Comments | ru_root: А есть тут специалисты по цискам?

dil in ru_root

А есть тут специалисты по цискам?

Feb 29, 2016 16:12

Имеется циска с единственным сетевым интерфейсом, которым она подключена к локальной сетке (с публичными адресами). Циска используется для туннелирования некоторого трафика через ipSec'овый VPN из этой сетки и в неё. gateway для выхода в интернеты в этой же сетке ( Read more... )

cisco, ipsec, monitoring

Comments 29

dadv February 29 2016, 18:19:01 UTC

Если цискороутер включен в локальную сеть с управляемым коммутатором, может быть проще настроить на коммутаторе зеркалирование трафика и смотреть его wireshark-ом с PC и отфильтровывать нужные пакетами средствами wireshark.

sir_andru February 29 2016, 19:24:10 UTC

Из контекста не понятно что вам необходимо. Под "мониторить" вы понимаете считать трафик локальный и VPN? Или что-то другое?
Можете настроить netflow коллектор и смотреть трафик на UDP 500(4500) и вычитать его из общего. Или все кроме UDP 500(4500) относить к локальному трафику.
Опять-же не понятно у вас висит crypto-map на физическом интерфейсе или интерфейс типа tunnel с шифрованием. Если туннель -так вообще проблем нет. Считаете туннель, считаете локалку как трафик физики за минусом туннель.

А можно и вообще считать на шлюзе трафик адресованный на IP циско. И все в шоколаде.

dil March 1 2016, 10:21:09 UTC

Мне надо отследить, какие пакеты ходят через VPN, с точностью до IP-заголовков, примерно как tcpdump без -v показывает. Зашифрованные пакеты и количество трафика меня не интересуют.

Туннеля нет, crypto-map там на единственном физическом интерфейсе.

dadv March 1 2016, 10:25:17 UTC

Раз туннеля нет, то придется экспортировать зашифрованные пакеты и расшировывать их уже на анализаторе.

sir_andru March 2 2016, 19:33:27 UTC

Зеркалирование порта на свитче и tcpdump исключая все, что относится к IPSEC.
Работа с самой Cisco - по loopback IP. Этот трафик тоже исключить из tcpdump.
Это самый простой вариант. И вам его ужже предлагали.

Если VPN трафик не затрагивает сегмент, в котором висит интерфейс самой Cisco, то можно переливать данные с помощью route-map через промежуточную машину и получать то, что вам необходимо в чистом виде.

Все остальное, IMHO, слишком мудренные решения будут.
C1921 и единственный физический интерфейс? Забавно...

Thread 6

n1ght_snake March 6 2016, 10:03:08 UTC

Во-первых, циска умеет VTI - и IPSec можно через них
Во-вторых, show crypto ipsec sa - не то? Там по каждой записи acl есть encrypt/decrypt счетчики

dil March 6 2016, 11:17:12 UTC

Может и умеет, но сейчас там VPN сконфигурён без виртуальных интерфейсов, а менять на работающей системе не хочется, можно уронить..

Счётчики счётчиками, но мне надо видеть конкретные пакеты, а то там в одну сторону соединения проходят нормально, а в другую отваливаются по таймауту, потому я и хочу посмотреть, какие пакеты там идут, а какие нет.

n1ght_snake March 6 2016, 11:20:30 UTC

Я бы начал с отладки, непосредственно, ipsec. Ибо по моей практике в 95% случаев виноваты кривые руки и несогласованность настроек.

dil March 6 2016, 13:33:01 UTC

Сам по себе ipsec работает, как я уже сказал, в одну сторону соединения через него успешно проходят.

Thread 6