Módulos e interfaces de Cisco : Módulo de servicios de firewall Cisco Catalyst de la serie 6500

Nota técnica del producto de la captura del tráfico FWSM

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (23 Abril 2015) | Comentarios

Introducción

Este documento describe cómo monitorear el tráfico enviado a y recibido de un Módulo de servicios del Firewall (FWSM). En la plataforma de los 7600 Series Router del Cisco Catalyst 6500/Cisco, hay dos sesiones del Switched Port Analyzer (SPAN) que se pueden utilizar para reorientar el tráfico a un puerto destino para las actividades tales como capturas o transmisiones a otros dispositivos de Seguridad física (tales como un sistema de la detección de intrusos). Conocen a las sesiones SPAN también como sesiones de monitoreo.

Contribuido por Scott Nishimura, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Seguridad de la red
  • Familiaridad con las capturas de datos (succionadores)

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Switches de las 6500/7600 Series del Cisco Catalyst
  • Supervisor Engine 720 de las 7600 Series del Cisco Catalyst 6500/Cisco
  • Cisco FWSM

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones sobre documentos.

ATRAVIESE el reflector

Algunos módulos de servicio, tales como el FWSM, utilizan a una de sus dos sesiones de monitoreo para todos los módulos de servicio para comunicar con Asics en el supervisor. Este trayecto de comunicación habilita el tráfico Multicast, así como el otro tráfico que requiere la reescritura de motor central, que se conmutará al egressing los módulos FWSM o de otro servicio. Conocen como el reflector del SPAN y se habilitan a este tipo de sesión por abandono. Se requiere el reflector del SPAN si las aplicaciones del Switch distribuyeron el EtherChannel (del cruz-módulo); un EtherChannel distribuido existe cuando un Canal de puerto tiene interfaces múltiples se líen que y que crucen el linecards múltiple.

Nota: El módulo de servicio adaptante del dispositivo de seguridad (ASA-SM) no requiere el reflector del SPAN, así que le puede inhabilitar el reflector si ningunos módulos de otro servicio lo requieren.

La segunda sesión se puede utilizar para otras sesiones de monitoreo, tales como rastreo de paquetes.

Utilice el comando all de la sesión de monitoreo de la demostración para ver el estatus de las sesiones de monitoreo; busque la sesión del módulo de servicio como el tipo.

6513#sh monitor sess all  
Session 1  
---------  
Type                   : Local Session  
Source Ports           :
     Both              : Po272  
Destination Ports      : Gi13/13    

Session 2  
---------  
Type                   : Service Module Session  
Modules allowed        : 1-13  
Modules active         : 1,3  
BPDUs allowed          : Yes

El FWSM trafica la captura en el backplane del Switch

Utilice a una sesión de monitoreo para atravesar el tráfico al cual se envía y se recibe del FWSM en las interfaces internas del backplane. En este ejemplo, la sesión 1 se configura para oler el tráfico a y desde el FWSM.

Paso 1: Determine el Canal de puerto usado por el FWSM

El FWSM utiliza generalmente un número de canal del puerto interno numerado 270 o más alto. Utilice el comando show etherchannel summary para determinar que el puerto es funcionando.

6513#show etherchannel summary   
Flags:
          D - down        P - bundled in port-channel
          I - stand-alone s - suspended
          H - Hot-standby (LACP only)
          R - Layer3      S - Layer2
          U - in use      f - failed to allocate aggregator
          M - not in use, minimum links not met
          u - unsuitable for bundling
          w - waiting to be aggregated  
Number of channel-groups in use: 10  
Number of aggregators:           10  
  
Group  Port-channel  Protocol    Ports  
------+-------------+-----------+-----------------------------------------------  
1      Po1(SD)         LACP      Gi5/7(D)   Gi5/8(D)     
2      Po2(SD)          -          
3      Po3(SD)          -          
22     Po22(SU)        LACP      Gi5/23(P)  Gi5/24(P)    
105    Po105(SU)       LACP      Fa2/25(w)  Fa2/26(P)    
106    Po106(SU)       LACP      Fa2/27(P)  Fa2/28(P)    
223    Po223(SD)       LACP      Gi5/39(I)  Gi5/40(I)    
224    Po224(SD)       LACP      Gi5/41(I)  Gi5/42(I)    
270    Po270(SU)        -        Gi1/1(P)   Gi1/2(P)   Gi1/3(P)   Gi1/4(P)
Gi1/5(P) Gi1/6(P) 272 Po272(SU) - Gi3/1(P) Gi3/2(P) Gi3/3(P) Gi3/4(P) Gi3/5(P) Gi3/6(P)

En este ejemplo, el Canal de puerto ID 272 se asigna para el FWSM en el slot 3. El FWSM conecta con el backplane del Switch vía seis puertos 1 GB, que se lían en un EtherChannel interno.

Paso 2: Defina la fuente y las interfaces de destino

Utilice el 1 comando de la interfaz de origen de la sesión de monitoreo y de la interfaz de destino de la sesión de monitoreo 1 para definir la fuente y las interfaces de destino para las sesiones de monitoreo. En este ejemplo, la interfaz de origen es el Canal de puerto 272 (según lo identificado en el paso 1), y la interfaz de destino es el Gigabit de puerto 5/48 donde un dispositivo sabueso físico será conectado.

monitor session 1 source interface po272
monitor session 1 destination interface gig5/48

Paso 3: Verifique a la sesión de monitoreo

Utilice el comando show monitor session 1 para verificar a la sesión de monitoreo.

6513# show monitor session 1

Session 1
---------
Type : Local Session
Source Ports :
Both : Po272
Destination Ports : Gi5/48

La salida muestra que el Canal de puerto 272 (Po272) es la fuente del palmo y que monitoreará todo el tráfico enviado a y recibido del FWSM en el slot 3.

Nota: Si usted atraviesa el acceso seises EtherChannel 1 GB, usted puede exceder la velocidad de paquetes (o la velocidad de entrada del sniffer) de la interfaz de destino. Si hay más tráfico en el Canal de puerto FWSM que físicamente posible en la interfaz de Ethernet GB del a1 (el índice del transmitir del puerto destino Gi5/48), la interfaz de destino puede no poder hacer salir todos los paquetes al sniffer.

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 116059