Cisco Interfaces and Modules : Módulo de serviços de firewall Cisco Catalyst 6500 Series

Nota Técnica do produto da captação do tráfego FWSM

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como monitorar o tráfego enviado a e recebido de um módulo de serviços de firewall (FWSM). Na plataforma dos 7600 Series Router do Cisco catalyst 6500/Cisco, há duas sessões do Switched Port Analyzer (SPAN) que podem ser usadas para reorientar o tráfego a uma porta do destino para atividades tais como captações ou transmissões a outros dispositivos de Segurança física (tais como um sistema de detecção de intrusões). As sessões span são sabidas igualmente como sessões de monitor.

Contribuído por Scott Nishimura, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Segurança de rede
  • Familiaridade com as captações de dados (tubos aspiradores)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Switches do 6500/7600 Series do Cisco catalyst
  • Supervisor Engine 720 do 7600 Series do Cisco catalyst 6500/Cisco
  • Cisco FWSM

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter informações sobre convenções de documentos.

MEÇA o refletor

Alguns módulos de serviço, tais como o FWSM, usam uma de suas duas sessões de monitor para todos os módulos de serviço a fim comunicar-se com os ASIC no supervisor. Este trajeto de comunicação permite o tráfego multicast, assim como o outro tráfego que exige o Engine de reescrita central, a ser comutado ao egressing os módulos FWSM ou de outro serviço. Este tipo de sessão é sabido como o refletor do PERÍODO e permitido à revelia. O refletor do PERÍODO é exigido se os usos do interruptor distribuíram o EtherChannel (do cruz-módulo); um EtherChannel distribuído existe quando um Canal de porta tem as interfaces múltiplas que estão empacotadas e que cruzam placas de linha múltiplas.

Nota: O módulo de serviço adaptável da ferramenta de segurança (ASA-SM) não o exige o refletor do PERÍODO, assim que pode desabilitar o refletor se nenhum módulo de outro serviço o exige.

A segunda sessão pode ser usada para outras sessões de monitor, tais como o farejamento de pacote.

Use o comando all da sessão de monitor da mostra a fim ver o estado das sessões de monitor; procure a sessão do módulo de serviço como o tipo.

6513#sh monitor sess all  
Session 1  
---------  
Type                   : Local Session  
Source Ports           :
     Both              : Po272  
Destination Ports      : Gi13/13    

Session 2  
---------  
Type                   : Service Module Session  
Modules allowed        : 1-13  
Modules active         : 1,3  
BPDUs allowed          : Yes

O FWSM trafica a captação no backplane do interruptor

Use uma sessão de monitor a fim medir o tráfego a que é enviado e recebido do FWSM nas interfaces de placa mãe internas. Neste exemplo, a sessão 1 estabelece-se para aspirar o tráfego a e do FWSM.

Passo 1: Determine o Canal de porta usado pelo FWSM

O FWSM usa geralmente um número de canal da porta interna numerado 270 ou mais alto. Use o comando show etherchannel summary a fim determinar que porta está no uso.

6513#show etherchannel summary   
Flags:
          D - down        P - bundled in port-channel
          I - stand-alone s - suspended
          H - Hot-standby (LACP only)
          R - Layer3      S - Layer2
          U - in use      f - failed to allocate aggregator
          M - not in use, minimum links not met
          u - unsuitable for bundling
          w - waiting to be aggregated  
Number of channel-groups in use: 10  
Number of aggregators:           10  
  
Group  Port-channel  Protocol    Ports  
------+-------------+-----------+-----------------------------------------------  
1      Po1(SD)         LACP      Gi5/7(D)   Gi5/8(D)     
2      Po2(SD)          -          
3      Po3(SD)          -          
22     Po22(SU)        LACP      Gi5/23(P)  Gi5/24(P)    
105    Po105(SU)       LACP      Fa2/25(w)  Fa2/26(P)    
106    Po106(SU)       LACP      Fa2/27(P)  Fa2/28(P)    
223    Po223(SD)       LACP      Gi5/39(I)  Gi5/40(I)    
224    Po224(SD)       LACP      Gi5/41(I)  Gi5/42(I)    
270    Po270(SU)        -        Gi1/1(P)   Gi1/2(P)   Gi1/3(P)   Gi1/4(P)
Gi1/5(P) Gi1/6(P) 272 Po272(SU) - Gi3/1(P) Gi3/2(P) Gi3/3(P) Gi3/4(P) Gi3/5(P) Gi3/6(P)

Neste exemplo, o Canal de porta ID 272 é atribuído para o FWSM no entalhe 3. O FWSM conecta ao backplane do interruptor através de seis portas 1 GB, que são empacotadas em um EtherChannel interno.

Passo 2: Defina a fonte e as interfaces de destino

Use comando da interface de origem da sessão de monitor o 1 e da interface de destino da sessão de monitor 1 a fim definir a fonte e as interfaces de destino para as sessões de monitor. Neste exemplo, a interface de origem é o Canal de porta 272 (como identificado em etapa 1), e a interface de destino é o gigabit de porta 5/48 onde um dispositivo físico do sniffer será conectado.

monitor session 1 source interface po272
monitor session 1 destination interface gig5/48

Passo 3: Verifique a sessão de monitor

Use o comando show monitor session 1 a fim verificar a sessão de monitor.

6513# show monitor session 1

Session 1
---------
Type : Local Session
Source Ports :
Both : Po272
Destination Ports : Gi5/48

A saída mostra que o Canal de porta 272 (Po272) é a fonte do período e que monitorará todo o tráfego enviado a e recebido do FWSM no entalhe 3.

Nota: Se você mede os seis portas um EtherChannel 1 GB, você pode exceder a taxa de pacote de informação (ou a taxa de entrada do sniffer) da interface de destino. Se há mais tráfego no Canal de porta FWSM do que é fisicamente possível em uma interface Ethernet 1 GB (a taxa transmitir da porta do destino Gi5/48), a interface de destino não pode poder output todos os pacotes ao sniffer.

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116059