Интерфейсы и модули Cisco : Сервисный модуль межсетевого экрана Cisco Catalyst серии 6500

Технические примечания продукта перехвата трафика FWSM

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как контролировать трафик, передаваемый и полученный от Модуля Сервисов межсетевого экрана (FWSM). На Cisco Catalyst 6500/маршрутизаторов Cisco серии 7600 платформ существует два сеанса коммутируемого анализатора для портов (SPAN), которые могут использоваться для перенаправления трафика к порту назначения для действий, таких как перехваты или передачи к другим устройствам физической безопасности (таким как Система обнаружения проникновения). Сессии SPAN также известны как сеансы монитора.

Внесенный Скоттом Нишимурой, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Безопасность сети
  • Знакомство с перехватами данных (анализаторы)

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco Catalyst 6500/7600 Коммутаторы Серии
  • Cisco Catalyst 6500/Cisco 7600 модулей управления Supervisor Engine 720 Серии
  • FWSM Cisco

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Отражатель SPAN

Некоторые сервисные модули, такие как FWSM, используют один из своих двух сеансов монитора для всех сервисных модулей для передачи с ASIC на Супервизоре. Этот путь соединения включает многоадресный трафик, а также другой трафик, который требует центрального ядра перезаписи, чтобы быть коммутированным когда egressing FWSM или другие сервисные модули. Этот тип сеанса известен как отражатель SPAN и включен по умолчанию. Если коммутатор использует распределенный (крест-модуль) etherchannel, отражатель SPAN требуется; распределенный etherchannel существует, когда канал порта имеет несколько интерфейсов, которые связаны и что перекрестные множественные линейные платы.

Примечание: Сервисный модуль Устройства адаптивной безопасности (SM ASA) не требует отражателя SPAN, таким образом, можно отключить отражатель, если никакие другие сервисные модули не требуют его.

Второй сеанс может использоваться для других сеансов монитора, таких как анализатор трафика пакетов.

Используйте show monitor session вся команда для наблюдения статуса сеансов монитора; ищите Сеанс Сервисного модуля как Тип.

6513#sh monitor sess all  
Session 1  
---------  
Type                   : Local Session  
Source Ports           :
     Both              : Po272  
Destination Ports      : Gi13/13    

Session 2  
---------  
Type                   : Service Module Session  
Modules allowed        : 1-13  
Modules active         : 1,3  
BPDUs allowed          : Yes

Перехват трафика FWSM на объединительной плате коммутатора

Используйте сеанс монитора для охвата трафика, который передан и получен от FWSM на внутренних интерфейсах объединительной платы. В данном примере Сеанс 1 установлен для сниффинга трафика к и от FWSM.

Шаг 1: Определите Port Channel, используемый FWSM

FWSM обычно использует номер канала внутреннего порта, пронумерованный 270 или выше. Используйте команду show etherchannel summary для определения, какой порт используется.

6513#show etherchannel summary   
Flags:
          D - down        P - bundled in port-channel
          I - stand-alone s - suspended
          H - Hot-standby (LACP only)
          R - Layer3      S - Layer2
          U - in use      f - failed to allocate aggregator
          M - not in use, minimum links not met
          u - unsuitable for bundling
          w - waiting to be aggregated  
Number of channel-groups in use: 10  
Number of aggregators:           10  
  
Group  Port-channel  Protocol    Ports  
------+-------------+-----------+-----------------------------------------------  
1      Po1(SD)         LACP      Gi5/7(D)   Gi5/8(D)     
2      Po2(SD)          -          
3      Po3(SD)          -          
22     Po22(SU)        LACP      Gi5/23(P)  Gi5/24(P)    
105    Po105(SU)       LACP      Fa2/25(w)  Fa2/26(P)    
106    Po106(SU)       LACP      Fa2/27(P)  Fa2/28(P)    
223    Po223(SD)       LACP      Gi5/39(I)  Gi5/40(I)    
224    Po224(SD)       LACP      Gi5/41(I)  Gi5/42(I)    
270    Po270(SU)        -        Gi1/1(P)   Gi1/2(P)   Gi1/3(P)   Gi1/4(P)
Gi1/5(P) Gi1/6(P) 272 Po272(SU) - Gi3/1(P) Gi3/2(P) Gi3/3(P) Gi3/4(P) Gi3/5(P) Gi3/6(P)

В данном примере ID 272 канала порта назначен для FWSM в слоте 3. FWSM соединяется с объединительной платой коммутатора через шесть портов на 1 ГБ, которые связаны во внутренний etherchannel.

Шаг 2 ---- -------------------------------- --------- : Определите источник и интерфейсы назначения

Используйте сеанс монитора 1 исходный интерфейс и сеанс монитора 1 команда интерфейса назначения для определения источника и интерфейсов назначения для сеансов монитора. В данном примере исходный интерфейс является каналом порта 272 (как определено в Шаге 1), и интерфейс назначения является 1 гбит/сом с портом 5/48, где будет связан физический анализатор.

monitor session 1 source interface po272
monitor session 1 destination interface gig5/48

Шаг 3: Проверьте сеанс монитора

Используйте show monitor session 1 команда для подтверждения сеанса монитора.

6513# show monitor session 1

Session 1
---------
Type : Local Session
Source Ports :
Both : Po272
Destination Ports : Gi5/48

Выходные данные показывают, что канал порта 272 (Po272) является источником промежутка и что это будет контролировать весь трафик, передаваемый и полученный от FWSM в слоте 3.

Примечание: При охвате шестипортового 1 ГБ etherchannel можно превысить скорость передачи пакетов (или скорость входного потока анализатора) интерфейса назначения. Если существует больше трафика на канале порта FWSM, чем физически возможно на интерфейсе Ethernet на 1 ГБ (скорость передачи порта назначения Gi5/48), интерфейс назначения может не быть в состоянии вывести все пакеты к анализатору.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.