Medición en entornos switcheados

• Ing. Gustavo Ramón• flukenetworks@viditec.com.ar

Viditec

1981 - 2013

FLUKE Networks

• Inicialmente creada como una unidad de Fluke Corporation en 1993

• Líder indiscutido en medición de cableado estructurado• Crea la categoría de productos Handheld Analyzer y

mantiene un claro liderazgo en la misma• Primero en ofrecer una amplia línea de análisis distribuido y

soluciones de monitoreo• Entra en el mercado de Telecomunicaciones y OSP en 1997

• Focalizándonos en el valor, calidad y confiabilidad– Arrastrando la herencia de 50 años de FLUKE con las herramientas

mas confiables

• Innovación– “Primero” en todas las categorías

Handheld Frame Relay Installation Tool

xDSL Installation Tool

NetTool Connectivity Tester for everyone

Full line-rate Gigabit Analysis

Handheld Network Analyzer

Out of the Box Network Mgmt

Handheld Fast Ethernet Analyzer

1993 1995 1996 1998 1999

Digital Cable Tester

Web-Enabled Handheld Analyzer

Digital Cat 6 Cable Tester

1996 1997

Switch Wizard

Handheld ATM Analyzer

199919981997 2000

WEB based OneTouch Series II

2000 2000

¿Cómo llegamos hasta acá?

IntegratedNetworkAnalyzer

2000

¿Qué brinda FLUKE Networks?

• Nosotros damos

• Network SuperVision

• ¿Qué se supone que es?

Hardware Software

Physical Application

LAN WAN

Portable Distributed

Damos diferentes formas de ver a las redes:

ANALISIS

Solo podemos analizar lo que vemos

Siguiendo los métodos descritos a continuación están pensados para resolver problemas como

• Paquetes duplicados• Paquetes perdidos• Sobresuscripción de puertos

Estos métodos garantizan que los indicadores calculados a partir de los datos capturados sean exactos y reduce carga de las herramientas de monitoreo de trafico de red.

Dirigido a ingenieros de redes y administradores de redes.

La idea

El SPAN de Cisco permite copiar el tráfico de los puertos físicos en un switcha otro puerto. Los puertos SPAN se configuran al crear una sesión SPAN compuesto por una fuente y un destino.

Port Switch Analyzer (SPAN)

Monitor session SOURCE- Especifica los puertos físicos de la que el SPAN copiará los datos.- Especifica la dirección del tráfico a copiar: RX, TX, o ambos (por defecto).

Monitor session DESTINATION- Especifica el puerto físico al que el SPAN copiará los datos.

La session source se compone de tres atributos:• Session number: Distingue la sesión dentro del switch.• Session source: Los puertos o VLAN de la que el SPAN copiará los datos.• Session direction: Especifica la dirección : RX, TX, o ambos (predeterminada)

SI• Los puertos de origen pueden ser puertos LAN L2 o L3 . • Pueden ser con o sin trunKNO• No Se Puede Configurar las interfaces de WAN COMO Puertos de origen.• Tampoco los Puertos EtherChannel • No Se pueden mezclar Puertos Físicos y VLAN en una misma Sesion• Si usamos una VLAN como source se monitorean todos los puertos de la misma

Consideraciones de los Puertos SOURCE

Consideraciones de los Puertos DESTINATION• Un puerto de destino puede ser cualquier puerto físico.• Un puerto de destino sólo puede dar servicio a una sola sesión SPAN (no EtherChannel)• Una sesión de monitor puede tener hasta 64 interfaces de destino.

Se compone de dos partes:

• Session number: Distingue la sesión de monitor desde cualquier otro en el switch.

• Session destination: especifica el puerto físico al que se copiaran los datos.

Información de destino

(config)# monitor session 1 source interface fa01/7(config)# monitor session 1 destination interface fa01/1

• Cada sesión de monitor permite especificar la dirección.• Los puertos de origen pueden ser configurado para copiar el tráfico de

entrada, salida o ambos, • Si no se especifica la dirección de la sesión SPAN copiará ambas

direcciones.

