Commutation LAN : Fonction Switched Port Analyzer (SPAN)

Alternative basée sur écoulement d'ENVERGURE à la capture VACL

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment employer un analyseur commuté basé sur écoulement de port (FSPAN) afin de capturer le trafic filtré sur les commutateurs Cisco Catalyst qui ne prennent en charge pas la capture de la liste de contrôle d'accès VLAN (VACL).

Contribué par Shashank Singh, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Commutateurs de la gamme Cisco Catalyst 3750-X
  • Commutateurs de la gamme Cisco Catalyst 3560-X
  • Commutateurs de la gamme Cisco Catalyst 3750-E
  • Commutateurs de la gamme Cisco Catalyst 3560-E
  • Commutateurs de gamme Cisco Catalyst 2960-X qui exécutent le permis d'iplite
  • Version 12.2(44)SE et ultérieures de Cisco IOS®

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Procédure

Les Commutateurs 3750-X, 3560-X, 3750-E, 3560-E, et 2960-X de Cisco Catalyst (permis d'iplite) ne prennent en charge pas la capture VACL ; cependant, ces Commutateurs prennent en charge l'ENVERGURE basée sur écoulement et le Remote SPAN (RSPAN) basé sur écoulement, qui peuvent réaliser des résultats similaires à la capture VACL.

l'ENVERGURE basée sur écoulement fournit un mécanisme pour utiliser les filtres spécifiés afin de capturer eus besoin entre les hôtes d'extrémité.

Vous pouvez relier trois types de Listes de contrôle d'accès (ACL) FSPAN à la session d'ENVERGURE :

  • Paquets d'ipv4 de filtres d'ACL de l'ipv4 FSPAN seulement.
  • Paquets d'IPv6 de filtres d'ACL de l'IPv6 FSPAN seulement.
  • Paquets non-IP de filtres d'ACL du MAC FSPAN seulement.

La Sécurité ACLs ont la haute priorité que FSPAN ACLs sur un commutateur. Si vous appliquez FSPAN ACLs et puis ajoutez plus de Sécurité ACLs qui ne peut pas s'adapter dans la mémoire de matériel, les FSPAN ACLs sont retirés de la mémoire afin de permettre l'espace pour la Sécurité ACLs. Un message système informe l'utilisateur de cette action, qui s'appelle décharger.

Quand l'espace est de nouveau disponible, les FSPAN ACLs sont ajoutés de nouveau à la mémoire de matériel sur le commutateur. Un message système informe l'utilisateur de cette action, qui s'appelle rechargement.

le support des Commutateurs 3750-X jusqu'à deux sessions d'ENVERGURE, et le FSPAN ne peut pas éviter cette limite. FSPAN utilise la même réplication ASIC qu'une ENVERGURE régulière fait.

C'est un exemple d'utilisation FSPAN sur un commutateur 3750-X :

3750X(config)#ip access-list extended FILTER
3750X(config-ext-nacl)#permit ip host 192.168.1.1 host 172.16.1.1
3750X(config-ext-nacl)#exit
3750X(config)#monitor session 1 source interface gi1/0/1 both3750X
(config)#monitor session 1 destination interface gi1/0/2 3750X
(config)#monitor session 1 filter ip access-group FILTER

3750X(config)##exit3750X#show monitor session
sh mon session  1
Session 1
---------
Type                   : Local Session
Source Ports           :
    Both               : Gi1/0/1Destination Ports      : Gi1/0/2
    Encapsulation      : Native
          Ingress      : Disabled
IP Access-group        : FILTER

Restrictions

  • FSPAN n'est pas pris en charge sur 3750, 3750G, 2950, 2960 et Commutateurs 2960-S.
  • 2960-X qui exécute le permis d'iplite prend en charge seulement FSPAN.
  • Vous pouvez relier ACLs à seulement une session d'ENVERGURE ou RSPAN à la fois.
  • Quand aucun FSPAN ACLs n'est relié, FSPAN est désactivé, et tout le trafic est copié sur les destinations port d'ENVERGURE.
  • Quand au moins un ACL FSPAN est relié, FSPAN est activé.
  • Quand vous reliez un ACL FSPAN vide à une session d'ENVERGURE, elle ne filtre pas des paquets, et tout le trafic est surveillé.
  • Des ports de Catalyst 3750 peuvent être ajoutés comme destinations port en session FSPAN.
  • des sessions basées sur VLAN FSPAN ne peuvent pas être configurées sur une pile qui inclut des Commutateurs de Catalyst 3750.
  • Des EtherChannels ne sont pas pris en charge en session FSPAN.
  • FSPAN ACLs avec des indicateurs de TCP ou le mot clé de journal ne sont pas pris en charge.
  • des sessions basées sur port FSPAN peuvent être configurées sur une pile qui inclut des Commutateurs de Catalyst 3750 tant que la session inclut seulement des ports du Catalyst 3750-E comme ports de source. Si la session a n'importe quel Catalyst 3750 met en communication comme ports de source, la commande d'ACL FSPAN est rejeté.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 116133