Medición en entornosswitcheados• Ing. Gustavo Ramón• flukenetworks@viditec.com.ar
Viditec1981 - 2013
FLUKE Networks• Inicialmente creada como una unidad de Fluke Corporationen 1993• Líder indiscutido en medición de cableado...
• Focalizándonos en el valor, calidad y confiabilidad– Arrastrando la herencia de 50 años de FLUKE con las herramientasmas...
¿Qué brinda FLUKE Networks?• Nosotros damos• Network SuperVision• ¿Qué se supone que es?
Hardware SoftwarePhysical ApplicationLAN WANPortable DistributedDamos diferentes formas de ver a las redes:
ANALISISSolo podemos analizar lo que vemos
Siguiendo los métodos descritos a continuación están pensados pararesolver problemas como• Paquetes duplicados• Paquetes p...
El SPAN de Cisco permite copiar el tráfico de los puertos físicos en un switcha otro puerto. Los puertos SPAN se configura...
SI• Los puertos de origen pueden ser puertos LAN L2 o L3 .• Pueden ser con o sin trunKNO• No Se Puede Configurar las inter...
Se compone de dos partes:• Session number: Distingue la sesión de monitor desde cualquier otro en elswitch.• Session desti...
(config)# monitor session 1 source interface fa01/7(config)# monitor session 1 destination interface fa01/1• Cada sesión d...
(config)#monitor session 1 source interface fa01/7 rx(config)#monitor session 1 destination interface fa01/1El número de s...
Cuando el puerto de origen de una sesión es un puerto de trunk,puede configurarse un filtro con el fin de supervisar única...
Generalmente las sesiones de SPAN deben proceder delas interfaces conectadas a servidores de producción que alojanlas apli...
Consideraciones en entornos Multi-TieredEn el caso de aplicaciones n-tiered debemos tener en cuenta que traficoqueremos an...
Utilizando VLAN SPAN, o VSPAN, abastecemos una sesión de monitor de un grupode interfaces físicas utilizando un solo coman...
Debido a que cada interfaz física de la VLAN manda una copia, cualquier paquete queviaja entre dos servidores en la VLAN e...
Cuando un dispositivo de capa 2 sólo utiliza un puerto troncal para comunicarsecon otros switches, se duplica el trafico.D...
Si la VLAN 20 también fuera una fuente para la sesión:1. Cuando es recibido por FA01 / 9 en la VLAN 102. A medida que se t...
SPAN sólo supervisa los datos transmitidos o recibidos por un puerto físico, si unpaquete entra en un dispositivo de Capa ...
En los 6500 de Cisco, cada paquete que se recibe por un puerto se transmite deforma automática al bus y a cada tarjeta. Ca...
Se recomienda que el SPAN provenga de puertos individuales siempre que sea posible.Idealmente, estos deben ser los puertos...
VACL es una lista de control de acceso que se aplica a una VLAN en lugar de a unainterfaz.• Se puede utilizar para filtrar...
El ACE puede filtrar en:• Dirección IP de origen• Dirección IP de destino• Protocolo• puerto de protocolo Fuente• puerto d...
• Las ACL se aplican a las VLAN mediante un mapa de acceso.• Un mapa de acceso puede contener múltiples ACL,• Cada uno con...
Los pasos para configurar un mapa de acceso son:• Definir el mapa de acceso- Formato: VLAN access-map map_name [0-65535]- ...
Ejemplo de aplicación un mapa de acceso:La Access list especifica el trafico permitidoAccess list 10 permit tcp any anyAcc...
Ejemplo: captura de toda una VLAN(config)#access-list 101 permit ip any any!(config)#vlan access-map APA_Cap 20(config)#ma...
Ejemplo filtrar el tráfico a ser capturado(config)# access-list 101 permit tcp any any!(config)#access-list 102 permit ip ...
Ejemplo: filtrar las copias de seguridad(config)# access-list 101 permit ip host 192.168.1.1 any(config)# access-list 101 ...
Otra alternativa para resolver todo esto
TAP FunctionConventional TAP
TAP FunctionPassive Non-Aggregating TAP
Passive Aggregating TAP
Regeneration TAP FunctionRegeneration TAPAggregation TAPs
TAP FunctionPort 1A Port 1BPort 2A Port 2BABCDFILTERAGGREGATIONFILTERDenyVlan 1BlockBroadcastsMulticastsAllow Ports1024-11...
