Как я могу генерировать трафик на Cisco ASA?

13

Во многих местах у нас есть только одна Cisco ASA 5505 и одна или несколько точек доступа WiFi, кроме маршрутизатора провайдера. Никаких серверов или ПК, только сервис WiFi для случайных посетителей. Я хочу удаленно проверить, предоставляет ли провайдер нам ограниченную пропускную способность. Я мог видеть использованную полосу пропускания при мониторинге ASA и проверить одно направление, отправив трафик в ASA, используя Iperf на моей стороне.

Есть ли способ позволить ASA генерировать существенный трафик?

Стефан
источник

Ответы:

8

(Только что заметил ваш комментарий о Raspberrys, и я хочу продолжить)

У нас есть большая сеть MPLS, в которой нам нужно измерять пропускную способность и джиттер между сайтами, чтобы убедиться, что наши самые чувствительные приложения не пострадают.

Один отличный способ сделать это, как вы упомянули, развертывание Raspberrys. Они достаточно малы, поэтому вы можете установить их практически где угодно. Одним из отличных инструментов для тестирования полосы пропускания / джиттера является iperf , который затем можно настроить для запуска в качестве демона (отфильтрованного!) На каждом PI. Затем просто начните тестирование с центральной станции управления.

pauska
источник
8

В нисходящем потоке вы можете загрузить что-то в ноль: на ASA, но в восходящем потоке вы будете ограничены тем, сколько может передавать флеш-диск, что обычно не так много.

Лучше всего было бы подключить компьютер и запустить тесты, но это, конечно, требует, чтобы кто-то был на месте.

Даниэль Диб
источник
7

Первое, что приходит на ум, это загрузка изображений ASA и ASDM.

Bitzer
источник
6

Возможно, пассивный мониторинг - лучший подход. Существует множество систем, которые будут отслеживать состояние интерфейса / ошибки / сбросы / пропускную способность. График пропускной способности соответствует вашим потребностям?

Деннис Олвани
источник
5

У меня было подобное требование много месяцев назад с удаленным маршрутизатором, работающим под управлением IOS. Завершается использованием службы chargen tcp-small-servers на маршрутизаторе - работает на tcp / 19. Он будет генерировать поток случайных символов и т. Д. И может быть масштабирован с помощью нескольких сеансов telnet с удаленного маршрутизатора на другие маршрутизаторы, работающие с chargen. Нигде рядом с богатым контролем / функциональностью хост-тестов iperf. Также, как мы знаем, ASA не поддерживает telnet локально, поэтому здесь это не сработает ...

У ASA есть эта утилита трассировки пакетов начиная с 7.0 для генерации интересного трафика для туннельных конфигураций, но она не позволяет настраивать скорость. Такая функциональность также была бы интересным вектором атаки, если ее использовать удаленно и в масштабе ... Любая подобная встроенная функциональность в ASA, вероятно, будет привязывать плоскость управления, и любое разнообразие внутренних политик плоскости управления должно будет ограничивать скорость генерируемого трафика.

Я согласен с вышеизложенным, что Raspberry Pi является хорошим решением здесь. Мы просто загнали немного, чтобы управлять экранами в стиле NOC. Они потрясающие.

colincashin
источник
1

Я на самом деле застрял с аналогичным запросом на прошлой неделе (конечно, удаленный сайт был на другой стороне страны). В итоге я использовал mgen для отправки однонаправленного udp и просто проверки счетчиков на удаленном устройстве. Если вас не устраивает mgen , вы можете сделать то же самое с nping или одним из инструментов nmap .

Как вы указали, проблема с iperf , IxChariot и многими другими инструментами заключается в том, что им требуется удаленный респондент. Mgen , Nping и некоторые другие не делают.

Гэри Дандердейл
источник
0

Если у вас есть набор инструментов для разработки Solar Winds, вы можете использовать «WAN Killer» между двумя локациями. Убедитесь, что ваш ACL позволяет обоим концам разговаривать друг с другом таким образом, и наводните с соответствующим уровнем эхо-сигналов или сбросов из пункта А в пункт Б и наоборот.

Мы используем это для проверки способности сетей обрабатывать трафик через соединения VPN и MPLS, независимо от того, измеряет ли он необработанную пропускную способность от A до B и PPS от A до B.

AjNetEng
источник