Коммутация LAN : VLAN ACcess Lists (VACLs)

VACL Capture для детального анализа трафика с помощью Cisco Catalyst 6000/6500 под управлением программного обеспечения Cisco IOS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (29 июля 2008) | Английский (19 сентября 2015) | Отзыв


Содержание


Введение

Этот документ содержит пример конфигурации для использования функции порта перехвата ACL для сетей VLAN (VACL) для более детального анализа сетевого трафика. Этот документ также рассказывает о преимуществах использования порта перехвата VACL в противоположность применению SPAN на основе VLAN (VSPAN).

Для настройки функции порта перехвата VACL на Cisco Catalyst 6000/6500, который выполняет Программное обеспечение операционной системы Catalyst, обратитесь к VACL Capture для Детального анализа трафика с Cisco Catalyst 6000/6500 Рабочее Программное обеспечение CatOS.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения: Коммутатор Cisco Catalyst серии 6506, который выполняет Cisco Выпуск ПО IOS� 12.2 (18) SXF8.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Эта конфигурация может также использоваться с Cisco Catalyst 6000 / коммутаторы серии "6500", которые выполняют программное обеспечение Cisco IOS версии 12.1(13)E и позже.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

VLAN базировала SPAN

SPAN (Коммутируемый анализатор для портов) копирует трафик с одного или более исходных портов в любой VLAN или от одной или более VLAN до порта назначения для анализа. Локальный анализатор SPAN поддерживает исходные порты, исходные VLAN и порты назначения на том же Коммутаторе серии Catalyst 6500.

Исходная VLAN является VLAN, проверенной для анализа сетевого трафика. SPAN на основе VLAN (VSPAN) использует VLAN в качестве источника SPAN. Все порты в исходных VLAN становятся исходными портами. Исходный порт является портом, проверенным для анализа сетевого трафика. Магистральные порты могут быть настроены как исходные порты и смешаны с нетранковыми исходными портами, но SPAN не копирует инкапсуляцию с исходного магистрального порта.

Если пакеты включены та же VLAN (один как входной трафик от входного порта и один как выходной трафик от выходного порта), для сеансов VSPAN и с входом и с настроенным выходом, два пакета переданы от порта назначения.

VSPAN только контролирует трафик, который покидает или вводит порты Уровня 2 в VLAN.

  • Если вы настраиваете VLAN как входной источник, и трафик маршрутизируется в проверенную VLAN, маршрутизированный трафик не проверен, потому что это никогда не появляется как входной трафик, который вводит порт Уровня 2 в VLAN.

  • Если вы настраиваете VLAN как выходной источник, и трафик маршрутизируется из проверенной VLAN, маршрутизированный трафик не проверен, потому что это никогда не появляется как выходной трафик, который покидает порт Уровня 2 в VLAN.

Для получения дополнительной информации об исходных VLAN обратитесь к Характеристикам Исходной VLAN.

ACL VLAN

VACL могут предоставить управление доступом для всех пакетов, которые соединены в VLAN или которые маршрутизируются в или из VLAN или Интерфейса WAN для перехвата VACL. В отличие от обычной топологии стандарт Cisco IOS или расширенные списки ACL, которые настроены на интерфейсах маршрутизатора только и применены на пакеты для маршрутизации только, VACL, применяются ко всем пакетам и могут быть применены к любой VLAN или Интерфейсу WAN. VACL обработаны в аппаратных средствах. VACL используют ACL Cisco IOS. VACL игнорируют любые поля Cisco IOS ACL, которые не поддерживаются в аппаратных средствах.

Можно настроить VACL для IP, IPX и трафика MAC - уровня. VACL применились к поддержке Интерфейсов WAN только IP - трафик для перехвата VACL.

Когда вы настраиваете VACL и применяете его к VLAN, все пакеты, которые вводят VLAN, проверены против этого VACL. При применении VACL к VLAN и ACL к маршрутизируемому интерфейсу в VLAN пакет, который входит в VLAN, сначала проверен против VACL и, если разрешено, тогда проверен против ввода для ACL, прежде чем это будет обработано маршрутизируемым интерфейсом. Когда пакет маршрутизируется к другой VLAN, он сначала проверен против списка ACL для выходных данных, который применен к маршрутизируемому интерфейсу, и, если разрешено, VACL, настроенный для назначения VLAN, применен. Если VACL настроен для типа пакета, и пакет того типа не совпадает с VACL, действие по умолчанию, запрещают. Это рекомендации для опции перехвата в VACL.

