Comandos utiles para gestion de VPN IPSec Firewall Huawei Eudemon1000E-N

Comandos utiles para gestion de VPN IPSec Firewall Huawei Eudemon1000E-N

Mostrar estado de los tuneles VPN IPSec configurados

display ike sa

Listar los peers de VPN IPSec configurados

display ike peer brief

Mostrar informacion especifica de un peer IKE, ejemplo peer14

display ike peer name peer14

Mostrar las policas de phase2 configuradas para cada peer IKE

En este comando tambien tenemos la ACL asociada a cada politica

display ipsec policy brief

Mostrar informacion de una politica de phase2 en especifico

display ipsec policy name pol4

Mostrar los contadores de la ACL de una VPN IPsec

Para mostrar los contadores primero debemos identificar a que vsys esta asociada la VPN

Para eso debemos identificar el nombre del peer que estamos buscando con el comando:

display ike peer brief

Una vez identificado tenemos que mostrar la configuracion de dicho peer y buscar el campo VPN instance bound to the SA

display ike peer name peer1

Luego debemos de identificar la ACL configurada para dicho peer (el nombre de la ACL normalmente es un numero mayor a 3000)

display ipsec policy brief

Luego accedemos a vsys en cuestion

system-view
switch vsys vsys_name

Finalmente dentro de la vsys ejecutamos

display acl 3001

Mostrar las estadisticas de un tunel VPN

El siguiente comando nos muestra informacion detallada del tunnel asociado a un remote peer y ademas tambien muestra las estadisticas de trafico

dis ipsec sa remote 2.2.2.2
ipsec sa information:

===============================
Interface: Tunnel1
===============================

  -----------------------------
  IPSec policy name: "pol1"
  Sequence number  : 1
  Acl group        : 3001
  Acl rule         : 1
  Mode             : ISAKMP
  -----------------------------
    Connection ID     : 100730486
    Encapsulation mode: Tunnel
    Tunnel local      : 1.1.1.1
    Tunnel remote     : 2.2.2.2
    Flow source       : 192.168.1.0/255.255.255.240 0/0
    Flow destination  : 192.168.2.0/255.255.255.0 0/0
    Flow vpn          : vsys_vsysname

    [Outbound ESP SAs]
      SPI: 2881076090 (0xabb9bb7a)
      Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA2-256-128
      SA remaining key duration (kilobytes/sec): 4608000/3518
      Max sent sequence-number: 1
      UDP encapsulation used for NAT traversal: N
      SA encrypted packets (number/bytes): 0/0

    [Inbound ESP SAs]
      SPI: 259043964 (0xf70b27c)
      Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA2-256-128
      SA remaining key duration (kilobytes/sec): 4608000/3518
      Max received sequence-number: 1
      UDP encapsulation used for NAT traversal: N
      SA decrypted packets (number/bytes): 0/0
      Anti-replay : Enable
      Anti-replay window size: 1024

Medir rendimiento de red en Linux RHEL/CentOS/SL

qperf: Medir rendimiento de red en Linux RHEL/CentOS/SL

qperf es una herramienta que nos permites hacer numerosas pruebas de rendimiento de conectividad entre 2 nodos, estas pruebas pueden ir desde ancho de banda hasta latencia del vinculo.

Instalar la herramienta

Antes de comenzar debemos de instalar nuestra herramienta de benchmark qperf, la misma se encuentra dentro de los repositorios oficiales de CentOS/RHEL, por lo tanto podemos instalarlo via yum

yum install -y qperf

Una vez instalada la herramienta debemos tener en cuenta un par de aspectos sobre el funcionamiento de la misma.

Basicamente qperf trabaja de la siguiente manera:

  • Paso 1: En uno de los nodos (puede ser cualquier de los 2), debemos ejecutar el comando qperf solo. Al ejecutarlo de esa manera el qperf abre el puerto 19765.
    qperf
  • Paso 2: En el otro nodo debemos ejecutar el comando qperf con la sintaxis de prueba de rendimiento que seria la siguiente:
    qperf SERVERNODE [OPTIONS] TESTS

    Al ejecutarlo lo que hace es conectarse al puerto 19765 del otro nodo y realizar la prueba solicitada por el usuario.

Lo mas importante a tener en cuenta con el qperf es que establece una conexion entre los dos nodos, por lo tanto en caso de que los equipos tengan cortafuegos habilitados podrian bloquear las pruebas

Pruebas que puede realizar qperf

La herramienta qperf tiene una gran lista de pruebas que puede realizar, podemos consultar dicha lista con el siguiente comando:

qperf --help tests

En este caso nos enfocaremos en 2 pruebas:

tcp_bw: Ancho de banda utilizable para conexiones TCP
tcp_lat: Latencia al abrir una conexion TCP

Ejemplo de uso de qperf

TCP Bandwith

Primero ejecutamos qperf en el nodo 2

[root@node2 ~]# qperf

Luego ejecutamos la prueba en el otro nodo

[root@node1 ~]#   qperf node2 tcp_bw
tcp_bw:
    bw  =  53.6 MB/sec

En este ejemplo nuestro ancho de banda para conexiones TCP es de 53,6 MB/s

TCP Latency

Primero ejecutamos qperf en el nodo 2

[root@node2 ~]# qperf

Luego ejecutamos la prueba en el otro nodo

[root@node1 ~]# qperf node2 tcp_lat
tcp_lat:
    latency  =  35.7 us

En este ejemplo nuestra latencia es de 35.7 us

Es muy importante tener en cuenta que la carga de red al momento de las pruebas puede afectar a los resultados