Antes que nada un cordial saludo a todos los visitantes al blog, en verdad me siento contento por tener la oportunidad de compartir vivencias, conocimientos y seguir aprendiendo, en el mundo de las redes de computadoras. Desde ya les digo que no soy experto en el área, trabajo en el área de redes aprox. 6 años, específicamente en un ISP, en la cual en su mayoría tenemos en producción Routers & Switches CISCO.
Paso a comentarles lo que me paso hace 4 años atrás con un router CISCO 2600, este router tenia configurado una ACL extendida que interceptaba el trafico http, y lo redirigía a un Server Cache CA, esto es un proxy para optimizar el acceso a la Internet (ambos estaban conectado al Switch), la ACL declarada era como sigue:
access-list 110 deny tcp host 200.108.58.2 any eq www
access-list 110 permit tcp any any eq www
route-map siphon-http permit 10
match ip address 110
set ip next-hop 200.108.58.2
Todo andaba de maravilla :), hasta que de un buen tiempo, empezamos a tener problemas en el acceso al servicio de Internet, el comportamiento era el siguiente:
No había acceso a ninguna pagina web ni local tampoco a sitios remotos.
Varios usuarios podían conectar normalmente a servicios como POP3, ICQ, excepto, al servicio web (HTTP), es en el que se ha notado mas los problemas de conexión, simplemente las paginas no cargaban en el navegador. :(
Bueno teniamos a los usuarios llamando con reclamos a cada rato al fijo, al móvil. En ese entonces, medio mundo empezó a crear y manejar cuentas email basadas en web como ser hotmail, yahoo, latinmail. Entonces debíamos encontrar una solución rápida.
Revise localmente si los servicios http locales estaban up, y no había problemas por ese lado.
También revise el switch, interfaces tabla mac-address.
Pruebas de conexión con el comando ping y trace hacia afuera (Internet) y todo ok..
Luego pase a revisar el uso de memoria y cpu, en los equipos de red.
Una vez que accedí al router 2600 via hyperteminal, he podido notar con el comando show proc, que el uso de CPU del router estaba con carga del 99% :O mi sorpresa fue grande, pero por lo menos ya tenía una probable causa del problema presentado. Reinicié el router, y el servicio se fue normalizando por unos 10 minutos aprox. hasta que se volvió a presentar el mismo problema, durante ese tiempo fui monitoreando con show proc, y note que el uso del cpu iba aumentado rápidamente, hasta llegar a 99% y otra vez el problema de acceso.
Inicialmente se me vino a la mente la posibilidad de que el Router o el proxy fueron comprometidos. Pasé a revisar las versiones de software y listas de control de acceso en el proxy, y en ese momento no habían bugs o issues de seguridad.
Lo último que revise fue la ACL configurada en el router, quité esta ACL que redirigía el tráfico al Proxy. Y el servicio se fue normalizando.
Tras revisar posteriores días llegue a la conclusión de que debido a la cantidad de usuarios nuevos que añadimos y el aumento de tráfico en nuestra salida a Internet, ha hecho insuficiente los recursos de cpu del router 2600 para poder redirigir el tráfico correctamente al proxy server.
Entonces tener mucho cuidado en aplicar ACLs, puesto que dependiendo a la acción a realizar, pueden llegar a consumir buena cantidad de recursos de memoria y cpu, y no olvidar monitorearlas regularmente.
Saludos
Jimmy
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario