huawei ağ ekipmanlarında cpu-depend ile paket analizi

güvenlik ve hizmet kalitesi açısından ağ ekipmanlarında sistem kaynaklarını ve trafikleri incelemek her zaman önemli olmuştur.

huawei ağ ekipmanlarında bir arayüzdeki, protokollerdeki durumu paket bazlı incelemek istersek cpu-depend istatistik komut işimize yarayacaktır.

komut dizilimi aşağıdaki şekildedir. bu durum ağ ekipmanı ve üzerindeki işletim sistemi versiyonuna göre değişiklik gösterebilir.

display cpu-defend { all | application-apperceive | tcpip-defend | total-packet | urpf } statistics [ slot slot-id ]

display cpu-defend ma-defend statistics [ slot slot-id ]

display cpu-defend car { blacklist | whitelist | whitelist-v6 | index index | user-defined-flow flow-id | fragment | tcpsyn } statistics [ slot slot-id ]

display cpu-defend car protocol { 802.1ag | arp | bfd | bgp | bpdu | arp-miss | ipv4-fib-miss | ipv4-multicast-fib-miss | ipv4-ttl-expire | ipv6-fib-miss | ipv6-nd-miss | ipv6-ttl-expire | lldp | mpls-arp-miss | mpls-ttl-expire | bgpv6 | ftpv6-client | ftpv6-server | icmpv6 | ospfv3 | pimv6 | sshv6-server | telnetv6-client | telnetv6-server | dhcp | dns-client | ftp-client | ftp-server | hwtacacs | icmp | igmp | isis | lacp | ldp | lspping | msdp | ntp | ospf | pim | radius | rip | rsvp | snmp | ssh-client | ssh-server | telnet-client | telnet-server | tftp | vrrp | syslog | tftpv6-client | dnsv6 | netstream | snmpv6 | eapol | rs | ra | ns | na | mld | dhcpv6 } statistics [ slot slot-id ]

cpu-depend ile genel olarak arayüz, donanım ve protokol bazlı özelleştirebilir olarak paket analizi yapılmasını sağlar.

çıktılarda temel olarak anormal seviyedeki paket durumu irdelenmelidir. örnek olarak aktif olmayan bir servis için doğru şekilde yapılandırma yoksa bu protokol/servis için oluşturulan paketler drop edilecektir. bu durum ise protokol veya servis için bir saldırı göstergesi olabilir. paketlerin drop edilmesi işlerin kısmen yolunda olduğunu gösterebilir ancak bu drop işlemi içinde sistem kaynağı tüketilmektedir. doğru şekilde yapılandırılma yoksa bu şekilde bir saldırı ile aşırı sistem tüketimi vb farklı sorunlar ortaya çıkacaktır. bu hizmet kalitesini etkileyebilecek ve farklı güvenlik problemlerine neden olabilecektir.

cpu-depend in en temel çıktısı aşagıdaki gibi olacaktır. 