  • Порт перехвата не может быть портом ATM.

  • Порт перехвата должен быть в состоянии пересылки связующего дерева для VLAN.

  • Коммутатор не имеет никакого ограничения на количество портов перехвата.

  • Порт перехвата перехватывает только пакеты, разрешенные настроенным ACL.

  • Порты перехвата только передают трафик, который принадлежит VLAN с портами перехвата. Настройте порт перехвата как транк, который переносит требуемые VLAN для получения трафика, который переходит ко многим VLAN.

caution Внимание.  : Неправильная комбинация ACL может разрушить трафик. Осуществите дополнительное внимание при настройке ACL в устройстве.

Примечание: VACL не поддерживается с IPv6 на Коммутаторе серии Catalyst 6000. Другими словами, перенаправление ACL VLAN и IPv6 не совместимы, таким образом, ACL не может использоваться к трафику match IPv6.

Преимущества использования VACL по использованию VSPAN

Существует несколько ограничений использования VSPAN для анализа трафика:

  • Весь трафик уровня 2, который течет в VLAN, перехвачен. Это увеличивает объем данных, который будет проанализирован.

  • Количество Сессий SPAN, которые могут быть настроены на Коммутаторах серии Catalyst 6500, ограничено. Обратитесь к Пределам Локального анализатора SPAN и Сеанса RSPAN для получения дополнительной информации.

  • Порт назначения получает копии отправленного и полученного трафика со всех отслеживаемых портов-источников. Если лимит порта назначения превышен, он может быть перегружен. Такая перегрузка может повлиять на передачу трафика на один или более одного порта-источника.

Функция порта VACL Capture может помочь преодолевать некоторые из этих ограничений. VACL прежде всего не разработаны для мониторинга трафика, но, с широким диапазоном возможности классифицировать трафик, функция порта Перехвата была представлена так, чтобы анализ сетевого трафика мог стать намного более простым. Это преимущества Использования портов VACL Capture по VSPAN:

  • Детальный анализ трафика

    VACL могут совпасть на основе IP - адреса источника, IP - адреса назначения, типа протокола Уровня 4, источника и уровня назначения 4 порта и другая информация. Эта возможность делает VACL очень полезными для гранулированной идентификации трафика и фильтрования.

  • Количество сеансов

    VACL принуждены в аппаратных средствах; количество Элементов управления доступом (ACE), которые могут быть созданы, зависит от TCAM, доступного в коммутаторах.

  • Превышение подписки порта назначения

    Гранулированная идентификация трафика сокращает количество кадров, которые будут переданы порту назначения и таким образом минимизирует вероятность их превышения подписки.

  • Производительность

    VACL принуждены в аппаратных средствах; нет никакого снижения производительности для приложения VACL к VLAN на коммутаторах Cisco Catalyst серии 6500

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/89962/vacl_capture.gif

Конфигурация с SPAN на основе VLAN

Этот пример конфигурации перечисляет шаги, требуемые перехватывать весь трафик Уровня 2, который течет в VLAN 100 и VLAN 200, и передайте им к устройству Анализатора сети.

  1. Задайте представляющий интерес трафик. В нашем примере это - трафик, который течет в VLAN 100 и VLAN 200.

    Cat6K-IOS#conf t
    Cat6K-IOS(config)#monitor session 50 source vlan  100 , 200 ?
      ,     Specify another range of VLANs
      -     Specify a range of VLANs
      both  Monitor received and transmitted traffic
      rx    Monitor received traffic only
      tx    Monitor transmitted traffic only
      <cr>
    
    
    !--- Default is to monitor both received and transmitted traffic
    
    Cat6K-IOS(config)#monitor session 50 source vlan  100 , 200
    
    Cat6K-IOS(config)#
  2. Задайте порт назначения для перехваченного трафика.

