Switches : Switches Cisco Catalyst 6500 Series

Captura do VACL para Análise de Tráfego Granular com o Cisco Catalyst 6000/6500 executando CatOS

23 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (13 Julho 2007) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Informação Básica
      SPAN com Base em VLAN
      ACL de VLAN
      Vantagens do Uso de VACL se Comparado ao Uso do VSPAN
Configuração
      Diagrama de Rede
      Configuração com SPAN com Base em VLAN
      Configuração com VACL
Verificação
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento apresenta um exemplo de configuração para o uso do recurso de Porta de Captura de Lista de Controle de Acesso (ACL) de VLAN (VACL) para a análise de tráfego de rede de modo mais granular. Este documento também descreve a vantagem do uso da porta de captura do VACL em comparação com o Analisador de Portas Comutadas (SPAN) com base em VLAN (VSPAN).

Para configurar o recurso de Porta de Captura do VACL no Cisco Catalyst 6000/6500 executando o Cisco IOS®, consulte Captura do VACL para análise de tráfego granular com o Cisco Catalyst 6000/6500 executando o Cisco IOS.

Pré-requisitos

Requisitos

Verifique se você atende aos seguintes requisitos antes de tentar esta configuração:

Componentes Utilizados

As informações neste documento têm como base o Cisco Catalyst 6506 Series Switch executando o Catalyst OS versão 8.1(2).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Essa configuração pode ser usada também com switches Cisco Catalyst 6000 / 6500 Series que executam o Catalyst OS versão 6.3 ou posterior.

Convenções

Consulte Convenções de dicas técnicas da Cisco para obter mais informações sobre as convenções do documento.

Informação Básica

SPAN com Base em VLAN

Cópias de SPAN transitam de uma ou mais portas de origem em qualquer VLAN ou de uma ou mais VLANs para uma porta de destino para análise. O SPAN local oferece suporte a portas de origem, VLANs de origem e portas de destino no mesmo Catalyst 6500 Series Switch.

Uma porta de origem é uma porta monitorada para análise de tráfego da rede. Uma VLAN de origem é uma VLAN monitorada para análise de tráfego da rede. Uma SPAN com base em VLAN (VSPAN) é a análise do tráfego de rede em uma ou mais VLANs. É possível configurar a VSPAN como SPAN de entrada ou SPAN de saída, ou ambas. Todas as portas nas VLANs de origem se tornam portas de origem operacionais para a sessão de VSPAN. As portas de destino, se pertencerem a qualquer uma das VLANs de origem administrativas, serão excluídas da origem operacional. Se você adicionar ou remover as portas das VLANs de origem administrativas, as origens operacionais serão modificadas de acordo.

Instruções para Sessões de VSPAN:

  • As portas de truncamento são adicionadas como portas de origem para as sessões de VSPAN, mas somente as VLANs na lista de origem do Administrador serão monitoradas se essas VLANs estiverem ativas para o truncamento.

  • Para as sessões de VSPAN com SPAN de entrada e de saída configuradas, o sistema opera com base no tipo de mecanismo do supervisor:

    • WS-X6K-SUP1A-PFC, WS-X6K-SUP1A-MSFC, WS-X6K-S1A-MSFC2, WS-X6K-S2-PFC2, WS-X6K-S1A-MSFC2, WS-SUP720, WS-SUP32-GE-3B — Dois pacotes são encaminhados pela porta de destino de SPAN se os pacotes forem comutados na mesma VLAN.

    • WS-X6K-SUP1-2GE, WS-X6K-SUP1A-2GE — Somente um pacote é encaminhado pela porta de destino de SPAN.

  • Uma porta inband não é adicionada como Origem operacional para as sessões de VSPAN.

  • Quando uma VLAN é limpa, é também removida da lista de origens para as sessões de VSPAN.

  • Uma sessão de VSPAN é desativada se a lista de VLANs de origem do Administrador estiver vazia.

  • Não são permitidas VLANs inativas para a configuração da VSPAN.

  • Uma sessão de VSPAN se torna inativa se qualquer das VLANs de origem se tornar VLANs de RSPAN.