[fc-route]display cpu-defend all statistics 
Slot/Intf Attack-Type               Total-Packets Passed-Packets Dropped-Packets
--------------------------------------------------------------------------------
1         Application-Apperceive         13166418       13166418              0
--------------------------------------------------------------------------------
          FTPSERVER                             0              0              0
          SSHSERVER                             0              0              0
          SNMP                                  1              1              0
          TELNETSERVER                          0              0              0
          TFTPCLIENT                            0              0              0
          BGP                                   0              0              0
          LDP                                   0              0              0
          RSVP                                  0              0              0
          OSPFV2                                0              0              0
          RIP                                 662            662              0
          ISIS                            7880595        7880595              0
          ICMP                             109827         109827              0
          MSDP                                102            102              0
          PIM                                   0              0              0
          DHCP                            4027692        4027692              0
          LACP                                  0              0              0
          RADIUS                              113            113              0
          HWTACACS                             10             10              0
          LSPPING                               2              2              0
          IGMP                            1145546        1145546              0
          RRPP                                  0              0              0
          VRRP                                  0              0              0
          BFD                                   0              0              0
          MPLSOAM                               0              0              0
          802_1ag                               0              0              0
          DNSCLIENT                          1783           1783              0
          WEB_AUTH_SERVER                      85             85              0
          UNICAST_VRRP                          0              0              0
          IPFPM                                 0              0              0
--------------------------------------------------------------------------------
1         MA-Defend                             0              0              0
--------------------------------------------------------------------------------
          FTP                                   0              0              0
          SSH                                   0              0              0
          SNMP                                  0              0              0
          TELNET                                0              0              0
          TFTP                                  0              0              0
          BGP                                   0              0              0
          LDP                                   0              0              0
          RSVP                                  0              0              0
          OSPF                                  0              0              0
          RIP                                   0              0              0
--------------------------------------------------------------------------------
1         URPF                                  0              0              0
--------------------------------------------------------------------------------
1         Tcpip-defend                       3521              2           3519
--------------------------------------------------------------------------------
          Abnormal-packet                       0              0              0
          Fragment-packet                       2              2              0
          Tcpsyn-packet                         0              0              0
          Udp-packet                         3519              0           3519
--------------------------------------------------------------------------------
2         Application-Apperceive          4881512        4881512              0
--------------------------------------------------------------------------------
          FTPSERVER                             0              0              0
          SSHSERVER                             0              0              0
          SNMP                                  0              0              0
          TELNETSERVER                          0              0              0
          TFTPCLIENT                            0              0              0
          BGP                                   0              0              0
          LDP                                   0              0              0
          RSVP                                  0              0              0
          OSPFV2                                0              0              0
          RIP                                   0              0              0
          ISIS                            2453572        2453572              0
          ICMP                                 29             29              0
          MSDP                                  0              0              0
          PIM                                   0              0              0
          DHCP                               3174           3174              0
          LACP                             578060         578060              0
          RADIUS                                0              0              0
          HWTACACS                              1              1              0
          LSPPING                               0              0              0
          IGMP                            1846676        1846676              0
          RRPP                                  0              0              0
          VRRP                                  0              0              0
          BFD                                   0              0              0
          MPLSOAM                               0              0              0
          802_1ag                               0              0              0
          DNSCLIENT                             0              0              0
          WEB_AUTH_SERVER                       0              0              0
          UNICAST_VRRP                          0              0              0
          IPFPM                                 0              0              0
--------------------------------------------------------------------------------
2         MA-Defend                             0              0              0
--------------------------------------------------------------------------------
          FTP                                   0              0              0
          SSH                                   0              0              0
          SNMP                                  0              0              0
          TELNET                                0              0              0
          TFTP                                  0              0              0
          BGP                                   0              0              0
          LDP                                   0              0              0
          RSVP                                  0              0              0
          OSPF                                  0              0              0
          RIP                                   0              0              0
--------------------------------------------------------------------------------
2         URPF                                  0              0              0
--------------------------------------------------------------------------------
2         Tcpip-defend                          7              0              7
--------------------------------------------------------------------------------
          Abnormal-packet                       0              0              0
          Fragment-packet                       0              0              0
          Tcpsyn-packet                         0              0              0
          Udp-packet                            7              0              7
--------------------------------------------------------------------------------

huawei routerlarda proxy arp örneği

küçük bir ağınız varsa ve topolojiniz aşağıdakine benzer şekilde bus veya star şeklindeyse merkezi noktalardaki routerlarda “proxy arp” aktif ederek ilave protokollerle uğraşmadan ağınızda aynı subnet içinde yer alan uç cihazlarınızı birbiri ile haberleştirebilir siniz.

burada dikkat edilecek nokta arp tablolarını şişirmemek ve subnet planlamasını sağlıklı yapabilmekte.

routerlar üzerine interfaceler için gerekli konfigürasyonu yapalım. RouterB de A ve C routerlarına bakan interfacelerde arp-proxy aktif ediyoruz.

[RouterA]
interface GigabitEthernet0/0/0                                                  
 ip address 10.1.1.2 255.255.0.0 
 

[RouterB]
interface GigabitEthernet0/0/0                                                  
 ip address 10.1.1.1 255.255.255.0
 arp-proxy enable                                                                                                   
                                                                             
interface GigabitEthernet0/0/1                                                  
 ip address 10.1.2.2 255.255.255.0  
 arp-proxy enable 


[RouterC]
interface GigabitEthernet0/0/1                                                  
 ip address 10.1.2.1 255.255.0.0

şsimdi kontrolleri yapalım.

