Switching de LAN : Seguridad de LAN

Captura de VACL para el análisis más detallado del tráfico en Cisco Catalyst 6000/6500 con el software Cisco IOS

23 Junio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (22 Marzo 2007) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Productos relacionados
     Convenciones
Antecedentes
     SPAN basado en VLAN
     VLAN ACL
     Ventajas del uso de VACL sobre VSPAN
Configuración
     Diagrama de la red
     Configuración con SPAN basado en VLAN
     Configuración con VACL
Verificación
Resolución de problemas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento se incluye una configuración de ejemplo para el uso de la función de puerto de captura de VLAN ACL (VACL) para el análisis del tráfico de red de un modo más detallado. También se destaca la ventaja que supone el uso del puerto de captura de VACL comparado con el uso de SPAN basado en VLAN (VSPAN).

Requisitos previos

Requisitos

Antes de utilizar esta configuración, asegúrese de cumplir con los siguientes requisitos:

Componentes utilizados

La información de este documento se basa en estas versiones de software y hardware: switch Cisco Catalyst serie 6506 que ejecuta el software Cisco IOS® versión 12.2(18)SXF8.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando.

Productos relacionados

Esta configuración también se puede utilizar con switches Cisco Catalyst serie 6000/6500 que ejecutan el software Cisco IOS versión 12.1(13)E y posteriores.

Convenciones

Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento.

Antecedentes

SPAN basado en VLAN

El analizador de puerto conmutado o SPAN copia el tráfico de uno o varios puertos de origen en cualquier VLAN, o desde una o varias VLAN en un puerto de destino, para analizarlo. SPAN local admite puertos de origen, VLAN de origen y puertos de destino en el mismo switch Catalyst serie 6500.

Una VLAN de origen es una VLAN supervisada para el análisis del tráfico de red. SPAN basado en VLAN (VSPAN) utiliza una VLAN como origen de SPAN. Todos los puertos de las VLAN de origen pasan a ser puertos de origen. Un puerto de origen es un puerto supervisado para el análisis del tráfico de red. Los puertos troncales se pueden configurar como puertos de origen y combinarse con puertos de origen no troncales, aunque hay que señalar que SPAN no copia la encapsulación desde puertos troncales de origen.

En las sesiones VSPAN con ingreso y egreso configurados, se reenvían dos paquetes desde el puerto de destino si éstos se conmutan en la misma VLAN (uno como tráfico de ingreso y otro como tráfico de egreso desde los puertos de ingreso y egreso, respectivamente).

VSPAN sólo supervisa el tráfico que sale o entra en los puertos de capa 2 en la VLAN.

  • Si configura una VLAN como origen de ingreso y el tráfico se enruta hacia la VLAN supervisada, el tráfico enrutado no se supervisará, ya que nunca aparece como tráfico de ingreso que entra en un puerto de capa 2 en la VLAN.

  • Si configura una VLAN como origen de egreso y el tráfico se enruta fuera de la VLAN supervisada, el tráfico enrutado no se supervisará, ya que nunca aparece como tráfico de egreso que sale de un puerto de capa 2 en la VLAN.

Para obtener más información sobre las VLAN de origen, consulte Características de la VLAN de origen.

VLAN ACL

Las VACL pueden proporcionar control de acceso para todos los paquetes que se conectan con puentes en una VLAN o que se enrutan hacia o desde una interfaz WAN o VLAN para la captura de VACL. A diferencia de las ACL ampliadas o estándar de Cisco IOS que se configuran únicamente en interfaces de router y sólo se aplican en paquetes enrutados, las VACL se aplican a todos los paquetes y a cualquier interfaz VLAN o WAN. Las VACL se procesan en el hardware. Utilizan listas ACL de Cisco IOS e ignoran todos sus campos de ACL que no se admitan en el hardware.

Las VACL se pueden configurar para el tráfico de capa MAC, IP e IPX. Las VACL aplicadas a interfaces WAN sólo admiten tráfico IP para la captura de VACL.

