Re: Impatto sulle performance del "port monitor" degli switch Cisco

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Settembre 2003 ml@sikurezza.org
Soggetto: Re: Impatto sulle performance del "port monitor" degli switch Cisco
Mittente: Dario Lombardo
Data: 29 Sep 2003 17:50:18 -0000

Ciao Mi potresti dare qualche delucidazione su alcuni risultati che non mi sono completamente chiari? In piu' d'una prova parli di troughput di valori prossimi al 100% della banda (se non addirittura 100% come nella prova 3). Questo pero' mi ha lasciato perplesso perche' per quelle che sono le mie conoscenze, ethernet raggiunge punte del 60% della banda in situazioni di funzionamento reale e circa l'80% in situazioni "asettiche", tipo con un cross. Il limite di banda lo si potrebbe raggiungere con degli stack TCP/IP non convenzionali, come quelli degli apparati di testinng, tipo gli SMARTBIT. Mentre mi pare che tu abbia usato degli stack convenzionali (linux?). Puoi spiegare meglio come hai realizzato le prove e quali strumenti hai usato per la misura (iptraf?).

Fabio Pietrosanti (naif) wrote:

On Wed, Sep 24, 2003 at 11:51:11AM +0200, Fabio Pietrosanti (naif) wrote:

Intanto vedo di fare qualche test.


Di seguito i risultati di alcuni test fatti per valutare l'impatto
delle performance delle funzionalita' di port monitoring su uno switch Cisco
Catalyst 2950 24 porte .

La versione di IOS utilizzata e' la piu' recente 12.1.14.EA1a anche perche' le
funzionalita' di monitoring ci sono dalla 12.1.13.EA1 .

Per la generazione del traffico ho utilizzato un semplice ping.

Configurazione dello switch:

- Sorgente monitor Fa0/5
 monitor session 1 source interface fastEthernet 0/5 both
- Destinazione monitor Fa0/15
 monitor session 1 destination interface fastEthernet 0/15

Le prove che sono state fatte hanno considerato il troughput e il numero di
pacchetti/s che lo switch deve copiare .

Durante tutte le prove un mio collega, che e' collegato allo stesso switch,
verificava se si fosse perso qualche pacchetto.

=======================================================================================
Prova 1: troughput 16Mb

10 ping flood in parallelo con pacchetti da 1472 byte in modo da riempire il frame ethernet.

for i in `seq 1 10` ; do ( ping -s 1472 -l preload -f IP1 >/dev/null & ) ; done

Troughput: 16.5Mbs
Packet rate: 1300/s

Risultati:
cpu dello switch: 2%
perdita pacchetti: no

=====================================================================================
Prova 2: troughput, 58Mb/s

for i in `seq 1 50` ; do ( ping -s 1472 -l preload -f IP1 >/dev/null & ) ; done

Troughput: 58Mbs
Packet rate: 3500/s

Risultati:
cpu dello switch: 2%
perdita pacchetti: no

=====================================================================================
Prova 3: troughput, 100Mb piena

for i in `seq 1 100` ; do ( ping -s 1472 -l preload -f IP1 >/dev/null & ) ; done

Troughput: 93Mbs
packet rate: 7500/s

Risultati:
cpu dello switch: 2%
perdita pacchetti: no

======================================================================================
Prova 4: troughput + aumento numero pacchetti

10 ping flood in parallelo con pacchetti da 1472 byte in modo da riempire il
frame ethernet e 10 con pacchetti da 56 byte .

for i in `seq 1 10` ; do ( ping -s 1472 -l preload -f  IP1 >/dev/null & ) ; done
for i in `seq 1 10` ; do ( ping  -l preload -f  IP1 >/dev/null & ) ; done

troughput; 14mbs
packet rate; 3500/s

Risultati:
cpu dello switch: 4%
perdita pacchetti: no

=====================================================================================
Prova 5; numero di pacchetti

90 ping flood in parallelo con pacchetti da 56 byte.

for i in `seq 1 90` ; do ( ping -l preload -f IP1 >/dev/null & ) ; done

Troughput: 7Mbs
packet rate: 9000/s

Risultati:
cpu dello switch: 3/4%
perdita pacchetti: no

=====================================================================================
Prova 6: numero di pacchetti da 2 porte

Un'ulteriore prova e' stata fatta avendo 2 porte monitorate di due host che
inviavano a host diversi un notevole numero di pacchetti.