[RouterB]display arp
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE 
                                          VLAN/CEVLAN PVC                      
------------------------------------------------------------------------------
10.1.1.1        5489-98fa-4abd            I -         GE0/0/0
10.1.2.2        5489-98fa-4abe            I -         GE0/0/1
------------------------------------------------------------------------------
Total:2         Dynamic:0       Static:0     Interface:2

sadece kendi interfacelerini görüyoruz. uçtan uca ping testi yapalım

[RouterC]ping 10.1.1.2
  PING 10.1.1.2: 56  data bytes, press CTRL_C to break
    Reply from 10.1.1.2: bytes=56 Sequence=1 ttl=254 time=170 ms
    Reply from 10.1.1.2: bytes=56 Sequence=2 ttl=254 time=40 ms
    Reply from 10.1.1.2: bytes=56 Sequence=3 ttl=254 time=30 ms
    Reply from 10.1.1.2: bytes=56 Sequence=4 ttl=254 time=10 ms
    Reply from 10.1.1.2: bytes=56 Sequence=5 ttl=254 time=80 ms

  --- 10.1.1.2 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 10/66/170 ms

C routerindan A routerinin interfacesine erişebiliyoruz. amacımıza ulaşmış olduk. C üzerinde arp tablosuna bakalım

[RouterC]display arp
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
VLAN/CEVLAN PVC
------------------------------------------------------------------------------
10.1.2.1 5489-9813-644d I - GE0/0/1
10.1.1.2 5489-98fa-4abe 20 D-0 GE0/0/1
10.1.2.2 5489-98fa-4abe 20 D-0 GE0/0/1
------------------------------------------------------------------------------
Total:3 Dynamic:2 Static:0 Interface:1

B routerindaki duruma eş zamanlı olarak bakalım. tüm interfaceler B routeri üzerinde yer almakta.

[RouterB]display arp
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE 
                                          VLAN/CEVLAN PVC                      
------------------------------------------------------------------------------
10.1.1.1        5489-98fa-4abd            I -         GE0/0/0
10.1.1.2        5489-98e7-7a78  20        D-0         GE0/0/0
10.1.2.2        5489-98fa-4abe            I -         GE0/0/1
10.1.2.1        5489-9813-644d  20        D-0         GE0/0/1
------------------------------------------------------------------------------
Total:4         Dynamic:2       Static:0     Interface:2

huawei network ekipmanlarında vsi trafiğini izlemek

huawei network ekipmanlarıda cihaz desteğine göre bir servisin veya arayüz altında in trafiğini gözlemleyebilmek için istenilen servis veya arayüz altında bunu aktif etmeniz gerekmektedir. aynı durum vsi (Virtual Switching Instance) içinde geçerli. vsi servisi altında traffic-statistics enable ile aktif etmemiz gerekmektedir.

[huawei_ne40-vsi-vsi_ornegi]d th
#
vsi vsi_ornegi static
 pwsignal ldp
  vsi-id 101
  peer 10.10.100.1 upe
  peer 10.10.100.5 upe
  traffic-statistics enable
 mtu 1504
 encapsulation ethernet

vsi servisinin durumu kontrol edelim.

[huawei_ne40]display  vsi name vsi_ornegi  
Vsi                             Mem    PW    Mac       Encap     Mtu   Vsi     
Name                            Disc   Type  Learn     Type      Value State   
--------------------------------------------------------------------------
vsi_ornegi       static ldp   unqualify ethernet  1504  up

servis up görülmektedir. şimdi vsi üzerinde trafiği kontrol edelim

[huawei_ne40]display traffic-statistics vsi vsi_ornegi
vsi-name: vsi_ornegi
Peer-address: 10.10.100.1
Negotiation-vc-id: 101
Statistics last cleared: never
Last 300 seconds input rate : 0 bytes/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 packets/sec
Input: 0 bytes, 0 packets
Output: 4893 bytes, 55 packets
vsi-name: vsi_ornegi
Peer-address: 10.10.100.5
Negotiation-vc-id: 101
Statistics last cleared: never
Last 300 seconds input rate : 0 bytes/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 packets/sec
Input: 1238799734 bytes, 854304 packets
Output: 13312287 bytes, 169831 packets

çıktıda vsi üzerindeki trafik görülmektedir. hangi uzak uç noktaya ne kadarlık bir trafik mevcut bunu görmek istiyorsak peer parametresi ise uzak uç adresi yazılmalıdır.

