigna un default gateway para el PIX.
• Configura PAT (Port Address Translation) de modo que todos los dispositivos de la red interna (inside) puedan acceder a la red externa (outside).
• Genera una ACL en el firewall de modo que los usuarios de la LAN (inside) solo pueden acceder a http y ftp en la red externa.
• Graba la configuración en la NVRAM.

Cómo se utiliza

• Baje el template a su terminal.
• Abra el archivo Microsoft Excel y permita la ejecución de macros.
• Diríjase a la hoja "Variables".
• Complete la información específica que corresponde al dispositivo que desea configurar en la columna blanca titulada "Definición del usuario".
• Verifique que la información ingresada sea la correcta.
• A la derecha de la tabla hay una casilla en color verde con el título "Nombre de Referencia". Ingrese allí el nombre que desea que Excel le asigne a la hoja que se creará a continuación.
• Seleccione el botón "Reemplazar" que está a la derecha de la tabla que ha completado.
• Se generará una nueva hoja en el archivo con los comandos necesarios para obtener la configuración deseada.
• Ingrese por consola a la línea de comando del dispositivo que desea configurar y diríjase al modo de configuración.
• Copie los comandos de configuración (no los comentarios) y péguelos directamente en la línea de comando del dispositivo.

Como resultado de esta acción se han de ejecutar todos los comandos y grabar la configuración en la NVRAM del dispositivo. El mismo ya está configurado de acuerdo a su diseño.

Tenga en cuenta que este archivo de configuración sólo realiza una configuración básica y no aplica features avanzados de seguridad.

• Para bajar el template.
• Información completa sobre Cisco PIX versión 6.3.

¿Tenés alguna información o referencia adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

Introducción a CEF

CEF (Cisco Express Forwarding) es un feature avanzado de Cisco IOS que permita un modo de conmutación más rápido en los dispositivos Cisco. ¿Qué es CEF y cómo trabaja?

Introducción a CEF
Una tarea esencial en los dispositivos de capa 3 (routers y switches layer 3), es la toma de decisiones respecto de dónde deben reenviar los paquetes que reciben. Este proceso de decisión es el que toma el nombre de "conmutación" (switching en inglés), y es diferente del proceso de donmutación que se realiza en un switch Ethernet (capa 2).

Cuando un dispositivo capa 3 "conmuta" ejecuta las siguientes operaciones:

• Decidir si debe o no reenviar un paquete después de verificar que la red de destino del paquete es "alcanzable".
• Si el destino es alcanzable, ¿Cuál es el próximo salto y qué interfaz debe utilizarse para alcanzar este destino?
• ¿Se debe o no modificar la dirección MAC con la que se encapsula el paquete?

Los routers y switches layer 3 Cisco IOS ofrecen la posibilidad de operar con diferentes opciones o modos de conmutación. CEF es uno de los modos de conmutación disponibles.

Tomando como base de referencia la tabla de enrutamiento IP, CEF crea su propia tabla de reenvío que se denomina Forwarding Information Base (FIB). La FIB es una tabla organizada de modo diferente que la tabla de enrutamiento, y es la que se utiliza para definir a qué interfaz se debe reenviar el paquete; de este modo, CEF ofrece varios beneficios:

• Tiene mejor performance que el modo de conmutación por defecto de los dispositivos (fast-switching) y requiere menos ciclos de CPU para realizar la misma tarea.
• Cuando está habilitado este modo de conmutación, es posible utilizar otros features avanzados, como NBAR.
• Esencialmente, CEF es un modo de conmutación de tráfico más rápido que otros disponibles.

Habilitación y deshabilitación de CEF
CEF se encuentra deshabilitado por defecto en todos los dispositivos Cisco, excepto en los routers de la serie 7xxx, 6500 y 12000. Los routers de las series 2600, 3600, 3800 incorporan este feature a partir de Cisco IOS 12.2(11)T. Para habilitar este modo de conmutación se debe operar desde el modo de configuración global:

Router#configure terminal
Router(config)#ip cef
Router(config)#_

Para deshabilitar esta función el proceso es igualmente simple:

Router(config)#no ip cef
Router(config)#_

Monitoreo del status de CEF
Como es habitual, Cisco IOS ofrece un conjunto de comandos show que permiten verificar el estado y operación de CEF:

show ip cef es el comando que permite verificar las entradas de la tabla FIB. Un ejemplo del comando:

Router#show ip cef
Prefix. . . . . . . Next Hop. . . .Interface
0.0.0.0/0. . . . . .192.168.1.5. . FastEthernet0/0
192.168.0.0/24. . . 192.168.1.1. . Serial0/2/0
192.168.2.0/30. . . 192.168.1.1. . Serial0/2/0
192.168.3.0/30. . . 192.168.1.1. . Serial0/2/0
192.168.4.0/24. . . 192.168.1.1. . Serial0/2/0
192.168.5.0/30. . . 192.168.1.1. . Serial0/2/0

show ip cef detail muestra información detallada sobre cada entrada de la tabla FIB.

show ip cef summary permite ver un resumen de las entradas contenidas en la tabla FIB.

Información adicional

• Cisco IOS IP Switching Commands
• How to choose the best router switching path for your network
• Comando ip cef
• Comando show ip cef

¿Tenés algún tip para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta