Comment puis-je générer du trafic sur un Cisco ASA?

13

Dans de nombreux endroits, nous n'avons qu'un Cisco ASA 5505 chacun et un ou plusieurs points d'accès WiFi, en plus du routeur du fournisseur. Pas de serveurs ou PC, juste un service WiFi pour les visiteurs occasionnels. Je souhaite vérifier à distance si le fournisseur nous donne la bande passante contractuelle. Je pouvais voir la bande passante utilisée sur la surveillance ASA et tester une direction en envoyant du trafic vers l'ASA en utilisant Iperf de mon côté.

Existe-t-il un moyen de laisser l'ASA générer un trafic important?

Stefan
la source

Réponses:

8

(Je viens de remarquer votre commentaire sur les framboises, et je veux faire un suivi)

Nous avons un grand réseau MPLS où nous devons mesurer la bande passante et la gigue sur tous les sites pour nous assurer que nos applications les plus sensibles ne souffrent pas.

Comme vous l'avez mentionné, une excellente façon de procéder est de déployer Raspberrys. Ils sont assez petits, vous pouvez donc les installer presque partout. Un grand toolf pour tester la bande passante / gigue est iperf , que vous pouvez ensuite mettre en place pour fonctionner comme un (filtré!) Démon sur chaque PI. Ensuite, lancez simplement les tests à partir d'une station de gestion centrale.

pauska
la source
8

En aval, vous pourriez être en mesure de télécharger quelque chose à null: sur l'ASA, mais en amont, vous seriez limité de combien le disque flash peut transférer, ce qui n'est généralement pas tant que ça.

Le mieux serait de connecter un PC et d'exécuter les tests, mais cela nécessite bien sûr que quelqu'un soit sur place.

Daniel Dib
la source
7

La première chose qui me vient à l'esprit serait de télécharger les images ASA et ASDM.

bitzer
la source
6

La surveillance passive est peut-être une meilleure approche. Il existe de nombreux systèmes qui permettent de suivre l'état / les erreurs / les rejets / la bande passante de l'interface. Un graphique de bande passante correspond-il à vos besoins?

Dennis Olvany
la source
5

J'avais une exigence similaire il y a plusieurs lunes avec un routeur distant exécutant IOS. A fini par utiliser le service chargen tcp-small-servers sur le routeur - fonctionne sur tcp / 19. Il générera un flux de caractères aléatoires, etc. et peut être étendu à l'aide de plusieurs sessions Telnet du routeur distant à d'autres routeurs exécutant chargen. Nulle part près le riche contrôle / fonctionnalité des tests iperf basés sur l'hôte. De plus, comme nous le savons, l'ASA ne prend pas en charge Telnet localement, cela ne fonctionnera donc pas ici ...

ASA a cet utilitaire de traceur de paquets depuis 7.0 pour générer un trafic intéressant pour les configurations de tunnel mais ne permet pas le réglage du débit. Une telle fonctionnalité serait également un vecteur d'attaque intéressant si elle était exploitée à distance et à grande échelle ... Toute telle fonctionnalité native sur ASA ancrerait probablement le plan de contrôle et toute variété de police de plan de contrôle inhérente devrait limiter le débit de trafic généré.

Je suis d'accord avec ci-dessus que Raspberry Pi est une bonne solution ici. Nous venons d'en déposer pour piloter des écrans de style NOC. Ils sont géniaux.

colincashin
la source
1

En fait, j'ai été coincé avec une demande similaire la semaine dernière (bien sûr, le site distant était de l'autre côté du pays). Ce que j'ai fini par faire était d'utiliser mgen pour envoyer un udp unidirectionnel et de simplement vérifier les compteurs sur le périphérique distant. Si vous n'êtes pas à l'aise avec mgen , vous pouvez faire de même avec nping ou l'un des outils nmap .

Comme vous l'avez souligné, le problème avec iperf , IxChariot et tant d'autres outils est qu'ils nécessitent un répondeur distant. mgen , nping et quelques autres ne le font pas.

Gary Dunderdale
la source
0

Si vous disposez de Solar Winds Engineering Tool Kit, vous pouvez utiliser "WAN Killer" entre les deux emplacements. Assurez-vous que vos listes de contrôle d'accès permettent aux deux extrémités de se parler de cette façon, et inonder avec le niveau approprié d'écho ou de défausse du point A à B et vice versa.

Nous l'utilisons pour tester la capacité des réseaux à gérer le trafic sur les connexions VPN et MPLS, qu'il s'agisse de mesurer le débit brut de A vers B et le PPS de A vers B.

AjNetEng
la source