Cuando se configura una VACL y se aplica a una VLAN, todos los paquetes que entren en la VLAN se compararán con esta VACL. Si se aplica una VACL a la VLAN y una ACL a una interfaz enrutada en la VLAN, un paquete que entre en la VLAN se comparará en primer lugar con la VACL y, si se permite, se comparará con la ACL de entrada antes de que la gestione la interfaz enrutada. Si el paquete se enruta a otra VLAN, en primer lugar se comparará con la ACL se salida que se aplica a la interfaz enrutada y, si se permite, se aplicará la VACL configurada para la VLAN de destino. Si se configura una VACL para un tipo de paquete y un paquete de ese tipo no coincide con la VACL, se rechazará la acción predeterminada.

Ventajas del uso de VACL sobre VSPAN

Existen varias limitaciones en el uso de VSPAN para el análisis del tráfico:

  • Todo el tráfico de capa 2 que fluye en una VLAN se captura. Esto aumenta la cantidad de datos que se deben analizar.

  • El número de sesiones SPAN que se pueden configurar en los switches Catalyst serie 6500 es limitado. Para obtener más información, consulte Local SPAN and RSPAN Session Limits (Límites de las sesiones locales SPAN y RSPAN).

  • El puerto de destino recibe copias del tráfico enviado y recibido para todos los puertos de origen supervisados. Si el puerto de destino tiene un exceso de suscriptores, se puede congestionar. Esta congestión puede afectar al reenvío de tráfico en uno o varios de los puertos de origen.

La función de puerto de captura de VACL puede ayudar a superar algunas de estas limitaciones. Las VACL no están diseñadas principalmente para supervisar el tráfico; sin embargo, con una amplia capacidad para clasificarlo, se introdujo la función de puerto de captura para que el análisis del tráfico de red pudiera resultar un proceso más sencillo. A continuación se indican las ventajas del uso de la función de puerto de captura de VACL sobre VSPAN:

  • Análisis más detallado del tráfico

    Las VACL pueden coincidir en función de la dirección IP de origen y de destino, el tipo de protocolo de capa 4, los puertos de capa 4 de origen y destino, entre otra información. Esta capacidad hace que las VACL resulten muy útiles para el filtrado y la identificación detallados del tráfico.

  • Número de sesiones

    Las VACL se aplican en el hardware; el número de entradas de control de acceso (ACE) que se pueden crear depende del TCAM disponible en los switches.

  • Exceso de suscriptores del puerto de destino

    Con la identificación detallada de tráfico disminuye la cantidad de tramas que se reenvían al puerto de destino y, de este modo, también se reduce la probabilidad de su exceso de suscriptores.

  • Rendimiento

    Las VACL se aplican al hardware; no se produce una reducción del rendimiento para la aplicación de VACL en una VLAN en los switches Cisco Catalyst serie 6500.

Configuración

En esta sección se presenta la información para configurar las funciones descritas en este documento.

Nota: emplee la herramienta de búsqueda de comandos ( sólo para clientes registrados) para buscar más información sobre los comandos utilizados en este documento.

Diagrama de la red

Este documento utiliza esta configuración de red:

vacl_capture.gif

Configuración con SPAN basado en VLAN

En este ejemplo de configuración se incluyen los pasos necesarios para capturar todo el tráfico de capa 2 que fluye en VLAN 100 y VLAN 200, y enviarlo al dispositivo analizador de red.

  1. Especifique el tráfico interesante. En nuestro ejemplo, se trata de tráfico que fluye en VLAN 100 y VLAN 200.

    Cat6K-IOS#conf t
    Cat6K-IOS(config)#monitor session 50 source vlan 100 , 200 ?
      ,     Specify another range of VLANs
      -     Specify a range of VLANs
      both  Monitor received and transmitted traffic
      rx    Monitor received traffic only
      tx    Monitor transmitted traffic only
      <cr>
    
    
                         !--- La opción predeterminada es supervisar el tráfico recibido y transmitido
                      
    Cat6K-IOS(config)#monitor session 50 source vlan 100 , 200
                      
    Cat6K-IOS(config)#
  2. Especifique el puerto de destino para el tráfico capturado.

