Коммутация LAN : Коммутируемый анализатор для портов (SPAN)

На основе потоков альтернатива SPAN VACL Capture

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как использовать на основе потоков коммутируемый анализатор для портов (FSPAN) для получения отфильтрованного трафика на коммутаторах Cisco Catalyst, которые не поддерживают перехват Списка контроля доступом VLAN (VACL).

Внесенный Шэшэнком Сингхом, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Коммутаторы Cisco Catalyst серии 3750-X
  • Cisco Catalyst коммутаторы серии 3560-X
  • Cisco Catalyst 3750-E Series Switches
  • Cisco Catalyst 3560-E Series Switches
  • 2960-X Коммутаторы Серии Cisco Catalyst, которые выполняют iplite лицензию
  • Cisco IOS® Release 12.2 (44) SE и позже

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Процедура

Cisco-Catalyst-3750-X, 3560-X, 3750-E, 3560-E, и 2960-X (iplite лицензия) коммутаторы, не поддерживает перехват VACL; однако, эти коммутаторы действительно поддерживают на основе потоков SPAN и на основе потоков удаленный SPAN (RSPAN), который может достигнуть похожих результатов к перехвату VACL.

На основе потоков SPAN предоставляет механизм для использования заданных фильтров для получения требуемых данных между конечными хостами.

Можно подключить три типа списков контроля доступа FSPAN (ACL) к Сессии SPAN:

  • IPv4 ACL FSPAN - фильтрует Пакеты IPV4 только.
  • IPv6 ACL FSPAN - фильтрует пакеты IPv6 только.
  • MAC ACL FSPAN - фильтрует пакеты не-IP только.

Списки управления доступом имеют более высокий приоритет, чем ACL FSPAN на коммутаторе. Если вы применяете ACL FSPAN и затем добавляете больше списков управления доступом, которые не могут вписаться в аппаратную память, ACL FSPAN удалены из памяти для предоставления пространства для списков управления доступом. Системное сообщение уведомляет пользователя относительно этого действия, которое вызывают, разгружаясь.

Когда пространство снова доступно, ACL FSPAN добавлены назад к аппаратной памяти на коммутаторе. Системное сообщение уведомляет пользователя относительно этого действия, которое вызывают, перезагружаясь.

3750-X коммутаторы поддерживают до двух Сессий SPAN, и FSPAN не может избежать этого ограничения. FSPAN использует тот же ASIC репликации, как обычный SPAN делает.

Это - пример использования FSPAN на 3750-X коммутаторе:

3750X(config)#ip access-list extended FILTER
3750X(config-ext-nacl)#permit ip host 192.168.1.1 host 172.16.1.1
3750X(config-ext-nacl)#exit
3750X(config)#monitor session 1 source interface gi1/0/1 both3750X
(config)#monitor session 1 destination interface gi1/0/2 3750X
(config)#monitor session 1 filter ip access-group FILTER

3750X(config)##exit3750X#show monitor session
sh mon session 1
Session 1
---------
Type                  : Local Session
Source Ports          :
   Both              : Gi1/0/1Destination Ports     : Gi1/0/2
   Encapsulation     : Native
         Ingress     : Disabled
IP Access-group       : FILTER

Ограничения

  • FSPAN не поддерживается на 3750, 3750G, 2950, 2960 и коммутаторы 2960-х.
  • 2960-X, который выполняет iplite лицензию только, поддерживает FSPAN.
  • Можно подключить ACL только к одному SPAN или сеансу RSPAN за один раз.
  • Когда никакие ACL FSPAN не подключены, FSPAN отключен, и весь трафик скопирован к портам назначения SPAN.
  • Когда по крайней мере один ACL FSPAN подключен, FSPAN включен.
  • При присоединении пустого ACL FSPAN к Сессии SPAN это не фильтрует пакеты, и весь трафик проверен.
  • Catalyst 3750 портов может быть добавлен как порты назначения на сеансе FSPAN.
  • Сеансы FSPAN на основе VLAN не могут быть настроены на стеке, который включает Коммутаторы Catalyst 3750.
  • EtherChannels не поддерживаются на сеансе FSPAN.
  • ACL FSPAN с флагами TCP или регистрационным ключевым словом не поддерживаются.
  • Сеансы FSPAN на основе порта могут быть настроены на стеке, который включает Коммутаторы Catalyst 3750, пока сеанс включает только Catalyst 3750-E порты как исходные порты. Если сеанс имеет Catalyst 3750 портов как исходные порты, команда FSPAN ACL отклонена.

Дополнительные сведения



Document ID: 116133