W wielu lokalizacjach mamy tylko jeden Cisco ASA 5505 każdy i jeden lub więcej punktów dostępowych WiFi, oprócz routera dostawcy. Brak serwerów lub komputerów, tylko usługa WiFi dla okazjonalnych gości. Chcę zdalnie sprawdzić, czy dostawca podaje nam zakontraktowaną przepustowość. Widziałem używane pasmo w monitorowaniu ASA i testowałem jeden kierunek, wysyłając ruch do ASA za pomocą Iperf po mojej stronie.
Czy jest jakiś sposób, aby pozwolić ASA generować znaczny ruch?
Odpowiedzi:
(Właśnie zauważyłem twój komentarz na temat Raspberrys i chcę kontynuować)
Mamy dużą sieć MPLS, w której musimy mierzyć przepustowość i fluktuacje w różnych witrynach, aby upewnić się, że nasze najbardziej wrażliwe aplikacje nie będą bolały.
Jednym ze świetnych sposobów na zrobienie tego jest, jak wspomniałeś, wdrażanie Raspberrys. Są wystarczająco małe, więc możesz je zainstalować niemal wszędzie. Jednym z wielkich narzędzi do testowania pasma / fluktuacji jest iperf , który następnie można skonfigurować tak, aby działał jako (przefiltrowany!) Demon na każdym PI. Następnie po prostu zainicjuj testy z centralnej stacji zarządzania.
Poniżej możesz pobrać coś do wartości zerowej: na ASA, ale w górę, będziesz miał ograniczoną ilość transferu dysku flash, co zwykle nie jest tak duże.
Najlepszym rozwiązaniem byłoby podłączenie komputera i uruchomienie testów, ale to oczywiście wymaga obecności kogoś na miejscu.
Być może lepszym rozwiązaniem jest monitorowanie pasywne. Istnieje wiele systemów, które będą śledzić stan interfejsu / błędy / odrzucenia / przepustowość. Czy wykres przepustowości odpowiada Twoim potrzebom?
Wiele księżyców temu miałem podobny wymóg ze zdalnym routerem z systemem IOS. Skończyło się na użyciu usługi routera tcp-small-servers na routerze - działa na TCP / 19. Wygeneruje strumień losowych znaków itp. I można go skalować za pomocą wielu sesji telnet ze zdalnego routera do innych routerów z ładowaniem. Nigdzie w pobliżu bogatej kontroli / funkcjonalności testów iperf opartych na hoście. Jak wiemy, ASA nie obsługuje telnet lokalnie, więc tutaj to nie zadziała ...
ASA ma to narzędzie do śledzenia pakietów od 7.0 do generowania interesującego ruchu dla konfiguracji tunelu, ale nie pozwala na dostrajanie prędkości. Taka funkcjonalność byłaby również interesującym wektorem ataku, gdyby została wykorzystana zdalnie i na dużą skalę ... Każda taka natywna funkcjonalność w ASA prawdopodobnie ustaliłaby płaszczyznę sterowania, a wszelkie różnorodne nieodłączne działania policji płaszczyzny sterowania musiałyby ograniczyć generowane natężenie ruchu.
Zgadzam się z powyższym, że Raspberry Pi jest tutaj dobrym rozwiązaniem. Właśnie wrzuciliśmy trochę, by prowadzić ekrany w stylu NOC. Oni są świetni.
W zeszłym tygodniu utknąłem z podobną prośbą (oczywiście zdalna strona znajdowała się po drugiej stronie kraju). Skończyło się na tym, że użyłem mgen do wysłania jednokierunkowego udp i po prostu sprawdziłem liczniki na zdalnym urządzeniu. Jeśli nie masz doświadczenia z mgen , możesz zrobić to samo z nping lub jednym z narzędzi nmap .
Jak już wspomniałeś, problem z iperf , IxChariot i wieloma innymi narzędziami polega na tym, że wymagają one zdalnego reagowania. mgen , nping i kilka innych nie.
Jeśli masz Zestaw Narzędzi Inżynierii Wiatrów Słonecznych, możesz użyć „WAN Killer” pomiędzy dwoma lokalizacjami. Upewnij się, że listy ACL pozwalają obu końcom rozmawiać ze sobą w ten sposób i zalać odpowiednim poziomem echa lub odrzucić z punktu A do B i odwrotnie.
Używamy tego do testowania zdolności sieci do obsługi ruchu przez połączenia VPN i MPLS, niezależnie od tego, czy mierzy surową przepustowość od A do B, a PPS od A do B.