    Cat6K-IOS(config)#monitor session 50 destination interface Fa3/30
                      
    Cat6K-IOS(config)#

Con ello, todo el tráfico de capa 2 que pertenece a VLAN 100 y VLAN 200 se copia y envía al puerto Fa3/30. Si el puerto de destino es parte de la misma VLAN cuyo tráfico se supervisa, el tráfico que vaya fuera del puerto de destino no se capturará.

Compruebe la configuración de SPAN con el comando show monitor.

Cat6K-IOS#show monitor detail
Session 50
----------
Type              : Local Session
Source Ports      :
    RX Only       : None
    TX Only       : None
    Both          : None
Source VLANs      :
    RX Only       : None
    TX Only       : None
    Both          : 100,200
Source RSPAN VLAN : None
Destination Ports : Fa3/30
Filter VLANs      : None
Dest RSPAN VLAN   : None

Configuración con VACL

En este ejemplo de configuración, existen varios requisitos del administrador de red:

  • Es necesario capturar el tráfico HTTP de un rango de hosts (10.20.20.128/25) en VLAN 200 en un servidor específico (10.10.10.101) en VLAN 100.

  • Es necesario capturar el tráfico de Protocolo de datagrama de usuario (UDP) multidifusión en la dirección de transmisión destinado a la dirección de grupo 239.0.0.100 desde VLAN 100.

  1. Defina el tráfico interesante.

    Cat6K-IOS(config)#ip access-list extended HTTP_UDP_TRAFFIC
                      
    Cat6K-IOS(config-ext-nacl)#permit tcp 10.20.20.128 0.0.0.127 host 10.10.10.101 eq www
    Cat6K-IOS(config-ext-nacl)#permit udp any host 239.0.0.100
                      
    Cat6K-IOS(config-ext-nacl)#exit
  2. Defina la correspondencia de acceso a VLAN.

    Cat6K-IOS(config)#vlan access-map HTTP_UDP_MAP 10
                      
    Cat6K-IOS(config-access-map)#match ip address HTTP_UDP_TRAFFIC
                      
    Cat6K-IOS(config-access-map)#action forward capture
    Cat6K-IOS(config-access-map)#exit
  3. Aplique la correspondencia de acceso a VLAN a las VLAN adecuadas.

    Cat6K-IOS(config)#vlan filter HTTP_UDP_MAP vlan-list 100
                      
                   
  4. Configure el puerto de captura.

    Cat6K-IOS(config)#int fa3/30
    Cat6K-IOS(config-if)#switchport capture allowed vlan ?
                      
      WORD    VLAN IDs of the allowed VLANs when this po
      add     add VLANs to the current list
      all     all VLANs
      except  all VLANs except the following
      remove  remove VLANs from the current list
    
    Cat6K-IOS(config-if)#switchport capture allowed vlan 100
                      
    Cat6K-IOS(config-if)#switchport capture
    Cat6K-IOS(config-if)#exit

Verificación

Utilice esta sección para confirmar que la configuración funciona de manera adecuada.

La herramienta intérprete de resultados ( sólo para clientes registrados) (OIT) admite algunos comandos show. Utilice OIT para ver un análisis de los resultados del comando show.

  • show vlan access-map: muestra el contenido de las correspondencias de acceso a VLAN.

    Cat6K-IOS#show vlan access-map HTTP_UDP_MAP
                      
    Vlan access-map "HTTP_UDP_MAP"  10
            match: ip address HTTP_UDP_TRAFFIC
            action: forward capture
  • show vlan filter: muestra información sobre los filtros de VLAN.

    Cat6K-IOS#show vlan filter
    VLAN Map HTTP_UDP_MAP:
            Configured on VLANs:  100
                Active on VLANs:  100

Resolución de problemas

Actualmente, no hay información específica disponible sobre solución de problemas para esta configuración.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 89962