Consulte Características da VLAN de origem para obter mais informações sobre VLANs de origem.

ACL de VLAN

As VACLs podem acessar o controle de todo o tráfego. É possível configurar as VACLs no switch para aplicar todos os pacotes roteados de entrada ou saída de uma VLAN ou transpostos para uma VLAN. As VACLs são exclusivamente para filtragem de pacotes de segurança e redirecionamento de tráfego para portas específicas e físicas do switch. Diferentemente das ACLs do Cisco IOS, as VACLs não são definidas por direção (entrada ou saída).

É possível configurar as VACLs nos endereços da Camada 3 para IP e IPX. Todos os outros protocolos têm acesso controlado através de endereços MAC e EtherType mediante o uso de VACLs MAC. O tráfego de IP e o tráfego de IPX não têm o acesso controlado pelas VACLs MAC. Todos os demais tipos de tráfego (AppleTalk, DECnet, etc.) são classificados como tráfego MAC. As VACLs MAC são usadas para controlar o acesso desse tipo de tráfego.

ACEs Suportados em VACLs

A VACL contém uma lista organizada de entradas de controle de acesso (ACEs). Cada VACL pode ter ACEs de um tipo somente. Cada ACE contém um número de campos que correspondem ao conteúdo de um pacote. Cada campo pode ter uma máscara de bit associada para indicar quais bits são relevantes. Uma ação é associada a cada ACE que descreve qual ação do sistema deve ser executada com relação ao pacote quando a correspondência ocorrer. A ação depende da característica. Os switches Catalyst 6500 Series são compatíveis com três tipos de ACEs no hardware:

  • ACEs de IP

  • ACEs de IPX

  • ACEs de Ethernet

A tabela a seguir relaciona os parâmetros associados a cada tipo de ACE:

Tipo de ACE

TCP ou UDP

ICMP

Outro IP

IPX

Ethernet

Parâmetros de Camada 4

Porta de Origem

-

-

-

-

Operador da porta de origem

-

-

-

-

Porta de destino

-

-

-

-

Operador da porta de destino

Código de ICMP

-

-

-

N/A

Tipo de ICMP

N/A

-

-

Parâmetros de Camada 3

Byte ToS de IP

Byte ToS de IP

Byte Tos de IP

-

-

Endereço IP de origem

Endereço IP de origem

Endereço IP de origem

Rede IPX de origem

-

Endereço IP de destino

Endereço IP de destino

Endereço IP de destino

Rede IP de destino

-

-

-

-

Nó IP de destino

-

TCP ou UDP

ICMP

Outro protocolo

Tipo de pacote IPX

-

Parâmetros de Camada 2

-

-

-

-

EtherType

-

-

-

-

Endereço Ethernet de origem

-

-

-

-

Endereço Ethernet de destino

Vantagens do Uso de VACL em Comparação com VSPAN

Existem diversas limitações no uso de VSPAN para a análise de tráfego:

  • Todo o tráfego de Camada 2 transmitido em uma VLAN é capturado. Isso aumenta a quantidade de dados para análise.

  • O número de sessões de SPAN que podem ser configuradas nos Catalyst 6500 Series Switches é limitado. Consulte Resumo de recursos e limitações para obter mais informações.

  • Uma porta de destino recebe cópias do tráfego enviado e recebido de todas as portas de origem monitoradas. Se uma porta de destino estiver com excesso de demanda, ela poderá ficar congestionada. Esse congestionamento pode afetar o encaminhamento de tráfego ou uma ou mais portas de origem.

O recurso Porta de Captura de VACL pode ajudá-lo a solucionar algumas dessas limitações. VACLs não são projetadas com o intuito principal de monitorar tráfego. Entretanto, com uma ampla variedade de recursos para classificar o tráfego, o recurso Porta de Captura foi introduzido para simplificar a análise do tráfego da rede. As vantagens do uso do recurso Porta de Captura de VACL em comparação com VSPAN são:

  • Análise granular de tráfego

    VACLs podem fazer correspondências com base no endereço IP de origem, no endereço IP de destino, no tipo de protocolo de Camada 4, nas portas de Camada 4 de origem e de destino, entre outras informações. Esse recurso faz com que as VACLs sejam muito úteis para a identificação e filtragem granular do tráfego.