¿Qué conectar?Analizadores de protocoloPor hardware Por SoftwareClearSight™Software de análisis basado en aplicaciones que...
ResultsThe throughput test finished with a result of93.1Mbps sustained for 10 seconds betweenthe two PCs.Tap Capture Resul...
¿Preguntas consultas??Desde ya muchas gracias por vuestra atención• Ing. Gustavo Ramón• flukenetworks@viditec.com.ar
Recomendaciones y técnicas para la configuración de puertos de span
Recomendaciones y técnicas para la configuración de puertos de span
Próxima SlideShare
Cargando en…5
×

Recomendaciones y técnicas para la configuración de puertos de span

1.226 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
1.226
En SlideShare
0
De insertados
0
Número de insertados
4
Acciones
Compartido
0
Descargas
17
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Recomendaciones y técnicas para la configuración de puertos de span

  1. 1. Medición en entornosswitcheados• Ing. Gustavo Ramón• flukenetworks@viditec.com.ar
  2. 2. Viditec1981 - 2013
  3. 3. FLUKE Networks• Inicialmente creada como una unidad de Fluke Corporationen 1993• Líder indiscutido en medición de cableado estructurado• Crea la categoría de productos Handheld Analyzer ymantiene un claro liderazgo en la misma• Primero en ofrecer una amplia línea de análisis distribuido ysoluciones de monitoreo• Entra en el mercado de Telecomunicaciones y OSP en1997
  4. 4. • Focalizándonos en el valor, calidad y confiabilidad– Arrastrando la herencia de 50 años de FLUKE con las herramientasmas confiables• Innovación– “Primero” en todas las categoríasHandheld FrameRelayInstallation ToolxDSLInstallationToolNetToolConnectivityTester foreveryoneFull line-rateGigabitAnalysisHandheldNetworkAnalyzerOut ofthe BoxNetworkMgmtHandheldFastEthernetAnalyzer1993 1995 1996 1998 1999DigitalCableTesterWeb-EnabledHandheldAnalyzerDigital Cat6 CableTester1996 1997SwitchWizardHandheldATMAnalyzer199919981997 2000WEB basedOneTouchSeries II2000 2000¿Cómo llegamos hasta acá?IntegratedNetworkAnalyzer2000
  5. 5. ¿Qué brinda FLUKE Networks?• Nosotros damos• Network SuperVision• ¿Qué se supone que es?
  6. 6. Hardware SoftwarePhysical ApplicationLAN WANPortable DistributedDamos diferentes formas de ver a las redes:
  7. 7. ANALISISSolo podemos analizar lo que vemos
  8. 8. Siguiendo los métodos descritos a continuación están pensados pararesolver problemas como• Paquetes duplicados• Paquetes perdidos• Sobresuscripción de puertosEstos métodos garantizan que los indicadores calculados a partir de losdatos capturados sean exactos y reduce carga de las herramientas demonitoreo de trafico de red.Dirigido a ingenieros de redes y administradores de redes.La idea
  9. 9. El SPAN de Cisco permite copiar el tráfico de los puertos físicos en un switcha otro puerto. Los puertos SPAN se configuran al crear una sesión SPANcompuesto por una fuente y un destino.Port Switch Analyzer (SPAN)Monitor session SOURCE- Especifica los puertos físicos de la que el SPAN copiará los datos.- Especifica la dirección del tráfico a copiar: RX, TX, o ambos (por defecto).Monitor session DESTINATION- Especifica el puerto físico al que el SPAN copiará los datos.La session source se compone de tres atributos:• Session number: Distingue la sesión dentro del switch.• Session source: Los puertos o VLAN de la que el SPAN copiará los datos.• Session direction: Especifica la dirección : RX, TX, o ambos (predeterminada)
  10. 10. SI• Los puertos de origen pueden ser puertos LAN L2 o L3 .• Pueden ser con o sin trunKNO• No Se Puede Configurar las interfaces de WAN COMO Puertos de origen.• Tampoco los Puertos EtherChannel• No Se pueden mezclar Puertos Físicos y VLAN en una misma Sesion• Si usamos una VLAN como source se monitorean todos los puertos de la mismaConsideraciones de los Puertos SOURCEConsideraciones de los Puertos DESTINATION• Un puerto de destino puede ser cualquier puerto físico.• Un puerto de destino sólo puede dar servicio a una sola sesión SPAN (no EtherChannel)• Una sesión de monitor puede tener hasta 64 interfaces de destino.