El ejemplo 1 no especifica una dirección. Si la intención era sólo controlar los datos recibidos en fa01/7, la sesión se debería de configurar de la siguiente forma :

Ejemplo: Port SPAN IOS Configuration

(config)#monitor session 1 source interface fa01/7 rx(config)#monitor session 1 destination interface fa01/1

El número de sesiones de SPAN que un switch soporta depende del modelo y debe tenerse en cuenta a la hora de configurar sesiones SPAN

La idea de copiar el tráfico de producción a más de un analizador, permitiría por ejemplo, enviar una copia de cada paquete a un monitor de rendimiento y otra copia a un IDS u otro sistema de seguridad.

Ejemplo: Ingress-Only IOS Configuration

Cuando el puerto de origen de una sesión es un puerto de trunk, puede configurarse un filtro con el fin de supervisar únicamente las VLAN específicas a través del comando “filter vlan-list”.

Filtros de sesión

También es posible filtrar las VLAN que salen de un puerto mediante el comando “switchport trunk allowed vlan vlan-list”. Este comando le permite especificar que VLAN se transmite por la interfaz, reduciendo los desbordes de buffer.

Generalmente las sesiones de SPAN deben proceder delas interfaces conectadas a servidores de producción que alojan las aplicaciones críticas.

Usando el puerto SPAN

(config)# monitor session 1 source interface Fa01/7(config)# monitor session 1 destination interface Fa01/1

Consideraciones en entornos Multi-Tiered

En el caso de aplicaciones n-tiered debemos tener en cuenta que trafico queremos analizar / monitorear

Utilizando VLAN SPAN, o VSPAN, abastecemos una sesión de monitor de un grupo de interfaces físicas utilizando un solo comando.

VSPAN

Ventajas de VSPAN• Es fácil de configurar ya que le permite captar grandes grupos de interfaces con un

solo comando.• También significa que si los servidores se mueven los puertos en el switch / VLAN,

el cambio será transparente.

Desventajas de VSPANDebido VSPAN no le da la capacidad de controlar de qué interfaces se obtienen los datos dando lugar a posibles congestiones y, posiblemente, descartes en la interfaz de salida.

Debido a que cada interfaz física de la VLAN manda una copia, cualquier paquete que viaja entre dos servidores en la VLAN es duplicado en un VSPAN.

Duplicación de paquetes

Cuando un dispositivo de capa 2 sólo utiliza un puerto troncal para comunicarse con otros switches, se duplica el trafico.

Duplicación de paquetes

(config)# monitor session 1 source vlan 10(config)# monitor session 1 destination interface fa01/1

Si la VLAN 20 también fuera una fuente para la sesión:

1. Cuando es recibido por FA01 / 9 en la VLAN 102. A medida que se transmite por el puerto Trunk Gig3 / 2 en la VLAN 103. A medida que se recibe por el puerto Trunk Gig3 / 2 en la VLAN 204. A medida que se transmite por FA01 / 7 en VLAN 20

Esta configuración podría conducir a cuadruplicar paquetes para ciertas conversaciones!!!

En este escenario, las VLAN deben ser obtenidos en una sola dirección (RX) para que los datos sólo se refleja cuando entran al switch.

Sourcing varias VLAN en presencia de troncales

SPAN sólo supervisa los datos transmitidos o recibidos por un puerto físico, si un paquete entra en un dispositivo de Capa 3 y va a una VLAN, no será visto hasta que se transmite. Como resultado, si un VSPAN proviene de una sola dirección,un lado de una conversación TCP se perderá.