  • Número de sessões

    As VACLs são impostas no hardware. O número de ACEs que podem ser criadas depende da disponibilidade de TCAM nos switches.

  • Excesso de demanda da porta de destino

    A identificação de tráfego granular reduz o número de quadros a serem encaminhados para a porta de destino e, portanto, minimiza as probabilidades de excesso de demanda.

  • Desempenho

    As VACLs são impostas no hardware. Não há prejuízo para o desempenho devido à aplicação de VACLs em uma VLAN nos Cisco Catalyst 6500 Series Switches.

Configuração

Nesta seção, você encontrará informações para fazer a configuração dos recursos descritos neste documento.

Este documento usa as seguintes configurações:

Observação: use a Ferramenta Command Lookup (somente para clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama da Rede

Este documento usa a seguinte configuração de rede:

vacl-catos6k1.gif

Configuração com SPAN com Base em VLAN

Este exemplo de configuração relaciona as etapas obrigatórias para capturar todo o tráfego de Camada 2 transmitido em VLAN 11 e VLAN 12 e enviá-lo para o dispositivo Analisador de Redes.

  1. Especifique o tráfego desejado.

    Neste exemplo, se trata do tráfego transmitido na VLAN 100 e na VLAN 200.

    6K-CatOS> (enable) set span 11-12 3/24
    
    
    !--- no qual 11-12 especifica o intervalo das VLANs de origem
    e 3/24 especifica a porta de destino.
    
    2007 Jul 12 21:45:43 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for des
    tination port 3/24
    
    Destination     : Port 3/24
    Admin Source    : VLAN 11-12
    Oper Source     : Port 3/11-12,16/1
    Direction       : transmit/receive
    Incoming Packets: disabled
    Learning        : enabled
    Multicast       : enabled
    Filter          : -
    Status          : active
    
    6K-CatOS> (enable) 2007 Jul 12 21:45:43 %SYS-5-SPAN_CFGSTATECHG:local span sessi
    on active for destination port 3/24

    Desse modo, todo o tráfego da Camada 2 que pertence a VLAN 11 e VLAN 12 é copiado e enviado para a porta 3/24.

  2. Use o comando show span all para verificar a configuração do SPAN.

    6K-CatOS> (enable) show span all
    
    Destination     : Port 3/24
    Admin Source    : VLAN 11-12
    Oper Source     : Port 3/11-12,16/1
    Direction       : transmit/receive
    Incoming Packets: disabled
    Learning        : enabled
    Multicast       : enabled
    Filter          : -
    Status          : active
    
    
    Total local span sessions:  1
    
    No remote span session configured
    6K-CatOS> (enable)

Configuração com VACL

Neste exemplo de configuração, há várias solicitações do administrador de rede:

  • É necessário capturar o tráfego HTTP de uma variedade de hosts (10.12.12.128/25) na VLAN 12 para um servidor específico (10.11.11.100) na VLAN 11.

  • É necessário capturar da VLAN 11 o tráfego UDP (protocolo de datagrama do usuário) de várias transmissões na direção de transmissão destinada para o endereço de grupo 239.0.0.100.

  1. Use as ACLs de Segurança para definir o tráfego desejado. Mencione a palavra-chave capture para todas as ACEs definidas.

    6K-CatOS> (enable) set security acl ip HttpUdp_Acl permit tcp
    10.12.12.128 0.0.0.127 host 10.11.11.100 eq www capture
    
    !--- Comando vinculado à segunda linha.
    
    HttpUdp_Acl editbuffer modified. Use 'commit' command to apply changes.
    
    6K-CatOS> (enable) set security acl ip HttpUdp_Acl permit udp any host
    239.0.0.100 capture
    HttpUdp_Acl editbuffer modified. Use 'commit' command to apply changes.
  2. Verifique se a configuração de ACE está correta e na ordem apropriada.

