отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 

Вебкаст на тему: "Использование packet-tracer, capture и других утилит Cisco ASA для диагностики сетей" - вопросы и ответы

[toc:faq]

Введение

Read the bioВо время презентации эксперт Cisco TAC Олег Типисов привел примеры использования различных возможностей и диагностических средств Cisco ASA для решения проблем, возникающих при передаче трафика, а также проблем производительности и исчерпания ресурсов. Были рассмотрены такие утилиты, как  capture, packet-tracer, средства диагностики загрузки CPU и мониторинга утилизации оперативной памяти. Также были даны рекомендации, позволяющие  избежать наиболее часто встречающихся при эксплуатации проблем, связанных с исчерпанием ресурсов.

Олег Типисов работает с различными решениями и продуктами Cisco в области безопасности, такими как межсетевые экраны Cisco PIX и Cisco ASA, системы обнаружения атак IPS 4200, виртуальные частные сети (VPN), построенные с использованием маршрутизаторов Cisco и Cisco ASA, на  протяжении более чем десяти лет и с продуктами Cisco в целом - более тринадцати лет. В течение последних пяти лет он является инженером Cisco TAC и занимается поддержкой российских и зарубежных клиентов. Олег имеет сертификацию CCIE #18059 по направлению маршрутизация и коммутация (RS), а также является сертифицированным инструктором Cisco (CCSI).

Ссылки:

Вопросы и ответы

Q:  А PBR уже сделали на ASA?

A: Нет, и планов по реализации PBR пока нет. В некоторых случаях возможно сэмулировать PBR с помощью NAT. Есть также запрос на улучшение ПО: CSCue30412 - ENH: Source-based Routing support for ASA

Q:  Возможно ли захватить пакеты и сохранить их в формате *.pcap?

A: Да, после того, как capture сделан и хранится на ASA, можно скачать его с ASA по HTTP в формате PCAP - см. описание команды "capture" - там есть примеры.

Q:  Packet-tracer создает и изучает шаги обработки первоначального SYN пакета TCP соединения. Есть ли варианты анализа обратного трафика по как-бы-созданному ранее соединению? (например, в контексте диагностики asymmetric nat).

A: NAT RPF Check отвечает за то, что для обратного трафика должно [как правило] сработать тоже правило NAT, что и для исходного SYN. Соответствующая проверка печатается packet-tracer. Хотя здесь конечно есть что улучшить, например: CSCth24401 - Packet tracer should show overlap NAT configuration when rpf-check fails. Можно также вручную сделать еще один packet-tracer и сэмитировать проход отдельного пакета в обратную сторону.

Q:  А какие проставятся флаги? И ведь созданное packet-tracer соединение мгновенно закрывается.

A:  Packet-tracer - это средство тестирования одиночных пакетов. Создание сессии с последющим проходом других пакетов через ту же сессию в прямом или обратном направлении не тестируется packet-tracer.

Q:  Работает ли Tracing Captured Packet на версии 8.2?

A:  Должно, но могут быть баги.

Q:  Применимо ли все описанное в презентации для ASA5510?

A:  Да, при условии, что установлена соответствующая версия софта - некоторые фичи работают в 9.x. Также надо отметить, что 5510 - однопроцессорная платформа, поэтому вывод некоторых команд несколько отличается, а некоторых команд, из числа прведенных в презентации, просто нет.

Q:  У меня бывали случаи, когда packet tracer показывал что всё ALLOW, но трафик не ходил, проблема была в настройках NAT в результате. 

A:  Packet-tracer не на 100% отрабатывает все ошибки конфигурации NAT - при перекрывающихся правилах NAT он может давать некорректные результаты для NAT.  Формально, это баг, когда packet-tracer не отражает реальное положение дел.  

Q:  Подскажите пожалуйста, как с помощью рассматриваемых сегодня инструментов можно детектировать или определить кол-во фрагментированных пакетов, определить источник трафика с превышенным MTU.

A: Проще всего поймать некоторое количество трафика с помощью capture и посмотреть, сколько пакетов (какой процент пакетов) имеет бит фрагментации (More Fragment flag).  Определить источник трафика с превышенным MTU: именно на этом направлении вы будете наблюдать большое количество фрагментов и ICMP пакеты "Fragmentation needed, but DF set".  

Q:  Не будет ли более верным установить политику на конкретный интерфейс и не использовать global_policy?

A:  Это делается "как вам удобнее".  Если для идентификации сессий, на которые вы назначаете лимиты, используются ACL, то можно и global_policy. 

Q: Tcp ping работает только на версии >= 9.0?

A:  ping tcp ... работает начиная с 8.4(1)   

Q:  Можно ли установить на ASA5510 (RAM:1024Mb, Flash:256Mb) Cisco  ASA Software версии 9.х?

A: Пожалуйста, посмотрите на эту таблицу: http://www.cisco.com/en/US/docs/security/asa/compatibility/asamatrx.html  

История версий
Редакция №
1 из 1
Последнее обновление:
‎01-24-2014 12:12 AM
Автор обновления:
 
Метки (1)
Теги (2)