Switches : Switches Cisco Catalyst de la serie 6500

Captura VACL para Análisis Detallado de Tráfico con Cisco Catalyst 6000/6500 que ejecuta software CatOS

23 Julio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (13 Julio 2007) | Comentarios

Contenidos

Introducción
Requisitos Previos
      Requisitos
      Componentes Utilizados
      Productos Relacionados
      Convenciones
Antecedentes
      SPAN basado en VLAN
      ACL en VLANs
      Ventajas del Uso de VACL sobre VSPAN
Configuración
      Diagrama de Red
      Configuración con SPAN basado en VLAN
      Configuración con VACL
Verificación
Troubleshooting
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento muestra un ejemplo de configuración para el uso de la Función Puerto de Captura con lista de control de acceso (ACL) VLAN (VACL) para un análisis más detallado de tráfico de red. En este documento también se mencionan las ventajas de usar el puerto de captura VACL frente al uso del Analizador de Puerto Conmutado basado en VLAN (SPAN) (VSPAN).

Para configurar la función de Puerto de Captura VACL en Cisco Catalyst 6000/6500 que ejecuta software Cisco IOS®, consulte Captura VACL para Análisis Detallado de Tráfico con Cisco Catalyst 6000/6500 que ejecuta Software Cisco IOS.

Requisitos Previos

Requisitos

Asegúrese de cumplir con estos requerimientos antes de probar esta configuración:

Componentes Utilizados

La información que contiene este documento se basa en el Cisco Catalyst 6506 Series Switch que ejecuta Catalyst OS versión 8.1(2).

La información que contiene este documento se creó a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración vacía (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

Esta configuración también puede utilizarse con los switches Cisco Catalyst 6000 / 6500 Series que ejecutan Catalyst OS versión 6.3 y posteriores.

Convenciones

Consulte Cisco Technical Tips Conventions para obtener más información sobre las convenciones del documento.

Antecedentes

SPAN basado en VLAN

SPAN copia el tráfico de uno o más puertos de origen en cualquier VLAN o de una o más VLAN a un puerto de destino para su análisis. SPAN local admite puertos de origen, VLAN de origen y puertos de destino en el mismo switch Catalyst 6500 Series.

Un puerto de origen es un puerto monitoreado para el análisis de tráfico de red. Una VLAN de origen es una VLAN monitoreada para el análisis de tráfico de red. SPAN basado en VLAN (VSPAN) es el análisis del tráfico de red en una o más VLANs. Puede configurar VSPAN como SPAN de ingreso, SPAN de egreso o ambos. Todos los puertos de las VLAN de origen se convierten en los puertos de origen operativos para la sesión VSPAN. Los puertos de destino, si pertenecen a alguna VLAN de origen administrativa, se excluyen de la fuente operativa. Si añade o quita puertos de las VLANs de origen administrativas, las fuentes operativas se modificarán en consecuencia.

Pautas para las sesiones VSPAN:

  • Los puertos trunk se incluyen como puertos de origen para las sesiones VSPAN, pero sólo se supervisan las VLANs que se encuentran en la lista de fuentes Admin, si tales VLANs están activas para el enlace trunk.

  • Para las sesiones VSPAN con SPAN de ingreso y egreso configurados, el sistema actúa conforme al tipo de supervisora (supervisor engine) que posea:

    • WS-X6K-SUP1A-PFC, WS-X6K-SUP1A-MSFC, WS-X6K-S1A-MSFC2, WS-X6K-S2-PFC2, WS-X6K-S1A-MSFC2, WS-SUP720, WS-SUP32-GE-3B: Dos paquetes se reenvían por el puerto de destino SPAN si los paquetes se conmutan en la misma VLAN.

    • WS-X6K-SUP1-2GE, WS-X6K-SUP1A-2GE: Sólo se reenvía un paquete por el puerto de destino SPAN.

  • No se incluye un puerto inband como fuente (origen) operativa para las sesiones VSPAN.

  • Cuando se borra una VLAN, se elimina de la lista de fuentes (origen) para las sesiones VSPAN.

  • Una sesión VSPAN se deshabilita si la lista de VLANs administrativas fuente (origen) está vacía.

  • Las VLANs inactivas no están permitidas para la configuración de VSPAN.