    Cat6K-IOS(config)#monitor session 50 destination  interface Fa3/30
    
    Cat6K-IOS(config)#

С этим весь трафик уровня 2, который принадлежит VLAN 100 и VLAN 200, скопирован и передан порту Fa3/30. Если порт назначения является частью той же VLAN, трафик которой проверен, трафик, который выходит из порта назначения, не перехвачен.

Проверьте конфигурацию SPAN с помощью команды show monitor.

Cat6K-IOS#show monitor detail
Session 50
----------
Type              : Local Session
Source Ports      :
    RX Only       : None
    TX Only       : None
    Both          : None
Source VLANs      :
    RX Only       : None
    TX Only       : None
    Both          : 100,200
Source RSPAN VLAN : None
Destination Ports : Fa3/30
Filter VLANs      : None
Dest RSPAN VLAN   : None

Конфигурация с VACL

В этом примере конфигурации от администратора сети существуют множественные требования:

  • Трафик HTTP из диапазона хостов (10.20.20.128/25) в VLAN 200 к определенному серверу (10.10.10.101) в VLAN 100 должен быть перехвачен.

  • Протокол передачи дэйтаграмм Многоадресного пользователя (UDP) трафик в направлении передачи предназначил для группового адреса 239.0.0.100 потребности, которые будут перехвачены от VLAN 100.

  1. Определите представляющий интерес трафик, чтобы быть caputured и передаваемый анализу.

    Cat6K-IOS(config)#ip access-list extended HTTP_UDP_TRAFFIC
    
    Cat6K-IOS(config-ext-nacl)#permit tcp 10.20.20.128 0.0.0.127 host  10.10.10.101 eq www
    Cat6K-IOS(config-ext-nacl)#permit udp any host 239.0.0.100
    
    Cat6K-IOS(config-ext-nacl)#exit
  2. Определите umberlla ACL для сопоставления всего другого трафика.

    Cat6K-IOS(config)#ip access-list extended ALL_TRAFFIC
    
    Cat6K-IOS(config-ext-nacl)#permit ip any any
    Cat6K-IOS(config-ext-nacl)#exit
    
  3. Определите карту доступа VLAN.

    Cat6K-IOS(config)#vlan access-map HTTP_UDP_MAP 10
    
    Cat6K-IOS(config-access-map)#match ip address HTTP_UDP_TRAFFIC
    
    Cat6K-IOS(config-access-map)#action forward capture
    Cat6K-IOS(config)#vlan access-map HTTP_UDP_MAP 20
    
    Cat6K-IOS(config-access-map)#match ip address ALL_TRAFFIC
    
    Cat6K-IOS(config-access-map)#action forward
    Cat6K-IOS(config-access-map)#exit
  4. Примените карту доступа VLAN к соответствующим VLAN.

    Cat6K-IOS(config)#vlan filter HTTP_UDP_MAP vlan-list  100
    
    
    !--- Here 100 is the ID of VLAN on which the VACL is applied.
    
    
  5. Настройте порт перехвата.

    Cat6K-IOS(config)#int fa3/30
    Cat6K-IOS(config-if)#switchport capture allowed vlan ?
    
      WORD    VLAN IDs of the allowed VLANs when this po
      add     add VLANs to the current list
      all     all VLANs
      except  all VLANs except the following
      remove  remove VLANs from the current list
    
    Cat6K-IOS(config-if)#switchport capture allowed vlan 100
    
    Cat6K-IOS(config-if)#switchport capture
    Cat6K-IOS(config-if)#exit

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • команда show vlan access-map отображает содержимое карт доступа VLAN.

    Cat6K-IOS#show vlan access-map HTTP_UDP_MAP
    
    Vlan access-map "HTTP_UDP_MAP"  10
            match: ip address HTTP_UDP_TRAFFIC
            action: forward capture
    Vlan access-map "HTTP_UDP_MAP"  20
            match: ip address ALL_TRAFFIC
            action: forward
  • команда show vlan filter отображает сведения о фильтрах VLAN.

    Cat6K-IOS#show vlan filter
    VLAN Map HTTP_UDP_MAP:
            Configured on VLANs:  100
                Active on VLANs:  100

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 89962