Lentitud en internet o en la wan

Hay veces en las que tu enlace de internet o el enlace de WAN se pone lento.. esto regularmente se debe a una
de dos razones o quiza a ambas.
1.- Algun (os) usuario (s) estan descargando o enviando trafico ecesivo !acia"de algun sitio #ya sea de internet o
de algun otro site que este conectado a la WAN.
$.- Algun (os) usuario (s) estan descargando o enviando trafico ecesivo !acia"de muc!os sitios# ya sea de internet
o de algun otro site que este conectado a la WAN# esto regularmente se observa con patrones de trafico en
cantidades similares de paquetes enviados y de tama%o (este patron de comportamiento es el que tiene un virus
que provoca un &o').
(a forma de troubles!ootear este caso es a traves de ip accountings en las interfaces del router que recibe el
enlace e interpretar resultados# veamos)
1. Accesar el router que recibe el enlace de internet o *an y revisar en el router que t!roug!put tienen las
interfaces que reciben los enlaces y las comparo con el total del enlace.
e+. supongamos que el enlace de internet contratado es un ,1# internet esta lento y navegar desde la lan se vuelve
un infierno...
-evisamos primero la interface.
router.s!o int 'erial/"1"/)/ (o la interface en cuestion)
..
..
..
0 minute input rate 110//// bits"sec# 20 pac3ets"sec
0 minute output rate 112//// bits"sec# 22 pac3ets"sec
..
..
..
4omo podemos observar el t!roug!put ronda muy cerca del limite del band*idt! contratado por lo que
logicamente se volvera lento navegar o cualquier otra aplicacion que alcanzemos utilizando el enlace.
,l comando ip accounting output-pac3ets permite realizar un conteo de paquetes que salen de esa interface#
identificando el origen y destino asi como la cantidad de paquetes enviados y el tama%o de los mismos creando
una sumatoria de ellos cada vez que se repite# veamos)
router.conf t
router(config).int 'erial/"1"/)/
router(config-if)ip accounting output-pac3ets
.
.
router.s!o* ip accounting
'ource &estination 5ac3ets 6ytes
1/.17.89.11$ 11.100.108.1:: 0/ :/$:
1/.17.$7.$$ 11.170.108.10/ $/882 19$7:8
1/.17.8$.11 11.190.108.1:1 1771:1 197:7$
1/.17.$2.$$ 11.1:0.108.10/ $/882 29$:9218
1/.17.81.11 11.120.108.1:1 1771:1 $8:9:7$
&ado a que el poder de este comando es identificar paquetes que salen de esa interface donde fue aplicado
entonces se puede interpretar los datos arro+ados de la sig. manera)
(as maquinas que estan en el segmento 1/.17././ (en el e+emplo se refiere a la (AN) estan alcanzando las ips
11... # es facil darse cuenta que en el e+emplo el !ost 1/.17.$2.$$ esta transfiriendo demasiada informacion
quiza este subiendo algo a algun ftp server puesto que lleva cerca de 29mb transferidos# este usuario pudiera
estarse terminando el anc!o de banda disponible# aqui una vez de !aber identificado el"los !osts que causan esto
se procede a realizar las siguientes acciones)
1. 4rear una lista de acceso y aplicarla en la interface (AN de modo que bloquee el acceso ip a ese (os) !osts.
ip access-list etended bloc3inguser
deny ip !ost 1/.17.$2.$$ any
permit ip any any
;
int fa/"/
ip access-group bloc3inguser in
;
$. -evisar en tu lista de direcciones ip ya sea en el d!cp server o en su defecto si es estatica a quien pertenece
esa ip y !ablar con el usuario para determinar el motivo de esta transferencia# en su caso pudiera ser valida.
A!ora al pudiera ser que la lectura de la interface es diferente y observemos algo similar a esto)
router.s!o* ip accounting
'ource &estination 5ac3ets 6ytes
1/.17.89.11$ 101.100.108.1:: 7 2/
1/.17.89.11$ 171.170.108.10/ 7 2/
1/.17.89.11$ 112.190.108.1:1 7 2/
1/.17.89.11$ $1.1:0.108.10/ 7 2/
1/.17.89.11$ 1.120.109.1:1 7 2/
1/.17.89.11$ 11.100.10:.1:: 7 2/
1/.17.89.11$ 10.170.102.10/ $ 7/
1/.17.89.11$ 11.10.101.1:1 $ 7/
1/.17.89.11$ 111.10.10/.10/ $ 7/
1/.17.89.11$ 1:1.120.108.1:1 1 $/
Alli identificamos facilmente que el !ost 1/.17.89.11$ esta realizando un barrido a ips publicas tratando de lograr
coneiones ba+o un patron de trafico# ya que se envian cantidades de paquetes similares cada una del mismo
tama%o# en el e+emplo son paquetes de $/bytes cada uno. ,ste patron pareciera ser el comportamiento de un
virus cuya intencion es realizar un &o'.
'e bloquea a traves de una A4( igual que en el caso anterior pero !ay que identificar al usuario para informarle el
comportamiento de la maquina y ver si es intencional o no# si no lo fuese !ay que sacar su maquina de la red para
pasarle los antivirus e identificar lo que esta causando esto.
Nota, este e+emplo fue realizado considerando que el enlace esta saturado en el sentido de salida (output)# si
queremos considerarlo de entrada (input) tenemos que remover el ip accounting de la interface serial y ponerlo en
la interface de la (AN# recordemos que este comando unicamente lee trafico de 'A(<&A posteriormente analizar e
interpretar la informacion# el resultado al leer el accounting sera practicamente igual# solo que en el source ya no
seran las ips de la lan si no las ips publicas o de algun otro site que se encuentre cruzando la WAN# en el
destination seran los !osts locales.