- Sorgente monitor Fa0/5, Fa0/10
 monitor session 1 source interface fa0/5 , fa0/10 both

- Destinazione monitor Fa0/15
 monitor session 1 destination interface fastEthernet 0/15

Due pc che floodano altri 2 pc con questi comandi:

for i in `seq 1 90` ; do ( ping  -l preload -f  IP1 >/dev/null & ) ; done
e
for i in `seq 1 90` ; do ( ping  -l preload -f  IP2 >/dev/null & ) ; done

Troughput: 25Mb/s
packet rate: 31600 pacchetti/s

Risultati:
cpu dello switch: 3%
perdita pacchetti: no
=====================================================================================
Prova 7: troughput di pacchetti da 2 porte con aggregato >100Mb

Un'ulteriore prova e' stata fatta avendo 2 porte monitorate di due host che
inviavano a host diversi un notevole numero di pacchetti.

for i in `seq 1 100` ; do ( ping -s 1472 -l preload -f IP1 >/dev/null & ) ; done

- Sorgente monitor Fa0/5, Fa0/10
 monitor session 1 source interface fa0/5 , fa0/10 both

- Destinazione monitor Fa0/15
 monitor session 1 destination interface fastEthernet 0/15

Due pc che floodavano altri 2 pc con questi comandi:

for i in `seq 1 100` ; do ( ping -s 1472 -l preload -f  IP1 >/dev/null & ) ; done
e
for i in `seq 1 100` ; do ( ping -s 1472 -l preload -f  IP2 >/dev/null & ) ; done

Troughput: 99Mb/s
packet rate: 8100 pacchetti/s

Risultati:
cpu dello switch: 3%
perdita pacchetti: su altre sessioni no

Nonostante i piu' i quasi 200Mb che gli arrivavano da copiare su
una porta a 100Mb ha droppato quelli da copiare e non ha detto A .
-----------------------------------------------------------

In tutti i test abbiamo anche verificato che non ci fossero errori
sulle interfaccie .

L'analisi della quantita' di traffico l'ho fatta con iptraf (
http://cebu.mozcom.com/riker/iptraf/ ) monitorando sia sulla macchina che
genera pacchetti ( il cui traffico e' copiato ) sia sulla macchina che riceve
i pacchetti copiati .

Saluti

--

Fabio Pietrosanti ( naif ) E-mail: fabio@xxxxxxxxxxxxxx - naif@xxxxxxxxxxxxx PGP Key available on my homepage: http://fabio.pietrosanti.it/ -- Security is a state of being, not a state of budget. rfp --

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List


--
Dario Lombardo
Centro Sicurezza Be-Secure
Telecom Italia LAB


====================================================================
CONFIDENTIALITY NOTICE
This message and its attachments are addressed solely to the persons
above and may contain confidential information. If you have received
the message in error, be informed that any use of the content hereof
is prohibited. Please return it immediately to the sender and delete
the message. Should you have any questions, please contact us by
replying to MailAdmin@xxxxxxxxxx Thank you
====================================================================

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Impatto sulle performance del "port monitor" degli switch Cisco, Fabio Pietrosanti (naif)
- Re: Impatto sulle performance del "port monitor" degli switch Cisco, Fabio Pietrosanti (naif)

Data:
- precedente: Rootkit ?, Igor Falcomata'
- successivo: Re: Log-Firewall, Amodiovalerio Verde
- indice

Argomento:
- precedente: Re: Impatto sulle performance del "port monitor" degli switch Cisco, Fabio Pietrosanti (naif)
- successivo: Re: Impatto sulle performance del 'port monitor' degli switch Cisco, Daniele Muscetta
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005