Sep 29 2010

Analyser et monitorer le trafic sur PIX/ASA

Publié par à 2:12 sous Cisco




Comment analyser le trafic traversant votre firewall PIX ou ASA lorsque les temps de réponse deviennent extrêmement lents, la bande passante est saturée ou anormalement élevée, ou que les débits de téléchargement sont proches de 0?
 

Statistiques des access lists

Si vous avez mis en place des access lists pour restreindre le trafic sortant ou entrant, vous pouvez obtenir rapidement de bonnes indications sur la nature du trafic.

cisco_pix# show access-list acl_in
access-list acl_in; 17 elements
access-list acl_in line 1 permit tcp any any eq domain (hitcnt=7)
access-list acl_in line 2 permit udp any any eq domain (hitcnt=40379)
access-list acl_in line 3 permit tcp any any eq www (hitcnt=157103)
access-list acl_in line 4 permit tcp any any eq 8080 (hitcnt=466)
access-list acl_in line 5 permit tcp any any eq https (hitcnt=1910)
access-list acl_in line 6 permit tcp any any eq ftp (hitcnt=2)
access-list acl_in line 7 permit tcp any any eq smtp (hitcnt=550)
access-list acl_in line 8 permit tcp any any eq pop3 (hitcnt=14660)

 
Vous pouvez remettre les compteurs à 0 depuis le mode de configuration pour avoir les dernières statistiques:

cisco_pix# configure terminal
cisco_pix(config)# clear access-list acl_in counters

 

Trafic

Il est possible d’afficher le trafic de chaque interface du PIX. Il vaut mieux remettre à 0 les données pour avoir des résultats plus précis.

cisco_pix# clear traffic

 
Attendre un peu pour collecter les données sur cette période de temps

cisco_pix# show traffic
outside:
        received (in 9.570 secs):
                133 packets     19918 bytes
                13 pkts/sec     2081 bytes/sec
        transmitted (in 9.570 secs):
                199 packets     22997 bytes
                20 pkts/sec     2403 bytes/sec
inside:
        received (in 9.570 secs):
                158 packets     14392 bytes
                16 pkts/sec     1503 bytes/sec
        transmitted (in 9.570 secs):
                102 packets     14264 bytes
                10 pkts/sec     1490 bytes/sec

 

Type de trafic

Pour afficher le nombre de connexions par seconde par type de trafic:

cisco_pix# show perfmon

PERFMON STATS:    Current      Average
Xlates               0/s          0/s
Connections          0/s          0/s
TCP Conns            0/s          0/s
UDP Conns            0/s          0/s
URL Access           0/s          0/s
URL Server Req       0/s          0/s
TCP Fixup           27/s          1/s
TCPIntercept         0/s          0/s
HTTP Fixup           5/s          2/s
FTP Fixup            0/s          0/s
AAA Authen           0/s          0/s
AAA Author           0/s          0/s
AAA Account          0/s          0/s

 

Connexions

Affichez le nombre de connexions comme ceci

cisco_pix# show conn count
35 in use, 195 most used

 
Ou de façon plus détaillée en affichant chaque connexion établie:

cisco_pix# show conn
33 in use, 195 most used
TCP out 172.18.0.1:23 in 192.168.9.101:1155 idle 0:00:32 Bytes 19354 flags UIO
TCP out 172.18.0.1:23 in 192.168.9.107:1151 idle 0:03:49 Bytes 156840 flags UIO
...

 
Très utile puisque l’on peut voir le nombre d’octets transférés pour chaque connexion.
 

Mémoire et processeur

Et bien sûr, contrôlez les ressources mémoire et CPU

cisco_pix# show cpu usage
CPU utilization for 5 seconds = 2%; 1 minute: 2%; 5 minutes: 6%

cisco_pix# show memory
Free memory:         5069344 bytes
Used memory:        11707872 bytes
-------------     ----------------
Total memory:       16777216 bytes

 

Monitoring sur le long terme

De nombreux outils sont disponibles pour mesurer le trafic de chaque interface et l’exporter sous forme de graphiques. On n’est capable de détecter une anomalie qu’en comparant les données actuelles avec celles précédemment enregistrées. Un graphique est le meilleur moyen d’y parvenir.
Parmi les outils les plus populaires, j’ai retenu Cacti, MRTG ainsi que Smokeping. Ce dernier permet de visualiser la latence d’un lien.

Vous trouverez plus d’informations à ce sujet dans la documentation en ligne de Cisco


No responses yet

Comments RSS

Leave a Reply