  11. 11. Se compone de dos partes:• Session number: Distingue la sesión de monitor desde cualquier otro en elswitch.• Session destination: especifica el puerto físico al que se copiaran los datos.Información de destino
  12. 12. (config)# monitor session 1 source interface fa01/7(config)# monitor session 1 destination interface fa01/1• Cada sesión de monitor permite especificar la dirección.• Los puertos de origen pueden ser configurado para copiar el tráfico deentrada, salida o ambos,• Si no se especifica la dirección de la sesión SPAN copiará ambasdirecciones.El ejemplo 1 no especifica una dirección. Si la intención era sólo controlar losdatos recibidos en fa01/7, la sesión se debería de configurar de la siguienteforma :Ejemplo: Port SPAN IOS Configuration
  13. 13. (config)#monitor session 1 source interface fa01/7 rx(config)#monitor session 1 destination interface fa01/1El número de sesiones de SPAN que un switch soporta depende del modelo y debetenerse en cuenta a la hora de configurar sesiones SPANLa idea de copiar el tráfico de producción a más de un analizador, permitiría porejemplo, enviar una copia de cada paquete a un monitor de rendimiento y otracopia a un IDS u otro sistema de seguridad.Ejemplo: Ingress-Only IOS Configuration
  14. 14. Cuando el puerto de origen de una sesión es un puerto de trunk,puede configurarse un filtro con el fin de supervisar únicamente lasVLAN específicas a través del comando “filter vlan-list”.Filtros de sesiónTambién es posible filtrar las VLAN que salen de un puerto mediante elcomando “switchport trunk allowed vlan vlan-list”. Este comando lepermite especificar que VLAN se transmite por la interfaz, reduciendolos desbordes de buffer.
  15. 15. Generalmente las sesiones de SPAN deben proceder delas interfaces conectadas a servidores de producción que alojanlas aplicaciones críticas.Usando el puerto SPAN(config)# monitor session 1 source interface Fa01/7(config)# monitor session 1 destination interface Fa01/1
  16. 16. Consideraciones en entornos Multi-TieredEn el caso de aplicaciones n-tiered debemos tener en cuenta que traficoqueremos analizar / monitorear
  17. 17. Utilizando VLAN SPAN, o VSPAN, abastecemos una sesión de monitor de un grupode interfaces físicas utilizando un solo comando.VSPANVentajas de VSPAN• Es fácil de configurar ya que le permite captar grandes grupos de interfaces con unsolo comando.• También significa que si los servidores se mueven los puertos en el switch / VLAN,el cambio será transparente.Desventajas de VSPANDebido VSPAN no le da la capacidad de controlar de qué interfaces se obtienen losdatos dando lugar a posibles congestiones y, posiblemente, descartes en la interfazde salida.
  18. 18. Debido a que cada interfaz física de la VLAN manda una copia, cualquier paquete queviaja entre dos servidores en la VLAN es duplicado en un VSPAN.Duplicación de paquetes
  19. 19. Cuando un dispositivo de capa 2 sólo utiliza un puerto troncal para comunicarsecon otros switches, se duplica el trafico.Duplicación de paquetes(config)# monitor session 1 source vlan 10(config)# monitor session 1 destination interface fa01/1
  20. 20. Si la VLAN 20 también fuera una fuente para la sesión:1. Cuando es recibido por FA01 / 9 en la VLAN 102. A medida que se transmite por el puerto Trunk Gig3 / 2 en la VLAN 103. A medida que se recibe por el puerto Trunk Gig3 / 2 en la VLAN 204. A medida que se transmite por FA01 / 7 en VLAN 20Esta configuración podría conducir acuadruplicar paquetes para ciertasconversaciones!!!En este escenario, las VLAN deben serobtenidos en una sola dirección (RX) paraque los datos sólo se refleja cuando entranal switch.Sourcing varias VLAN en presencia de troncales