  • Una sesión VSPAN se vuelve inactiva si alguna de las VLANs origen se convierte en RSPAN VLANs.

Consulte la sección Characteristics of Source VLAN para obtener más información sobre VLANs fuente (origen).

ACL de la VLAN

Las VACLs pueden controlar el acceso de todo el tráfico. Puede configurar las VACLs en el switch para aplicarlas a todos los paquetes que se rutean a o desde una VLAN, o que son switcheados dentro de la misma VLAN. Las VACLs se utilizan estrictamente para el filtrado de paquetes de seguridad y la redirección de tráfico a puertos físicos específicos del switch. A diferencia de las ACL de Cisco IOS, las VACL no están definidas por la orientación (entrada o salida).

Puede configurar las VACL en las direcciones de Capa 3 para IP e IPX. El acceso del resto de los protocolos se controla a través de las direcciones MAC y EtherType mediante las VACLs de MAC. El acceso del tráfico IP e IPX no se controla a través de las VACLs de MAC. El resto de tipos de tráfico (AppleTalk, DECnet, etc.) se clasifican como tráfico MAC. Las VACLs de MAC (MAC VACLs) se utilizan para el control de acceso a este tráfico.

ACEs soportados en VACLs

Las VACLs contienen una lista ordenada de entradas de control de acceso (ACEs). Cada VACL puede contener ACE de un solo tipo. Cada ACE contiene un número de campos que se asocian contra los contenidos de un paquete. Cada campo puede tener una máscara de bits asociada para indicar qué bits son relevantes. Hay una acción asociada a cada ACE que describe qué debe hacer el sistema con el paquete cuando se produce una coincidencia (match). La acción depende de la función. Los switches Catalyst 6500 Series admiten tres tipos de ACEs en el hardware:

  • ACEs de IP

  • ACEs de IPX

  • ACEs de Ethernet

Esta tabla enumera los parámetros que se asocian con cada tipo de ACE:

Tipo de ACE

TCP o UDP

ICMP

Otras IP

IPX

Ethernet

Parámetros de Capa 4

Puerto de Origen

-

-

-

-

Operador de Puerto de Origen

-

-

-

-

Puerto de Destino

-

-

-

-

Operador de Puerto de Destino

Código ICMP

-

-

-

N/A

Tipo de ICMP

N/A

-

-

Parámetros de Capa 3

Byte ToS de IP

Byte ToS de IP

Byte ToS de IP

-

-

Dirección IP de Origen

Dirección IP de Origen

Dirección IP de Origen

Red IPX de Origen

-

Dirección IP de Destino

Dirección IP de Destino

Dirección IP de Destino

Red IPX de Destino

-

-

-

-

Nodo IP de Destino

-

TCP o UDP

ICMP

Otro Protocolo

Tipo de Paquete IPX

-

Parámetros de Capa 2

-

-

-

-

EtherType

-

-

-

-

Dirección Ethernet de Origen

-

-

-

-

Dirección Ethernet de Destino

Ventajas del Uso de VACL sobre VSPAN

Existen varias limitaciones al utilizar VSPAN para el análisis de tráfico:

  • Todo el tráfico de Capa 2 que fluye a una VLAN se captura. De esta forma aumenta la cantidad de datos para analizar.

  • El número de sesiones SPAN que pueden configurarse en los switches Catalyst 6500 Series es limitado. Consulte la sección Feature Summary and Limitations para obtener más información.

  • Un puerto de destino recibe copias de tráfico enviado y recibido en todos los puertos de origen monitoreados. Si un puerto de destino tiene un exceso de suscripciones, puede congestionarse. Esta congestión puede afectar al reenvío de tráfico en uno o más puertos de origen.

La función de Puerto de Captura VACL puede ayudar a hacer frente a algunas de estas limitaciones. La función principal de las VACL no es la de monitorear el tráfico. No obstante, debido a que cuenta con una amplia gama de posibilidades de clasificación del tráfico, la función de Puerto de Captura se introdujo para que el análisis del tráfico de red resultara mucho más sencillo. Estas son las ventajas de utilizar el puerto de captura VACL frente a utilizar VSPAN:

  • Análisis Detallado de Tráfico

    Las VACLs pueden relacionar direcciones IP basadas en el origen, direcciones IP de destino, tipo de protocolo de Capa 4, puertos de Capa 4 de origen y destino y otras informaciones. Esta capacidad convierte a las VACLs en una herramienta muy útil para la identificación y el filtrado detallados de tráfico.

