Nota técnica del producto de la captura del tráfico FWSM
Contenido
Introducción
Este documento describe cómo monitorear el tráfico enviado a y recibido de un Módulo de servicios del Firewall (FWSM). En la plataforma de los 7600 Series Router del Cisco Catalyst 6500/Cisco, hay dos sesiones del Switched Port Analyzer (SPAN) que se pueden utilizar para reorientar el tráfico a un puerto destino para las actividades tales como capturas o transmisiones a otros dispositivos de Seguridad física (tales como un sistema de la detección de intrusos). Conocen a las sesiones SPAN también como sesiones de monitoreo.
Prerrequisitos
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
- Seguridad de la red
- Familiaridad con las capturas de datos (succionadores)
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Switches de las 6500/7600 Series del Cisco Catalyst
- Supervisor Engine 720 de las 7600 Series del Cisco Catalyst 6500/Cisco
- Cisco FWSM
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Convenciones
Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones sobre documentos.
ATRAVIESE el reflector
Algunos módulos de servicio, tales como el FWSM, utilizan a una de sus dos sesiones de monitoreo para todos los módulos de servicio para comunicar con Asics en el supervisor. Este trayecto de comunicación habilita el tráfico Multicast, así como el otro tráfico que requiere la reescritura de motor central, que se conmutará al egressing los módulos FWSM o de otro servicio. Conocen como el reflector del SPAN y se habilitan a este tipo de sesión por abandono. Se requiere el reflector del SPAN si las aplicaciones del Switch distribuyeron el EtherChannel (del cruz-módulo); un EtherChannel distribuido existe cuando un Canal de puerto tiene interfaces múltiples se líen que y que crucen el linecards múltiple.
Nota: El módulo de servicio adaptante del dispositivo de seguridad (ASA-SM) no requiere el reflector del SPAN, así que le puede inhabilitar el reflector si ningunos módulos de otro servicio lo requieren.
La segunda sesión se puede utilizar para otras sesiones de monitoreo, tales como rastreo de paquetes.
Utilice el comando all de la sesión de monitoreo de la demostración para ver el estatus de las sesiones de monitoreo; busque la sesión del módulo de servicio como el tipo.
6513#sh monitor sess all Session 1 --------- Type : Local Session Source Ports : Both : Po272 Destination Ports : Gi13/13 Session 2 --------- Type : Service Module Session Modules allowed : 1-13 Modules active : 1,3 BPDUs allowed : Yes
El FWSM trafica la captura en el backplane del Switch
Utilice a una sesión de monitoreo para atravesar el tráfico al cual se envía y se recibe del FWSM en las interfaces de backplane internas. En este ejemplo, la sesión 1 se configura para oler el tráfico a y desde el FWSM.
Paso 1: Determine el Canal de puerto usado por el FWSM
El FWSM utiliza generalmente un número de canal del puerto interno numerado 270 o más alto. Utilice el comando show etherchannel summary para determinar que el puerto es funcionando.
6513#show etherchannel summary Flags: D - down P - bundled in port-channel I - stand-alone s - suspended H - Hot-standby (LACP only) R - Layer3 S - Layer2 U - in use f - failed to allocate aggregator M - not in use, minimum links not met u - unsuitable for bundling w - waiting to be aggregated Number of channel-groups in use: 10 Number of aggregators: 10 Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 1 Po1(SD) LACP Gi5/7(D) Gi5/8(D) 2 Po2(SD) - 3 Po3(SD) - 22 Po22(SU) LACP Gi5/23(P) Gi5/24(P) 105 Po105(SU) LACP Fa2/25(w) Fa2/26(P) 106 Po106(SU) LACP Fa2/27(P) Fa2/28(P) 223 Po223(SD) LACP Gi5/39(I) Gi5/40(I) 224 Po224(SD) LACP Gi5/41(I) Gi5/42(I) 270 Po270(SU) - Gi1/1(P) Gi1/2(P) Gi1/3(P) Gi1/4(P)
Gi1/5(P) Gi1/6(P) 272 Po272(SU) - Gi3/1(P) Gi3/2(P) Gi3/3(P) Gi3/4(P) Gi3/5(P) Gi3/6(P)
En este ejemplo, el Canal de puerto ID 272 se asigna para el FWSM en el slot 3. El FWSM conecta con el backplane del Switch vía seis puertos 1 GB, que se lían en un EtherChannel interno.
Paso 2: Defina la fuente y las interfaces de destino
Utilice el 1 comando de la interfaz de origen de la sesión de monitoreo y de la interfaz de destino de la sesión de monitoreo 1 para definir la fuente y las interfaces de destino para las sesiones de monitoreo. En este ejemplo, la interfaz de origen es el Canal de puerto 272 (según lo identificado en el paso 1), y la interfaz de destino es el Gigabit de puerto 5/48 donde un dispositivo sabueso físico será conectado.
monitor session 1 source interface po272
monitor session 1 destination interface gig5/48
Paso 3: Verifique a la sesión de monitoreo
Utilice el comando show monitor session 1 para verificar a la sesión de monitoreo.
6513# show monitor session 1
Session 1
---------
Type : Local Session
Source Ports :
Both : Po272
Destination Ports : Gi5/48
La salida muestra que el Canal de puerto 272 (Po272) es la fuente del palmo y que monitoreará todo el tráfico enviado a y recibido del FWSM en el slot 3.
Nota: Si usted atraviesa el acceso seises EtherChannel 1 GB, usted puede exceder la velocidad de paquetes (o la velocidad de entrada del sniffer) de la interfaz de destino. Si hay más tráfico en el Canal de puerto FWSM que físicamente posible en la interfaz de Ethernet GB del a1 (el índice del transmitir del puerto destino Gi5/48), la interfaz de destino puede no poder hacer salir todos los paquetes al sniffer.
Comentarios