[huawei_ne40]display traffic-statistics vsi vsi_ornegi peer 10.10.100.1
vsi-name: vsi_ornegi
Peer-address: 10.10.100.1
Statistics last cleared: never
Last 300 seconds input rate : 0 bytes/sec, 0 packets/sec
Last 300 seconds output rate: 26 bytes/sec, 0 packets/sec
Input: 0 bytes, 0 packets
Output: 20740 bytes, 230 packets

bu örneğimizde esas trafik 10.10.100.5 a doğru olduğu görülmektedir.

[huawei_ne40]display traffic-statistics vsi vsi_ornegi peer 10.10.100.5
vsi-name: vsi_ornegi
Peer-address: 10.10.100.5
Statistics last cleared: never
Last 300 seconds input rate : 4512758 bytes/sec, 3125 packets/sec
Last 300 seconds output rate: 56240 bytes/sec, 658 packets/sec
Input: 3240729914 bytes, 2239660 packets
Output: 37656954 bytes, 458398 packets

huawei network ekipmanlarında flap tespiti

bir çok network ekipmanında gerekli önlemler alınmazsa devrelerin flap etmesi, interfacelerin looplanması gibi durumlar networkte istenmeyen sonuçlara neden olabilmektedir. huawei cihazlarda eğer destekliyor ise flap eden interface ler konusunda bilgi alınabilir.. aşağıda farklı cihazlardaki sorgulama ve çıktılar görülmektedir.

 
display mac-address flapping record
 S  : start time
 E  : end time
(Q) : quit vlan
(D) : error down
------------------------------------------------------------------------------
Move-Time             VLAN  MAC-Address      Original-Port Move-Ports   MoveNum
-------------------------------------------------------------------------------
S:2011-08-31 17:22:36 300   0000-0000-0007   Eth-Trunk1    Eth-Trunk2   81
E:2011-08-31 17:22:44

-------------------------------------------------------------------------------
Total items on slot 2: 1


 display mac-flapping information

----------------------chassis 1 slot 2 mac-flapping information-----------------
MAC Address    VLAN Current Port  Source Port   Last Time           Time(s)
0000-0001-002c 1    GE1/2/0/25    GE1/2/0/20    2012-07-20 13:40:52 20
0000-0001-002d 1    GE1/2/0/25    GE1/2/0/20    2012-07-20 13:40:52 17

  ---  2 mac-flapping record(s) found  ---


display mac-address flapping record 
Info: The mac-address flapping record does not exist.

huawei yönlendiricilerde slotlarda enerji kontrolü

huawei yönlendiriciler de kartlar sistem çalışırken çıkarıp – takılmayı teoride desteklese de olası riskleri minimize etmek adına kartları slotlara takıp çıkarmadan önce slotlardaki enerji açıp kapamak faydalı olacaktır. bunun için power komutunu kullanılabilir.

power on slot ?
    No slot is available


power off slot ?
  <1-2,5>  The available slot

alcatel – nokia omni switchlerde mac adres sınırı

tüm donanımlarda olduğu gibi alcatel – nokia omni switchlerin öğrenebileceği mac adresinde bir sınır var. mac move taşıma yapılan bir topoloji de çalıştırıyorsanız buna dikkat edilmesi gerekmektedir. 6850 de bu sınır 32K dır.

Troubleshooting dökümanların da konuyla ilgili olarak aşağıdaki ifadeler yer almaktadır.

“If the problems are associated with the source learning on a specific NI then the limitations of the Number of MAC addresses learned should also be considered. Current limitations are:

Number of learned MAC addresses per network interface (NI) module : 32K
Number of learned MAC addresses per switch : 64K

The OmniSwitch has a distributed architecture. Source Learning is specific to a NI.
Each NI has a layer 2 pseudo-cam which is which can hold 64K entries.
32K entries are reserved for L2 Source Addresses which are local to that NI in L2SA table and the rest of 32K entries are reserved for L2 Destination Addresses which can be from local or remote NI in L2DA table.”

switch üzerinde öğrenilen mac adresi sayısını öğrenmek istiyorsanız

show mac-address-table count

komutunu kullanabilirsiniz.

Back To Top