  21. 21. SPAN sólo supervisa los datos transmitidos o recibidos por un puerto físico, si unpaquete entra en un dispositivo de Capa 3 y va a una VLAN, no será visto hastaque se transmite. Como resultado, si un VSPAN proviene de una sola dirección,un lado de una conversación TCP se perderá.Sourcing VLAN en switches layer 3(config)# monitor session 1 source vlan 10 rx(config)# monitor session 1 destination interface fa01/1Los paquetes sólo se ven a medida que son recibidospor una interfaz en la VLAN 10, por lo que cualquierpaquetes destinado a los hosts de VLAN 10 (TX) sepierden
  22. 22. En los 6500 de Cisco, cada paquete que se recibe por un puerto se transmite deforma automática al bus y a cada tarjeta. Cada tarjeta de línea bufferea el paquetemientras que reconoce la dirección y busca el destino del paquete. Una vez que secompleta, el paquete se añade desde las memorias intermedias para las que seconoce destino, o se borra. Debido a que cada paquete ya se copia a cada tarjeta delínea, no hay impacto en el rendimiento cuando se configura SPAN.Impacto en el rendimiento de SPAN
  23. 23. Se recomienda que el SPAN provenga de puertos individuales siempre que sea posible.Idealmente, estos deben ser los puertos conectados directamente a los servidores deaplicaciones de interés. En el caso de aplicaciones n-tier, cada nivel debe ser origen paraevitar duplicados.Esto se puede lograr creando un diagrama de flujo de la aplicación de antemano, yasegurarse de que cada flujo sólo cruza un puerto de origen.VSPAN• Puede causar duplicados en muchos escenarios• Adecuado para su uso en dispositivos layer2• Cuando hay una única VLAN, ya sea sólo entrada o salidaRecomendaciones
  24. 24. VACL es una lista de control de acceso que se aplica a una VLAN en lugar de a unainterfaz.• Se puede utilizar para filtrar el tráfico, a reenviar a un dispositivo de monitoreo.• Las VACL se procesan en hardware y se aplican a cualquier paquete que se dirija auna VLAN desde un dispositivo layer 3.• VACL también permiten filtros personalizados para limitar el tráfico que se captura.• Compatibles con Cisco 6500 y 4500.Una ACL o lista de control de acceso, es una lista que se utiliza para que coincida eltráfico basado en características específicas. Cada línea de la lista que se conocecomo Access Control Entry, o ACE. Cada ACE contiene una condición que seajustará y una acción a seguir para todo el tráfico que coincide con esa condición.Lista de control de acceso VLANACL
  25. 25. El ACE puede filtrar en:• Dirección IP de origen• Dirección IP de destino• Protocolo• puerto de protocolo Fuente• puerto de protocolo DestinoUn paquete que no coincide con ninguno de los ACE de una ACL será dado debaja.Existen capacidades de filtrado adicionales para ACL,.Formato:Fuente de Protocolo de actuación [puerto] ruta [puerto]Donde [puerto] es la dirección IP de origen o subred y puerto Capa 4 .EJEMPLO (filtrado trafico http):ACLpermit tcp 192.168.0.0 0.0.0.255 eq 80 anypermit tcp any eq 192.168.0.0 0.0.0.255 eq 80
  26. 26. • Las ACL se aplican a las VLAN mediante un mapa de acceso.• Un mapa de acceso puede contener múltiples ACL,• Cada uno con un número de prioridad que especifica el orden​Mapas de acceso
  27. 27. Los pasos para configurar un mapa de acceso son:• Definir el mapa de acceso- Formato: VLAN access-map map_name [0-65535]- Ejemplo: vlan access-map SA-Capture 10• Configurar la cláusula- Formato: match IP nombre_acl- Ejemplo: match ip address 10• Configuración de la acción- Formato: Acción {forward | fordward [capture] | drop | redirect}- Ejemplo: action forwardConfiguración de un mapa de acceso
  28. 28. Ejemplo de aplicación un mapa de acceso:La Access list especifica el trafico permitidoAccess list 10 permit tcp any anyAccess list 10 permit udp any any!El Access map define la actionvlan access-map Filter-20action forwardmatch ip address 10!El comando VLAN filter aplica las ACL a las VLANS especificasvlan filter example vlan-list 10TCP y UDP solamente
  29. 29. Ejemplo: captura de toda una VLAN(config)#access-list 101 permit ip any any!(config)#vlan access-map APA_Cap 20(config)#match ip address 101(config)#action forward capture!(config)#vlan filter APA_cap vlan-list 20!(config)#interface fa01/7(config)#switchport capture
