LENTITUD EN INTERNET O EN LA WAN.

external image internet+lento.jpg

Hay veces en las que tu enlace de internet o el enlace de WAN se pone lento.. esto regularmente se debe a una de dos razones o quiza a ambas.

1.- Algun (os) usuario (s) estan descargando o enviando trafico excesivo hacia/de algun sitio ,ya sea de internet o de algun otro site que este conectado a la WAN.

2.- Algun (os) usuario (s) estan descargando o enviando trafico excesivo hacia/de muchos sitios, ya sea de internet o de algun otro site que este conectado a la WAN, esto regularmente se observa con patrones de trafico en cantidades similares de paquetes enviados y de tamaño (este patron de comportamiento es el que tiene un virus que provoca un DoS).

La forma de troubleshootear este caso es a traves de ip accountings en las interfaces del router que recibe el enlace e interpretar resultados, veamos:

1. Accesar el router que recibe el enlace de internet o wan y revisar en el router que throughput tienen las interfaces que reciben los enlaces y las comparo con el total del enlace.

ej. supongamos que el enlace de internet contratado es un E1, internet esta lento y navegar desde la lan se vuelve un infierno...

Revisamos primero la interface.

router#sho int Serial0/1/0:0 (o la interface en cuestion)
..
..
..
5 minute input rate 1950000 bits/sec, 85 packets/sec
5 minute output rate 1980000 bits/sec, 88 packets/sec
..
..
..

Como podemos observar el throughput ronda muy cerca del limite del bandwidth contratado por lo que logicamente se volvera lento navegar o cualquier otra aplicacion que alcanzemos utilizando el enlace.

El comando ip accounting output-packets permite realizar un conteo de paquetes que salen de esa interface, identificando el origen y destino asi como la cantidad de paquetes enviados y el tamaño de los mismos creando una sumatoria de ellos cada vez que se repite, veamos:

router#conf t
router(config)#int Serial0/1/0:0
router(config-if)ip accounting output-packets
.
.
router#show ip accounting
Source Destination Packets Bytes
10.14.36.192 11.155.153.177 50 7027
10.14.24.22 11.145.153.150 20338 162473
10.14.32.11 11.165.153.179 144179 164742
10.14.28.22 11.175.153.150 20338 86276893
10.14.39.11 11.185.153.179 144179 2376742


Dado a que el poder de este comando es identificar paquetes que salen de esa interface donde fue aplicado entonces se puede interpretar los datos arrojados de la sig. manera:

Las maquinas que estan en el segmento 10.14.0.0 (en el ejemplo se refiere a la LAN) estan alcanzando las ips 11.x.x.x , es facil darse cuenta que en el ejemplo el host 10.14.28.22 esta transfiriendo demasiada informacion quiza este subiendo algo a algun ftp server puesto que lleva cerca de 86mb transferidos, este usuario pudiera estarse terminando el ancho de banda disponible, aqui una vez de haber identificado el/los hosts que causan esto se procede a realizar las siguientes acciones:

1. Crear una lista de acceso y aplicarla en la interface lan de modo que bloquie el acceso ip a ese (os) hosts.

ip access-list extended blockinguser
deny ip host 10.14.28.22 any
permit ip any any
!
int fa0/0
ip access-group blockinguser in
!

2. Revisar en tu lista de direcciones ip ya sea en el dhcp server o en su defecto si es estatica a quien pertenece esa ip y hablar con el usuario para determinar el motivo de esta transferencia, en su caso pudiera ser valida.


Ahora al pudiera ser que la lectura de la interface es diferente y observemos algo similar a esto:

router#show ip accounting
Source Destination Packets Bytes
10.14.36.192 151.155.153.177 4 80
10.14.36.192 141.145.153.150 4 80
10.14.36.192 118.165.153.179 4 80
10.14.36.192 21.175.153.150 4 80
10.14.36.192 1.185.156.179 4 80
10.14.36.192 19.155.157.177 4 80
10.14.36.192 15.145.158.150 2 40
10.14.36.192 11.15.159.179 2 40
10.14.36.192 111.15.150.150 2 40
10.14.36.192 171.185.153.179 1 20

Alli identificamos facilmente que el host 10.14.36.192 esta realizando un barrido a ips publicas tratando de lograr conexiones bajo un patron de trafico, ya que se envian cantidades de paquetes similares cada una del mismo tamaño, en el ejemplo son paquetes de 20bytes cada uno. Este patron pareciera ser el comportamiento de un virus cuya intencion es realizar un DoS.

Se bloquea a traves de una ACL igual que en el caso anterior pero hay que identificar al usuario para informarle el comportamiento de la maquina y ver si es intencional o no, si no lo fuese hay que sacar su maquina de la red para pasarle los antivirus e identificar lo que esta causando esto.

Nota, este ejemplo fue realizado considerando que el enlace esta saturado en el sentido de salida (output), si queremos considerarlo de entrada (input) tenemos que remover el ip accounting de la interface serial y ponerlo en la interface de la LAN, recordemos que este comando unicamente lee trafico de SALIDA posteriormente analizar e interpretar la informacion, el resultado al leer el accounting sera practicamente igual, solo que en el source ya no seran las ips de la lan si no las ips publicas o de algun otro site que se encuentre cruzando la WAN, en el destination seran los hosts locales.

Espero que este post sea de ayuda.
Saludos .

Rebz