  • Número de Sesiones

    Las VACLs se aplican al hardware. El número de ACEs que pueden crearse depende del TCAM disponible en los switches.

  • Exceso de Suscripciones del Puerto de Destino

    La identificación específica del tráfico reduce el número de tramas que se reenvían al puerto de destino y, por lo tanto, minimiza la probabilidad de un exceso de sobrecarga.

  • Rendimiento

    Las VACLs se aplican al hardware. El rendimiento no se ve afectado por la aplicación de VACL a una VLAN en los switches Cisco Catalyst 6500 Series.

Configuración

En esta sección encontrará la información para configurar las funciones descritas en este documento.

En este documento se utilizan las siguientes configuraciones:

Nota: Use la Herramienta Command Lookup (usuarios registrados exclusivamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de Red

En este documento se utiliza la siguiente configuración de red:

vacl-catos6k1.gif

Configuración con SPAN basado en VLAN

Este ejemplo de configuración enumera los pasos necesarios para capturar todo el tráfico de Capa 2 que fluye en la VLAN 11 y la VLAN 12 y enviarlo al dispositivo Analizador de Red.

  1. Especifique el tráfico interesante.

    En este ejemplo, se trata del tráfico que fluye en la VLAN 100 y la VLAN 200.

    6K-CatOS> (enable) set span 11-12 3/24
    
    
    !--- donde 11-12 especifica el rango de las VLANs de origen
    y 3/24 especifica el puerto de destino.
    
    2007 Jul 12 21:45:43 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for des
    tination port 3/24
    
    Destination     : Port 3/24
    Admin Source    : VLAN 11-12
    Oper Source     : Port 3/11-12,16/1
    Direction       : transmit/receive
    Incoming Packets: disabled
    Learning        : enabled
    Multicast       : enabled
    Filter          : -
    Status          : active
    
    6K-CatOS> (enable) 2007 Jul 12 21:45:43 %SYS-5-SPAN_CFGSTATECHG:local span sessi
    on active for destination port 3/24

    De esta forma, todo el tráfico de Capa 2 que pertenece a VLAN 11 y VLAN 12 se copia y se envía al puerto 3/24.

  2. Compruebe la configuración de SPAN con el comando show span all.

    6K-CatOS> (enable) show span all
    
    Destination     : Port 3/24
    Admin Source    : VLAN 11-12
    Oper Source     : Port 3/11-12,16/1
    Direction       : transmit/receive
    Incoming Packets: disabled
    Learning        : enabled
    Multicast       : enabled
    Filter          : -
    Status          : active
    
    
    Total local span sessions:  1
    
    No remote span session configured
    6K-CatOS> (enable)

Configuración con VACL

En este ejemplo de configuración, hay varios requisitos del administrador de red:

  • Es necesario capturar el tráfico HTTP de un rango de hosts (10.12.12.128/25) en la VLAN 12 a un servidor específico (10.11.11.100) en la VLAN 11.

  • Es necesario capturar el tráfico Multicast User Datagram Protocol (UDP) de la VLAN 11 dirigido a la dirección de grupo 239.0.0.100.

  1. Defina el tráfico interesante mediante las ACLs de seguridad. Recuerde mencionar la palabra clave capture para todas las ACEs definidas.

    6K-CatOS> (enable) set security acl ip HttpUdp_Acl permit tcp
    10.12.12.128 0.0.0.127 host 10.11.11.100 eq www capture
    
    !--- Comando replegado a la segunda línea.
    
    HttpUdp_Acl editbuffer modified. Use 'commit' command to apply changes.
    
    6K-CatOS> (enable) set security acl ip HttpUdp_Acl permit udp any host
    239.0.0.100 capture
    HttpUdp_Acl editbuffer modified. Use 'commit' command to apply changes.
  2. Compruebe si la configuración ACE es correcta y se encuentra en el orden correcto.