Sourcing VLAN en switches layer 3

(config)# monitor session 1 source vlan 10 rx(config)# monitor session 1 destination interface fa01/1

Los paquetes sólo se ven a medida que son recibidos por una interfaz en la VLAN 10, por lo que cualquier paquetes destinado a los hosts de VLAN 10 (TX) se pierden

En los 6500 de Cisco, cada paquete que se recibe por un puerto se transmite de forma automática al bus y a cada tarjeta. Cada tarjeta de línea bufferea el paquete mientras que reconoce la dirección y busca el destino del paquete. Una vez que se completa, el paquete se añade desde las memorias intermedias para las que se conoce destino, o se borra. Debido a que cada paquete ya se copia a cada tarjeta de línea, no hay impacto en el rendimiento cuando se configura SPAN.

Impacto en el rendimiento de SPAN

Se recomienda que el SPAN provenga de puertos individuales siempre que sea posible. Idealmente, estos deben ser los puertos conectados directamente a los servidores deaplicaciones de interés. En el caso de aplicaciones n-tier, cada nivel debe ser origen para evitar duplicados.

Esto se puede lograr creando un diagrama de flujo de la aplicación de antemano, y asegurarse de que cada flujo sólo cruza un puerto de origen.

VSPAN • Puede causar duplicados en muchos escenarios• Adecuado para su uso en dispositivos layer2 • Cuando hay una única VLAN, ya sea sólo entrada o salida

Recomendaciones

VACL es una lista de control de acceso que se aplica a una VLAN en lugar de a una interfaz.• Se puede utilizar para filtrar el tráfico, a reenviar a un dispositivo de monitoreo.• Las VACL se procesan en hardware y se aplican a cualquier paquete que se dirija a

una VLAN desde un dispositivo layer 3.• VACL también permiten filtros personalizados para limitar el tráfico que se captura.• Compatibles con Cisco 6500 y 4500.

Una ACL o lista de control de acceso, es una lista que se utiliza para que coincida el tráfico basado en características específicas. Cada línea de la lista que se conoce como Access Control Entry, o ACE. Cada ACE contiene una condición que se ajustará y una acción a seguir para todo el tráfico que coincide con esa condición.

Lista de control de acceso VLAN

ACL

El ACE puede filtrar en: • Dirección IP de origen • Dirección IP de destino • Protocolo • puerto de protocolo Fuente • puerto de protocolo Destino

Un paquete que no coincide con ninguno de los ACE de una ACL será dado de baja.Existen capacidades de filtrado adicionales para ACL,.

Formato:Fuente de Protocolo de actuación [puerto] ruta [puerto]Donde [puerto] es la dirección IP de origen o subred y puerto Capa 4 .

EJEMPLO (filtrado trafico http):

ACL

permit tcp 192.168.0.0 0.0.0.255 eq 80 anypermit tcp any eq 192.168.0.0 0.0.0.255 eq 80

• Las ACL se aplican a las VLAN mediante un mapa de acceso.• Un mapa de acceso puede contener múltiples ACL,• Cada uno con un número de prioridad que especifica el orden

Mapas de acceso

Los pasos para configurar un mapa de acceso son:

• Definir el mapa de acceso- Formato: VLAN access-map map_name [0-65535]- Ejemplo: vlan access-map SA-Capture 10

• Configurar la cláusula - Formato: match IP nombre_acl- Ejemplo: match ip address 10

• Configuración de la acción- Formato: Acción {forward | fordward [capture] | drop | redirect}- Ejemplo: action forward

Configuración de un mapa de acceso

Ejemplo de aplicación un mapa de acceso:

La Access list especifica el trafico permitidoAccess list 10 permit tcp any anyAccess list 10 permit udp any any!El Access map define la actionvlan access-map Filter-20action forwardmatch ip address 10!El comando VLAN filter aplica las ACL a las VLANS especificasvlan filter example vlan-list 10

TCP y UDP solamente

Ejemplo: captura de toda una VLAN

(config)#access-list 101 permit ip any any!(config)#vlan access-map APA_Cap 20(config)#match ip address 101(config)#action forward capture!(config)#vlan filter APA_cap vlan-list 20!(config)#interface fa01/7(config)#switchport capture