  30. 30. Ejemplo filtrar el tráfico a ser capturado(config)# access-list 101 permit tcp any any!(config)#access-list 102 permit ip any any!(config)# vlan access-map APA_cap 20(config)# match ip address 101(config)# action forward capture!(config)# vlan access-map APA_cap 40(config)# match ip address 102(config)# action forward!(config)#vlan filter APA_cap vlan-list 10!(config)#interface gig2/13(config)#switchport capture
  31. 31. Ejemplo: filtrar las copias de seguridad(config)# access-list 101 permit ip host 192.168.1.1 any(config)# access-list 101 permit ip any host 192.168.1.1(config)# access-list 101 permit ip host 192.168.1.2 any(config)# access-list 101 permit ip any host 192.168.1.2!(config)#access-list 102 permit ip any any!(config)# vlan access-map APA_cap 30(config)# match ip address 101(config)# action forward!(config)# vlan access-map APA_cap 40(config)# match ip address 102(config)# action forward capture!(config)#vlan filter APA_cap vlan-list 10!(config)#interface gig2/13(config)#switchport capture
  32. 32. Otra alternativa para resolver todo esto
  33. 33. TAP FunctionConventional TAP
  34. 34. TAP FunctionPassive Non-Aggregating TAP
  35. 35. Passive Aggregating TAP
  36. 36. Regeneration TAP FunctionRegeneration TAPAggregation TAPs
  37. 37. TAP FunctionPort 1A Port 1BPort 2A Port 2BABCDFILTERAGGREGATIONFILTERDenyVlan 1BlockBroadcastsMulticastsAllow Ports1024-1151Allow IP172.16.3.2AllowMACFATAP-2000BT/SX
  38. 38. ¿Qué conectar?Analizadores de protocoloPor hardware Por SoftwareClearSight™Software de análisis basado en aplicaciones que proporcionarespuestas rápidas a problemas de rendimiento deaplicaciones•Motor de análisis de protocolo para Network Time Machine y OptiView XG NetworkAnalysis Tablet•Supervisión de rendimiento de aplicaciones en tiempo real con alarmas para laidentificación de problemas•Análisis basado en el tiempo para archivos de seguimiento de hasta 4 gigabytes paraidentificar rápidamente los paquetes relevantes para la vista basada en aplicaciones•Estadísticas en tiempo real, gráficos e informes para flujos en uno o múltiplessegmentos: para ver de forma rápida los problemas•Estado de la llamada de vídeo y de voz, análisis de QoS y reproducción•Informe resumido personalizado por el usuario•Admite motor de decodificación Wireshark®OptiView® XGTablet especializada en redes automatizadas y análisis de aplicaciones:la forma más rápida para que el ingeniero de redes vea la causa delproblemaFactor de forma de tablet que proporciona análisis automatizados de LANinalámbricas de 10/100 Mbps, 1/10 Gbps y 802.11a/b/g/nIntegrado con las herramientas inalámbricas AirMagnet.Interfaz de usuario intuitiva con navegación inteligente y resoluciónguiada de problemas integrada, además de cuadros de mandospersonalizables por el usuario para ver los datos según se necesiten.El análisis de rutas con gráficos y el Navegador de redes proporcionanuna imagen navegable al instante de las conexiones entre los switchesde las redes y dispositivos conectados, agilizando "el tiempo paraconocerse"
  39. 39. ResultsThe throughput test finished with a result of93.1Mbps sustained for 10 seconds betweenthe two PCs.Tap Capture ResultsPackets captured: 133,126Delta Time at TCP Setup: 243uSecSPAN Capture ResultsPackets captured: 125,221Delta time of TCP connection setup: 221 uSecTest SetupWe connected two PCs to a basic Cisco CatalystSwitch at 100Mbps. A throughput test using iPerfwas configured and run between the twomachines. On one of the PCs, we placed a100Mbps tap, and placed a hardware analyzer onit to capture. Last, we configured a SPAN on theswitch to forward all traffic to and from this portto another hardware analyzer. Below is a basicdrawing of the setup.
  40. 40. ¿Preguntas consultas??Desde ya muchas gracias por vuestra atención• Ing. Gustavo Ramón• flukenetworks@viditec.com.ar

×