Як я можу генерувати трафік на Cisco ASA?


13

У багатьох місцях у нас є лише один додаток Cisco ASA 5505 і один або кілька Wi-Fi-додатків, окрім маршрутизатора постачальника. Немає серверів чи ПК, лише послуга WiFi для випадкових відвідувачів. Хочу віддалено перевірити, чи надає нам провайдер пропускну здатність постачальника. Я міг бачити використану пропускну здатність на моніторингу ASA і перевіряти один напрямок, надсилаючи трафік до ASA за допомогою Iperf на моєму боці.

Чи є якийсь спосіб дозволити ASA генерувати значний трафік?

Відповіді:


8

(Щойно помітив ваш коментар про малину, і я хочу продовжити)

У нас є велика мережа MPLS, де нам потрібно вимірювати пропускну здатність і тремтіння на різних сайтах, щоб переконатися, що наші найчутливіші програми не шкодять.

Один чудовий спосіб зробити це, як ви згадали, розгортання Raspberrys. Вони досить малі, тому їх можна встановити майже в будь-якому місці. Один чудовий інструмент для тестування пропускної здатності / тремтіння - iperf , який ви можете налаштувати для запуску як (відфільтрований!) Демон на кожному PI. Потім просто ініціюйте тести з центральної станції управління.


8

Нижче за течією ви, можливо, зможете завантажити щось з нуля: на ASA, але вище за течією ви обмежитеся тим, скільки може передати флеш-диск, що зазвичай не так вже й багато.

Найкращим варіантом буде підключити ПК та запустити тести, але це вимагає, щоб хтось був на місці.


7

Перше, що спадає на думку, - це завантаження зображень ASA та ASDM.


6

Можливо, пасивний моніторинг є кращим підходом. Є багато систем, які відстежують стан інтерфейсу / помилки / відкидання / пропускну здатність. Чи відповідає графік пропускної здатності вашим потребам?


5

У мене була аналогічна вимога багато місяців тому з віддаленим маршрутизатором під керуванням IOS. Закінчено використанням сервера chargen tcp-small-server на маршрутизаторі - працює на tcp / 19. Він генерує потік випадкових символів тощо і може бути масштабований за допомогою декількох сеансів телнету з віддаленого маршрутизатора до інших маршрутизаторів, на яких працює зарядка. Ніде поруч багатий контроль / функціональність тестів iperf на основі хоста. Крім того, як ми знаємо, ASA не підтримує telnet локально, тому це не працюватиме тут ...

У ASA є ця утиліта для відстеження пакетів з 7.0, щоб генерувати цікавий трафік для конфігурацій тунелю, але не дозволяє налаштування швидкості. Така функціональність також була б цікавим вектором атаки, якщо експлуатуватися дистанційно та в масштабах ... Будь-яка така нативна функціональність на ASA, швидше за все, прив'язуватиме контрольну площину, а будь-яка різноманітна властива політика управління площиною повинна обмежувати генеровану швидкість руху.

Я згоден з вище, що Raspberry Pi - це хороше рішення. Ми просто кинули дещо, щоб загнати екрани стилів NOC. Вони приголомшливі.


1

Я фактично застряг у подібному запиті минулого тижня (звичайно, віддалений сайт був з іншого боку країни). Що я в кінцевому підсумку робив, - це використовувати mgen для надсилання однонаправлених udp та просто перевірку лічильників на віддаленому боковому пристрої. Якщо вам не зручно з mgen , ви можете зробити те ж саме з nping або одним із інструментів nmap .

Як ви вказали, проблема з iperf , IxChariot та багатьма іншими інструментами полягає в тому, що вони потребують віддаленого реагування. mgen , nping , і кілька інших цього не роблять.


0

Якщо у вас є комплект інструментів для інженерних сонячних вітрів, ви можете використовувати "WAN Killer" між двома місцями. Переконайтесь, що ACL дозволяє обом кінцям розмовляти між собою таким чином, і залийте відповідним рівнем відлуння або відкиньте від точки А до В та візово навпаки.

Ми використовуємо це для тестування здатності мереж обробляти трафік через VPN та MPLS-з'єднання, незалежно від того, чи вимірює він пропускну здатність від A до B та PPS від A до B.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.