Ejemplo filtrar el tráfico a ser capturado

(config)# access-list 101 permit tcp any any!(config)#access-list 102 permit ip any any!(config)# vlan access-map APA_cap 20(config)# match ip address 101(config)# action forward capture!(config)# vlan access-map APA_cap 40(config)# match ip address 102(config)# action forward!(config)#vlan filter APA_cap vlan-list 10!(config)#interface gig2/13(config)#switchport capture

Ejemplo: filtrar las copias de seguridad

(config)# access-list 101 permit ip host 192.168.1.1 any(config)# access-list 101 permit ip any host 192.168.1.1(config)# access-list 101 permit ip host 192.168.1.2 any(config)# access-list 101 permit ip any host 192.168.1.2!(config)#access-list 102 permit ip any any!(config)# vlan access-map APA_cap 30(config)# match ip address 101(config)# action forward!(config)# vlan access-map APA_cap 40(config)# match ip address 102(config)# action forward capture!(config)#vlan filter APA_cap vlan-list 10!(config)#interface gig2/13(config)#switchport capture

Otra alternativa para resolver todo esto

TAP Function

Analyzer

Conventional TAP

TAP Function

Analyzer

Passive Non-Aggregating TAP

Passive Aggregating TAP

Regeneration TAP Function

Analyzer AnalyzerAnalyzer

Regeneration TAP

Aggregation TAPs

TAP Function

Port 1A Port 1B

Port 2A Port 2B

AB

CD

FILTER

AGGREGATION

FILTER

Deny Vlan 1

BlockBroadcastsMulticasts

Allow Ports 1024-1151

Allow IP 172.16.3.2

AllowMAC

FATAP-2000BT/SX

¿Qué conectar?Analizadores de protocolo

Por hardware Por Software

ClearSight™Software de análisis basado en aplicaciones que proporciona respuestas rápidas a problemas de rendimiento de aplicaciones  •Motor de análisis de protocolo para Network Time Machine y OptiView XG Network Analysis Tablet•Supervisión de rendimiento de aplicaciones en tiempo real con alarmas para la identificación de problemas•Análisis basado en el tiempo para archivos de seguimiento de hasta 4 gigabytes para identificar rápidamente los paquetes relevantes para la vista basada en aplicaciones•Estadísticas en tiempo real, gráficos e informes para flujos en uno o múltiples segmentos: para ver de forma rápida los problemas•Estado de la llamada de vídeo y de voz, análisis de QoS y reproducción•Informe resumido personalizado por el usuario•Admite motor de decodificación Wireshark®

OptiView® XG Tablet especializada en redes automatizadas y análisis de aplicaciones: la forma más rápida para que el ingeniero de redes vea la causa del problemaFactor de forma de tablet que proporciona análisis automatizados de LAN inalámbricas de 10/100 Mbps, 1/10 Gbps y 802.11a/b/g/nIntegrado con las herramientas inalámbricas AirMagnet.Interfaz de usuario intuitiva con navegación inteligente y resolución guiada de problemas integrada, además de cuadros de mandos personalizables por el usuario para ver los datos según se necesiten.El análisis de rutas con gráficos y el Navegador de redes proporcionan una imagen navegable al instante de las conexiones entre los switches de las redes y dispositivos conectados, agilizando "el tiempo para conocerse"

ResultsThe throughput test finished with a result of 93.1Mbps sustained for 10 seconds between the two PCs.

Tap Capture ResultsPackets captured: 133,126 Delta Time at TCP Setup: 243uSecSPAN Capture ResultsPackets captured: 125,221Delta time of TCP connection setup: 221 uSec

Test SetupWe connected two PCs to a basic Cisco Catalyst Switch at 100Mbps. A throughput test using iPerf was configured and run between the two machines. On one of the PCs, we placed a 100Mbps tap, and placed a hardware analyzer on it to capture. Last, we configured a SPAN on the switch to forward all traffic to and from this port to another hardware analyzer. Below is a basic drawing of the setup.

¿Preguntas consultas??

Desde ya muchas gracias por vuestra atención

• Ing. Gustavo Ramón• flukenetworks@viditec.com.ar