    6K-CatOS> (enable) show security acl info HttpUdp_Acl editbuffer
    set security acl ip HttpUdp_Acl
    ---------------------------------------------------
    1. permit tcp 10.12.12.128 0.0.0.127 host 10.11.11.100 eq 80 capture
    2. permit udp any host 239.0.0.100 capture
    ACL HttpUdp_Acl Status: Not Committed
    6K-CatOS> (enable)
  3. Vincule a ACL ao hardware.

    6K-CatOS> (enable) commit security acl HttpUdp_Acl
    
    ACL commit in progress.
    
    ACL 'HttpUdp_Acl' successfully committed.
    6K-CatOS> (enable)
  4. Verifique o status da ACL.

    6K-CatOS> (enable) show security acl info HttpUdp_Acl editbuffer
    set security acl ip HttpUdp_Acl
    ---------------------------------------------------
    1. permit tcp 10.12.12.128 0.0.0.127 host 10.11.11.100 eq 80 capture
    2. permit udp any host 239.0.0.100 capture
    ACL HttpUdp_Acl Status: Committed
    6K-CatOS> (enable)
  5. Aplique o mapa de acesso de VLAN nas VLANs apropriadas.

    6K-CatOS> (enable) set security acl map HttpUdp_Acl ?
      <vlans>                    Vlan(s) to be mapped to ACL
    6K-CatOS> (enable) set security acl map HttpUdp_Acl 11
    
    Mapping in progress.
    
    ACL HttpUdp_Acl successfully mapped to VLAN 11.
    6K-CatOS> (enable)
  6. Verifique a ACL para o mapeamento de VLAN.

    6K-CatOS> (enable) show security acl map HttpUdp_Acl
    
    ACL HttpUdp_Acl is mapped to VLANs:
    11
    6K-CatOS> (enable)
  7. Configure a porta de captura.

    6K-CatOS> (enable) set vlan 11 3/24
    
    VLAN  Mod/Ports
    ---- -----------------------
    11    3/11,3/24
    6K-CatOS> (enable)
    
    
    6K-CatOS> (enable) set security acl capture-ports 3/24
    
    Successfully set 3/24 to capture ACL traffic.
    6K-CatOS> (enable)

    Observação: se uma ACL for mapeada para várias VLANs, será necessário configurar a porta de captura para todas essas VLANs. Para que a porta de captura permita várias VLANs, configure a porta como truncamento e permita somente as VLANs mapeadas para a ACL. Por exemplo: conclua a configuração se a ACL estiver mapeada para as VLANs 11 e 12.

    6K-CatOS> (enable) clear trunk 3/24 1-10,13-1005,1025-4094
    
    6K-CatOS> (enable) set trunk 3/24 on dot1q 11-12
    
    6K-CatOS> (enable) set security acl capture-ports 3/24
    
    
  8. Verifique a configuração da porta de captura.

    6K-CatOS> (enable) show security acl capture-ports
    ACL Capture Ports: 3/24
    6K-CatOS> (enable)

Verificação

Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.

A Ferramenta Output Interpreter (somente para clientes registrados) (OIT) é compatível com certos comandos show. Use a ferramenta OIT para visualizar uma análise da saída do comando show.

  • show security acl info — Exibe o conteúdo da VACL configurada no momento ou comprometida pela última vez com a NVRAM e o hardware.

    6K-CatOS> (enable) show security acl info HttpUdp_Acl
    
    set security acl ip HttpUdp_Acl
    ---------------------------------------------------
    1. permit tcp 10.12.12.128 0.0.0.127 host 10.11.11.100 eq 80 capture
    2. permit udp any host 239.0.0.100 capture
    6K-CatOS> (enable)
  • show security acl map — Exibe o mapeamento ACL-para-VLAN ou ACL-para-porta para uma ACL, porta ou VLAN específicas.

    6K-CatOS> (enable) show security acl map all
    ACL Name                         Type Vlans
    -------------------------------- ---- -----
    HttpUdp_Acl                         IP   11
    6K-CatOS> (enable)
  • show security acl capture-ports — Exibe a lista de portas de captura.

    6K-CatOS> (enable) show security acl capture-ports
    ACL Capture Ports: 3/24
    6K-CatOS> (enable)

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre troubleshooting para esta configuração.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 97411