Comando tipo "netstat -bn" di Windows

[Rizio]

Esiste un comando su un router che mi mostri tutte le connessioni attive su una determinata interfaccia? Tipo il classico netstat di windows e linux per intenderci.

Devo capire se il traffico ancora presente su un router è solo di controllo di altri apparati (cdp, multicast, etc) o è traffico di client. Non vorrei arrivare a spegnerlo per rendermene conto.

Grazie in anticipo.
Rizio

[paolomat75]

Esiste un comando su un router che mi mostri tutte le connessioni attive su una determinata interfaccia? Tipo il classico netstat di windows e linux per intenderci.

Devo capire se il traffico ancora presente su un router è solo di controllo di altri apparati (cdp, multicast, etc) o è traffico di client. Non vorrei arrivare a spegnerlo per rendermene conto.

Grazie in anticipo.
Rizio

Netflow su quella interfaccia?

Paolo

[Rizio]

Si, avevo pensato anch'io ma parliamo di una realtà estera (lontana e con linea "sfigata") e non vorrei mettere in piedi altri "flussi" per tutte le considerazioni che ne conseguono.
Cmq grazie mille, implicitamente mi hai risposto, se non lo sai tu vuol dire che è difficile esista

Rizio

[paolomat75]

Beh ti ringrazio della fiducia, ma non sono un guru.
Un'altra cosa che mi viene in mente è taggare il traffico con una route map. Poi vedi se tutto il traffico che passa è taggato o no e capisci se passa solo quello che ti aspetti .

Altro devo pensarci.

Paolo

[paolomat75]

Se la macchina lo permette puoi anche usare NBAR.

Paolo

[Rizio]

Hummm, si, in effetti così avrei le statistiche sul router del traffico...potrebbe essere una via di mezzo, grazie mille, la provo.
Diciamo che a me sarebbe piaciuto trovare un comando tipo lo "sh conn all" che mi desse però davvero tutte le connessioni attive da e verso il router... ho cercato abbastanza ieri ma senza risultato comunque magari provo a vedere con nbar se mi restituisce qualcosa di efficace, grazie ancora.

Rizio

[paolomat75]

Hummm, si, in effetti così avrei le statistiche sul router del traffico...potrebbe essere una via di mezzo, grazie mille, la provo.
Diciamo che a me sarebbe piaciuto trovare un comando tipo lo "sh conn all" che mi desse però davvero tutte le connessioni attive da e verso il router... ho cercato abbastanza ieri ma senza risultato comunque magari provo a vedere con nbar se mi restituisce qualcosa di efficace, grazie ancora.

Rizio

Esiste ma ora non me lo ricordo
Stasera ci guardo e te lo dico

Paolo

[Rizio]

Esiste ma ora non me lo ricordo

Davvero? Ricordi vagamente qualche riferimento? perchè ho fatto un pò di ricerche su google ma non ho trovato nulla, sicuramente allora ho sicuramente sbagliato la ricerca.

Stasera ci guardo e te lo dico
Paolo

Se ti capita accetto volentieri perchè sono davvero curioso. Intanto comunque continuo a cercare un pò.

Grazie
Rizio

[guzza1977]

Puoi utilizzare il NETFLOW, senza prevedere l'export.

In pratica inserisci il comando ip route-cache flow sotto l'interfaccia che vuoi monitorare, e poi esegui da CLI il comando show ip cache flow.

Queste le info restituite:

SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Fa0/1 192.168.254.253 Se0/3/0:1.35 2.254.0.66 01 0000 0800 1

IP source e destination
TCP port source e destination
Pacchetti transitati.

In questo modo i dati non vengono esportati e non impattano le performance WAN.

Spero ti sia utile.

Ciao.

[Rizio]

Si, questa è una buona idea!

Grazie mille
Rizio


P.S. Rimango comunque dell'idea che un comando facile e veloce per vedere le connessioni attive sul router ci deve però

[rain3]

Prova a vedere il comando ip device tracking .

[Rizio]

Ciao Rain,
intanto grazie del suggerimento, da quanto ho letto sembra proprio quello che cercavo però non mi dà soddisfazione
Nel senso che lo abilito sul router e quello che ottengo è questo:

Codice: Seleziona tutto

VPN-RECEC-01#sh ip device tracking all 
IP Device Tracking = Enabled
--------------------------------------------------------------
  IP Address     MAC Address       Interface          STATE   
--------------------------------------------------------------

quando in pratica, se viene spento quel router, la gente di quella rete non và più in internet.
La cosa sembra è confermata anche dal protocol-discovery:

Codice: Seleziona tutto

VPN-RECEC-01#sh ip nbar protocol-discovery interface vlan 2

 Vlan2 

 Last clearing of "show ip nbar protocol-discovery" counters 16:22:17


                            Input                    Output                  
                            -----                    ------                  
   Protocol                 Packet Count             Packet Count            
                            Byte Count               Byte Count              
                            5min Bit Rate (bps)      5min Bit Rate (bps)     
                            5min Max Bit Rate (bps)  5min Max Bit Rate (bps) 
   ------------------------ ------------------------ ------------------------
   http                     2059605                  0                       
                            2731937369               0                       
                            1583000                  0                       
                            8505000                  0                       
   h323                     27955                    10                      
                            31353223                 594                     
                            0                        0                       
                            366000                   0                       
   secure-http              133652                   5                       
                            103033191                294                     
                            2000                     0                       
                            264000                   0                       
   smtp                     50489                    29                      
                            52098695                 1990                    
                            5000                     0                       
                            230000                   0                       
   rtsp                     11322                    0                       
                            15131299                 0                       
                            136000                   0                       
                            136000                   0                       
   dns                      35274                    6                       
                            11409320                 342                     
                            6000                     0                       
                            20000                    0                       
   pop3                     2710                     66                      
                            770280                   4044                    
                            0                        0                       
                            13000                    1000                    

Stò sbagliando io qualcosa?
Io stavo proprio cercando di capire quale host e attraverso che protocollo transitava dal router e il comando che mi hai suggerito tu sembrava perfetto per quello.

Rizio

[rain3]

In verità ti dico che non l'ho mai utilizzato l'ho cercato apposta per te

[Rizio]

In verità ti dico che non l'ho mai utilizzato l'ho cercato apposta per te

Sei troppo gentile grazie mille comunque.
Provo a cercare di capirlo nei prossimi giorni (se riesco perchè qui in azienda mi stanno rivoluzionando tutto e sono sempre più sotto strozzo con i tempi ), se ci arrivo sopra aggiorno il post.

Intanto grazie
Rizio

[paolomat75]

...se ci arrivo sopra aggiorno il post.

Bravo. Io ho guardato ma era con show ip cache flow. L'altro comando non l'ho mai usato.

Ora sono curioso

Buona giornata a tutti
Paolo