    6K-CatOS> (enable) show security acl info HttpUdp_Acl editbuffer
    set security acl ip HttpUdp_Acl
    ---------------------------------------------------
    1. permit tcp 10.12.12.128 0.0.0.127 host 10.11.11.100 eq 80 capture
    2. permit udp any host 239.0.0.100 capture
    ACL HttpUdp_Acl Status: Not Committed
    6K-CatOS> (enable)
  3. Aplique la ACL al hardware.

    6K-CatOS> (enable) commit security acl HttpUdp_Acl
    
    ACL commit in progress.
    
    ACL 'HttpUdp_Acl' successfully committed.
    6K-CatOS> (enable)
  4. Compruebe el estado de la ACL.

    6K-CatOS> (enable) show security acl info HttpUdp_Acl editbuffer
    set security acl ip HttpUdp_Acl
    ---------------------------------------------------
    1. permit tcp 10.12.12.128 0.0.0.127 host 10.11.11.100 eq 80 capture
    2. permit udp any host 239.0.0.100 capture
    ACL HttpUdp_Acl Status: Committed
    6K-CatOS> (enable)
  5. Aplique el access-map VLAN a las VLANs correspondientes.

    6K-CatOS> (enable) set security acl map HttpUdp_Acl ?
      <vlans>                    Vlan(s) to be mapped to ACL
    6K-CatOS> (enable) set security acl map HttpUdp_Acl 11
    
    Mapping in progress.
    
    ACL HttpUdp_Acl successfully mapped to VLAN 11.
    6K-CatOS> (enable)
  6. Verifique el mapeo de ACL a VLAN.

    6K-CatOS> (enable) show security acl map HttpUdp_Acl
    
    ACL HttpUdp_Acl is mapped to VLANs:
    11
    6K-CatOS> (enable)
  7. Configure el puerto de captura.

    6K-CatOS> (enable) set vlan 11 3/24
    
    VLAN  Mod/Ports
    ---- -----------------------
    11    3/11,3/24
    6K-CatOS> (enable)
    
    
    6K-CatOS> (enable) set security acl capture-ports 3/24
    
    Successfully set 3/24 to capture ACL traffic.
    6K-CatOS> (enable)

    Nota: Si una ACL está mapeada a varias VLANs, el puerto de captura debe configurarse para todas las VLANs. Para que el puerto de captura permita varias VLANs, configure el puerto como trunk y permita sólo las VLANs asignadas a la ACL. Por ejemplo, si la ACL está asignada a las VLANs 11 y 12, complete la configuración.

    6K-CatOS> (enable) clear trunk 3/24 1-10,13-1005,1025-4094
    
    6K-CatOS> (enable) set trunk 3/24 on dot1q 11-12
    
    6K-CatOS> (enable) set security acl capture-ports 3/24
    
    
  8. Verifique la configuración del puerto de captura.

    6K-CatOS> (enable) show security acl capture-ports
    ACL Capture Ports: 3/24
    6K-CatOS> (enable)

Verificación

Utilice esta sección para confirmar que la configuración funcione correctamente.

La Herramienta Output Interpreter (OIT) (usuarios registrados únicamente) admite determinados comandosshow. Utilice la OIT para ver un análisis de los resultados de los comandos show.

  • show security acl info: Muestra los contenidos de la VACL que están configurados actualmente o que se aplicaron por última vez a la NVRAM y al hardware.

    6K-CatOS> (enable) show security acl info HttpUdp_Acl
    
    set security acl ip HttpUdp_Acl
    ---------------------------------------------------
    1. permit tcp 10.12.12.128 0.0.0.127 host 10.11.11.100 eq 80 capture
    2. permit udp any host 239.0.0.100 capture
    6K-CatOS> (enable)
  • show security acl map: Muestra el mapeo ACL a VLAN o ACL a puerto para una determinada ACL, puerto o VLAN.

    6K-CatOS> (enable) show security acl map all
    ACL Name                         Type Vlans
    -------------------------------- ---- -----
    HttpUdp_Acl                         IP   11
    6K-CatOS> (enable)
  • show security acl capture-ports: Muestra la lista de puertos de captura.

    6K-CatOS> (enable) show security acl capture-ports
    ACL Capture Ports: 3/24
    6K-CatOS> (enable)

Troubleshooting

Actualmente, no hay información específica disponible sobre Troubleshooting para esta configuración.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 97411