Cisco インターフェイスとモジュール : Cisco Catalyst 6500 シリーズ ファイアウォール サービス モジュール

FWSM トラフィック キャプチャ製品テクニカル ノート

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料にに送信 され、Firewall Services Module (FWSM)から受信されるトラフィックをモニタする方法を記述されています。 Cisco Catalyst 6500/Cisco 7600 シリーズ ルータ プラットフォームで、他の物理的セキュリティ デバイスにキャプチャまたは伝達のようなアクティビティのための宛先ポートにトラフィックをリダイレクトするのに使用できる 2 スイッチ型ポートアナライザ (SPAN) セッションがあります(Intrusion detection system のような)。 SPANセッションは別名モニタ セッションです。

スコット Nishimura によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • ネットワーク セキュリティ
  • データ収集(スニファー)との習熟度

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Catalyst 6500/7600 シリーズ スイッチ
  • Cisco Catalyst 6500/Cisco 7600 シリーズ Supervisor Engine 720
  • Cisco FWSM

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

SPAN リフレクタ

いくつかのサービスモジュールは、FWSM のようなすべてのサービスモジュールのためにスーパバイザの ASIC と通信するために、2 人のモニタ セッションの 1 人を利用します。 このコミュニケーションパスは FWSM またはその他のサービス モジュールを egressing とき中央リライト エンジンを必要とする切り替えられるべき他のトラフィック、またマルチキャストトラフィックを、有効に します。 セッションのこの型は SPAN リフレクタとして知られ、デフォルトで有効に なります。 スイッチ使用が(クロス モジュール) EtherChannel を配った場合 SPAN リフレクタが必要となります; ポート チャネルが組み込まれるおよびクロス複数のラインカード マルチプルインターフェイスを備えている時存在 する分散 EtherChannel。

: その他のサービス モジュールがそれを必要としない場合適応性があるセキュリティ アプライアンス モデル サービスモジュール(ASA-SM)は SPAN リフレクタ、従ってあなたをリフレクタをディセーブルにすることができます必要としません。

第 2 セッションはパケット 探知のような他のモニタ セッションに、使用することができます。

モニタ セッションのステータスを見るために show monitor セッションをすべてのコマンド利用して下さい; 型としてサービスモジュール セッションを探して下さい。

6513#sh monitor sess all  
Session 1  
---------  
Type                   : Local Session  
Source Ports           :
     Both              : Po272  
Destination Ports      : Gi13/13    

Session 2  
---------  
Type                   : Service Module Session  
Modules allowed        : 1-13  
Modules active         : 1,3  
BPDUs allowed          : Yes

スイッチ バックプレーンの FWSM トラフィック キャプチャ

トラフィックに及ぶために送信 され、内部 バックプレーン インターフェイスの FWSM から届くモニタ セッションを利用して下さい。 この例では FWSM に出入してトラフィックをスニッフィングするために、セッション 1 は設定されます。

ステップ 1: FWSM によって使用されるポート チャネルを判別して下さい

FWSM は一般に 270 またはより高い番号が付いている内部ポート チャネル番号を使用します。 どのポートが使用中であるか判別するために show etherchannel summary コマンドを使用して下さい。

6513#show etherchannel summary   
Flags:
          D - down        P - bundled in port-channel
          I - stand-alone s - suspended
          H - Hot-standby (LACP only)
          R - Layer3      S - Layer2
          U - in use      f - failed to allocate aggregator
          M - not in use, minimum links not met
          u - unsuitable for bundling
          w - waiting to be aggregated  
Number of channel-groups in use: 10  
Number of aggregators:           10  
  
Group  Port-channel  Protocol    Ports  
------+-------------+-----------+-----------------------------------------------  
1      Po1(SD)         LACP      Gi5/7(D)   Gi5/8(D)     
2      Po2(SD)          -          
3      Po3(SD)          -          
22     Po22(SU)        LACP      Gi5/23(P)  Gi5/24(P)    
105    Po105(SU)       LACP      Fa2/25(w)  Fa2/26(P)    
106    Po106(SU)       LACP      Fa2/27(P)  Fa2/28(P)    
223    Po223(SD)       LACP      Gi5/39(I)  Gi5/40(I)    
224    Po224(SD)       LACP      Gi5/41(I)  Gi5/42(I)    
270    Po270(SU)        -        Gi1/1(P)   Gi1/2(P)   Gi1/3(P)   Gi1/4(P)
Gi1/5(P) Gi1/6(P) 272 Po272(SU) - Gi3/1(P) Gi3/2(P) Gi3/3(P) Gi3/4(P) Gi3/5(P) Gi3/6(P)

この例では、ポート チャネル ID 272 はスロット 3.の FWSM に割り当てられます。 FWSM は内部 EtherChannel に組み込まれる 6 つの 1 GB ポートによってスイッチにバックプレーンを接続します。

ステップ 2: 送信元および宛先 インターフェイスを定義して下さい

モニタ セッションのための送信元および宛先 インターフェイスを定義するためにモニタ セッション 1 つのソースインターフェイスおよびモニタ セッション 1 デスティネーションインターフェイス コマンドを使用して下さい。 この例では、ソースインターフェイスは物理的 な スニファー デバイスが接続されるところにポート チャネル 272 です(ステップ、およびデスティネーションインターフェイスで 1)識別されるようにポートギガビット 5/48 は。

monitor session 1 source interface po272
monitor session 1 destination interface gig5/48

ステップ 3: モニタ セッションを確認して下さい

モニタ セッションを確認するために show monitor セッション 1 コマンドを使用して下さい。

6513# show monitor session 1

Session 1
---------
Type : Local Session
Source Ports :
Both : Po272
Destination Ports : Gi5/48

出力はことに送信 され、スロット 3.の FWSM から受信されたすべてのトラフィックをモニタすることをポート チャネル 272 (Po272)がスパンの始点、そしてである示したものです。

: 6 ポートに 1 GB EtherChannel 及ぶ場合、デスティネーションインターフェイスのパケットレート(かスニファー 入力速度を)超過することができます。 1 GB イーサネットインターフェイス(宛先ポート Gi5/48 の送信する 比率)で物理的に 可能性のあるがであるより FWSM ポート チャネルにより多くのトラフィックがあれば、デスティネーションインターフェイスはスニファーにパケットすべてを出力できないかもしれません。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116059