Wie kann ich auf einem Cisco ASA Datenverkehr generieren?

13

An vielen Standorten haben wir neben dem Provider-Router nur einen Cisco ASA 5505 und einen oder mehrere WiFi-APs. Keine Server oder PCs, nur WiFi-Service für gelegentliche Besucher. Ich möchte aus der Ferne überprüfen, ob der Anbieter uns die vertraglich vereinbarte Bandbreite zur Verfügung stellt. Ich konnte die genutzte Bandbreite auf der ASA-Überwachung sehen und eine Richtung testen, indem ich mit Iperf auf meiner Seite Verkehr an die ASA sendete.

Gibt es eine Möglichkeit, dass der ASA erheblichen Datenverkehr generiert?

Stefan
quelle

Antworten:

8

(Ich habe gerade Ihren Kommentar zu Raspberrys bemerkt und möchte ihn nachverfolgen.)

Wir haben ein großes MPLS-Netzwerk, in dem wir die Bandbreite und den Jitter über Standorte hinweg messen müssen, um sicherzustellen, dass unsere sensibelsten Anwendungen nicht schaden.

Wie Sie bereits erwähnt haben, können Sie dazu Raspberrys einsetzen. Sie sind klein genug, sodass Sie sie fast überall installieren können. Ein großartiger Weg, um die Bandbreite / den Jitter zu testen , ist iperf , den Sie dann so einrichten können, dass er auf jedem PI als (gefilterter!) Daemon ausgeführt wird. Starten Sie dann einfach die Tests von einer zentralen Verwaltungsstation aus.

pauska
quelle
8

In der Folge können Sie möglicherweise etwas auf Null herunterladen: Auf dem ASA ist die Übertragungsrate der Flash-Festplatte in der Regel nicht so hoch.

Der beste Weg wäre, einen PC anzuschließen und die Tests durchzuführen, aber dazu muss natürlich jemand vor Ort sein.

Daniel Dib
quelle
7

Das erste, was mir in den Sinn kommt, ist das Hochladen der ASA- und ASDM-Images.

Bitzer
quelle
6

Vielleicht ist die passive Überwachung ein besserer Ansatz. Es gibt viele Systeme, die den Schnittstellenstatus / Fehler / Verwerfungen / Bandbreite verfolgen. Entspricht ein Bandbreitendiagramm Ihren Anforderungen?

Dennis Olvany
quelle
5

Ich hatte vor vielen Monden eine ähnliche Anforderung mit einem Remote-Router, auf dem IOS ausgeführt wird. Endete mit TCP-Small-Server-Chargen-Dienst auf dem Router - läuft auf TCP / 19. Es wird ein Stream von zufälligen Zeichen usw. generiert und kann mithilfe mehrerer Telnet-Sitzungen vom Remote-Router auf andere Router, auf denen chargen ausgeführt wird, skaliert werden. Nirgendwo in der Nähe der umfassenden Kontrolle / Funktionalität von Host-basierten Iperf-Tests. Auch wie wir wissen, unterstützt ASA kein lokales Telnet, so dass dies hier nicht funktioniert ...

ASA hat dieses Paketverfolgungsdienstprogramm seit 7.0, um interessanten Datenverkehr für Tunnelkonfigurationen zu generieren, lässt jedoch keine Ratenoptimierung zu. Eine solche Funktionalität wäre auch ein interessanter Angriffsvektor, wenn sie aus der Ferne und in großem Umfang genutzt würde. Jede solche native Funktionalität in ASA würde wahrscheinlich die Kontrollebene fixieren, und jede Art von inhärenter Kontrollebenen-Überwachung müsste die generierte Verkehrsrate einschränken.

Ich stimme dem oben Gesagten zu, dass Raspberry Pi hier eine gute Lösung ist. Wir haben gerade ein paar eingespielt, um Bildschirme im NOC-Stil zu betreiben. Sie sind genial.

Colincashin
quelle
1

Ich hatte letzte Woche tatsächlich eine ähnliche Anfrage (natürlich befand sich die Gegenstelle auf der anderen Seite des Landes). Am Ende habe ich mgen verwendet , um unidirektionales udp zu senden und nur die Zähler auf dem Remote-Gerät zu überprüfen. Wenn Sie mit mgen nicht vertraut sind , können Sie dies auch mit nping oder einem der nmap- Tools tun .

Wie Sie bereits betont haben , besteht das Problem mit iperf , IxChariot und so vielen anderen Tools darin, dass ein Remote-Responder erforderlich ist. mgen , nping und einige andere nicht.

Gary Dunderdale
quelle
0

Wenn Sie über Solar Winds Engineering Tool Kit verfügen, können Sie "WAN Killer" zwischen den beiden Standorten verwenden. Stellen Sie sicher, dass Ihre ACLs beide Enden auf diese Weise miteinander kommunizieren lassen, und fluten Sie mit der entsprechenden Menge von Echos oder Abwürfen von Punkt A nach B und umgekehrt.

Wir testen damit die Fähigkeit des Netzwerks, Datenverkehr über VPN- und MPLS-Verbindungen hinweg zu verarbeiten, unabhängig davon, ob der Rohdurchsatz von A nach B und der PPS von A nach B gemessen wird.

AjNetEng
quelle