Interfaces et modules Cisco : Module de services pare-feu de la gamme Cisco Catalyst 6500

Note en tech de produit de capture du trafic FWSM

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment surveiller le trafic envoyé à et reçu d'un Module de services de Pare-feu (FWSM). Sur la plate-forme de Routeurs de gamme 7600 de Cisco Catalyst 6500/Cisco, il y a deux sessions de Fonction Switched Port Analyzer (SPAN) qui peuvent être utilisées pour réorienter le trafic à une destination port pour des activités telles que des saisies ou des transmissions à d'autres périphériques de Sécurité physique (tels qu'une intrusion Detection System). Des sessions d'ENVERGURE sont également connues comme sessions de surveillance.

Contribué par Scott Nishimura, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Sécurité des réseaux
  • Connaissance des captures de données (renifleurs)

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Commutateurs de gamme Cisco Catalyst 6500/7600
  • Engine 720 de superviseur de gamme 7600 de Cisco Catalyst 6500/Cisco
  • Cisco FWSM

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Réflecteur d'ENVERGURE

Quelques modules de service, tels que le FWSM, utilisent une de leurs deux sessions de surveillance pour tous les modules de service afin de communiquer avec les ASIC sur le superviseur. Cette artère de communications active le trafic de multidiffusion, aussi bien que tout autre trafic qui exige l'engine centrale de réécriture, à commuter egressing le FWSM ou d'autres modules de service. Ce type de session est connu comme réflecteur d'ENVERGURE et est activé par défaut. Le réflecteur d'ENVERGURE est exigé si les utilisations de commutateur distribuaient l'EtherChannel (de croix-module) ; un EtherChannel distribué existe quand un Port canalisé a les plusieurs interfaces qui sont empaquetées et qui croisent de plusieurs linecards.

Remarque: Le module de service d'appliance de sécurité adaptable (ASA-SM) n'exige pas le réflecteur d'ENVERGURE, ainsi vous peut désactiver le réflecteur si autre module de service ne l'exige pas.

La deuxième session peut être utilisée pour d'autres sessions de surveillance, telles que le reniflement de paquet.

Utilisez le show monitor session toute la commande afin de voir le statut des sessions de surveillance ; recherchez la session de module de service comme type.

6513#sh monitor sess all  
Session 1  
---------  
Type                   : Local Session  
Source Ports           :
     Both              : Po272  
Destination Ports      : Gi13/13    

Session 2  
---------  
Type                   : Service Module Session  
Modules allowed        : 1-13  
Modules active         : 1,3  
BPDUs allowed          : Yes

Capture du trafic FWSM sur le fond de panier de commutateur

Utilisez une session de surveillance afin de répartir le trafic au lequel est envoyé et reçu du FWSM sur les interfaces internes du fond de panier. Dans cet exemple, la session 1 est installée pour renifler le trafic à et du FWSM.

Étape 1 : Déterminez le Port canalisé utilisé par FWSM

Le FWSM utilise généralement un nombre de Port canalisé interne numéro 270 ou plus élevé. Employez la commande récapitulative de show etherchannel afin de déterminer quel port est en service.

6513#show etherchannel summary   
Flags:
          D - down        P - bundled in port-channel
          I - stand-alone s - suspended
          H - Hot-standby (LACP only)
          R - Layer3      S - Layer2
          U - in use      f - failed to allocate aggregator
          M - not in use, minimum links not met
          u - unsuitable for bundling
          w - waiting to be aggregated  
Number of channel-groups in use: 10  
Number of aggregators:           10  
  
Group  Port-channel  Protocol    Ports  
------+-------------+-----------+-----------------------------------------------  
1      Po1(SD)         LACP      Gi5/7(D)   Gi5/8(D)     
2      Po2(SD)          -          
3      Po3(SD)          -          
22     Po22(SU)        LACP      Gi5/23(P)  Gi5/24(P)    
105    Po105(SU)       LACP      Fa2/25(w)  Fa2/26(P)    
106    Po106(SU)       LACP      Fa2/27(P)  Fa2/28(P)    
223    Po223(SD)       LACP      Gi5/39(I)  Gi5/40(I)    
224    Po224(SD)       LACP      Gi5/41(I)  Gi5/42(I)    
270    Po270(SU)        -        Gi1/1(P)   Gi1/2(P)   Gi1/3(P)   Gi1/4(P)
Gi1/5(P) Gi1/6(P) 272 Po272(SU) - Gi3/1(P) Gi3/2(P) Gi3/3(P) Gi3/4(P) Gi3/5(P) Gi3/6(P)

Dans cet exemple, l'ID de Port canalisé 272 est assigné pour le FWSM dans l'emplacement 3. Le FWSM se connecte au fond de panier de commutateur par l'intermédiaire de six ports de 1 Go, qui sont empaquetés dans un EtherChannel interne.

Étape 2 : Définissez les interfaces de source et de destination

Employez les 1 commandes d'interface de destination d'interface et de session de surveillance 1 de source de la session de surveillance afin de définir la source et les interfaces de destination pour les sessions de surveillance. Dans cet exemple, l'interface de source est le Port canalisé 272 (comme identifié dans l'étape 1), et l'interface de destination est le gigabit 5/48 de port où un périphérique physique de renifleur sera connecté.

monitor session 1 source interface po272
monitor session 1 destination interface gig5/48

Étape 3 : Vérifiez la session de surveillance

Employez la commande du show monitor session 1 afin de vérifier la session de surveillance.

6513# show monitor session 1

Session 1
---------
Type : Local Session
Source Ports :
Both : Po272
Destination Ports : Gi5/48

La sortie prouve que le Port canalisé 272 (Po272) est la source d'envergure et qu'il surveillera tout le trafic envoyé à et reçu du FWSM dans l'emplacement 3.

Remarque: Si vous répartissez l'EtherChannel de Go du six ports 1, vous pouvez dépasser le débit de paquets (ou le débit en entrée de renifleur) de l'interface de destination. S'il y a plus de trafic sur le Port canalisé FWSM qu'est physiquement possible sur une 1 interface d'Ethernets de Go (le débit de transmission de la destination port Gi5/48), l'interface de destination peut ne pas pouvoir sortir tous les paquets au renifleur.

Informations connexes



Document ID: 116059