martes, 22 de enero de 2013

Revisar conexiones simultáneas a un equipo Cisco

Cuando en nuestra empresa hay más de un administrador de redes es posible, incluso probable, que en caso de problemas de red varias personas estén conectadas simultáneamente en un mismo equipo. Si ambas personas están coordinadas y sólo se efectúan cambios de configuración desde una conexión no debería haber problemas, pero no siempre es el caso.

Una recomendación básica es forzar una desconexión por inactividad en las sesiones remotas (telnet, ssh) para evitar que un equipo llegue al número máximo de sesiones abiertas e impida conectarnos posteriormente.

En los equipos CISCO podemos ver quién está conectado a un switch en concreto (y cómo) con el comando who. Dicha instrucción nos devuelve un listado de las conexiones establecidas en el equipo indicando el número de consola usado (vty, con), el login con el que han establecido la conexión, el tiempo que llevan inactivos y la dirección IP origen de la conexión. Además el comando nos indicará con un * cuál es nuestra conexión.

En caso de problemas o si queremos ser los únicos conectados a nuestro equipo cuando realicemos un cambio de configuración existe un comando que nos permitirá cerrar las otras sesiones. Para ello simplemente introduciremos el comando clear line (vty/con) #. Basta con confirmar la acción (yes) para que se cierre la sesión remota seleccionada. En las últimas versiones de IOS ya no es posible cerrar nuestra propia conexión pero en todo caso hay que fijarse bien no sea cosa que nos cerremos nosotros mismos.

En siguiente ejemplo veremos un equipo donde hay dos usuarios conectados simultáneamente y deseamos cerrar la sesión de "admin-5". Para probar intentamos cerrar nuestra propia sesión y vemos como el propio equipo lo evita.

1. Comprobamos quien está conectado:

Switch_01#who
    Line       User         Host(s)         Idle       Location
*  1 vty 0     admin-1  idle            00:00:00   192.168.10.11
   2 vty 1     admin-5   idle            00:07:37   10.100.3.15
  Interface    User       Mode         Idle     Peer Address
Switch_01#
2. Intentamos matar nuestra propia sesión
Switch_01#clear line vty 0
% Not allowed to clear current line [OK]
Switch_01#
3. Cerramos la sesión remota de admin-5
Switch_01#clear line vty 1
[confirm]yes [OK]
Switch_01#
4. Comprobamos que la sesión de admin-5 ya no existe
Switch_01#who
    Line       User       Host(s)          Idle        Location
*  1 vty 0     admin-1      idle        00:00:00 192.168.10.11
  Interface    User     Mode             Idle       Peer Address
Switch_01#

sábado, 19 de enero de 2013

Analizar tráfico en un router CISCO


Los routers CISCO incorporan una funcionalidad básica de análisis de tráfico. Al habilitar el sistema de ip accounting podemos ver el número de paquetes y de bytes que se envían dos direcciones IP a través de una interfaz. Sólo queda registrado tráfico IP y siempre el saliente de la interfaz. No se muestra el tráfico generado o finalizado en el propio equipo (pings desde o hacía nuestro router no aparecerán en el accounting).

Las interfaces en las que se puede hacer el análisis son tanto físicas (FastEthernet, etc.) como lógicas (VLAN, etc.). 
A la hora de analizar el tráfico es importante recordar que en estas muestras sólo se ve el tráfico saliente por lo que hay que elegir la interfez correcta para analizar el tráfico que nos interesa.

1. La activación del ip accounting se realiza dentro de la configuración de la interfaz en cuestión:
Router01(config)#interface vlan1
Router01(config-if)#ip accounting
Router01(config-if)#exit
Router01(config)#interface dialer 0
Router01(config-if)#ip accounting
Router01(config-if)#exit
2. Para ver el tráfico se solicita en el prompt normal
Router#show ip accounting
Source Destination Packets Bytes
10.101.101.12 10.200.200.3 3 180
10.101.101.15 10.107.5.29 3 180
10.101.101.15 10.200.200.5 1 52
10.101.101.150 10.100.14.35 1 41
10.101.102.154 10.203.254.1 12 2079
10.101.103.10 10.210.25.23 12 3358
10.101.101.15 10.230.15.14 6 1531
10.101.102.152 10.201.20.14 10 3967
Accounting data age is 1d03h
Router#