FWSM流量捕获产品技术说明

简介

本文描述如何监控从防火墙服务模块发送对和接收的流量(FWSM)。在Cisco Catalyst 6500/Cisco 7600系列路由器平台上，有能使用重定向流量到活动的一个目的地端口例如捕获或发射到其他物理安全设备的两交换端口分析器(SPAN)会话(例如入侵检测系统)。亦称SPAN会话是监控会话。

先决条件

要求

Cisco 建议您了解以下主题：

• 网络安全
• 与数据捕获(嗅探器)的熟悉

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Cisco Catalyst 6500/7600系列交换机
• Cisco Catalyst 6500/Cisco 7600系列Supervisor引擎720
• 思科FWSM

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的信息，请参阅 Cisco 技术提示规则。

SPAN反射器

一些服务模块，例如FWSM，使用他们的一两个监控会话所有服务模块为了与在Supervisor的ASIC联络。此通信路径启用组播数据流，以及要求中央重写引擎的其他流量，将交换的，当egressing FWSM或其他服务模块时。默认情况下此种会话叫作SPAN反射器和启用。SPAN反射器要求，如果交换机用途分配了(交叉模块) EtherChannel;一分布式EtherChannel存在，当端口信道有被捆绑，并且发怒多个线路卡的多个接口。

注意：可适应安全工具服务模块(ASA-SM)不要求SPAN反射器，因此您能禁用反射器，如果其他服务模块不要求它。

第二会话可以用于其他监控会话，例如信息包探测。

请使用all命令的show monitor session为了发现监控会话的状况;正在寻找服务模块会话作为类型。

6513#sh monitor sess all  Session 1  ---------  Type                   : Local Session  Source Ports           :     Both              : Po272  Destination Ports      : Gi13/13    Session 2  ---------  Type                   : Service Module Session  Modules allowed        : 1-13  Modules active         : 1,3  BPDUs allowed          : Yes

FWSM在交换机背板的流量捕获

请使用一个监控会话为了跨过发送并且从在内部背板接口的FWSM接收的流量。在本例中，会话1设置到/从FWSM探测流量。

步骤 1：确定FWSM使用的端口通道

FWSM通常使用第的一内部端口信道数270或更加高。请使用show etherchannel summary命令为了确定哪个端口是在使用中。

6513#show etherchannel summary   Flags:          D - down        P - bundled in port-channel          I - stand-alone s - suspended          H - Hot-standby (LACP only)          R - Layer3      S - Layer2          U - in use      f - failed to allocate aggregator          M - not in use, minimum links not met          u - unsuitable for bundling          w - waiting to be aggregated  Number of channel-groups in use: 10  Number of aggregators:           10    Group  Port-channel  Protocol    Ports  ------+-------------+-----------+-----------------------------------------------  1      Po1(SD)         LACP      Gi5/7(D)   Gi5/8(D)     2      Po2(SD)          -          3      Po3(SD)          -          22     Po22(SU)        LACP      Gi5/23(P)  Gi5/24(P)    105    Po105(SU)       LACP      Fa2/25(w)  Fa2/26(P)    106    Po106(SU)       LACP      Fa2/27(P)  Fa2/28(P)    223    Po223(SD)       LACP      Gi5/39(I)  Gi5/40(I)    224    Po224(SD)       LACP      Gi5/41(I)  Gi5/42(I)    270    Po270(SU)        -        Gi1/1(P)   Gi1/2(P)   Gi1/3(P)   Gi1/4(P)
                                 Gi1/5(P)   Gi1/6(P)     272    Po272(SU)        -        Gi3/1(P) Gi3/2(P) Gi3/3(P) Gi3/4(P) Gi3/5(P) Gi3/6(P)  

在本例中，端口通道ID 272为在slot3的FWSM分配。FWSM连接对交换机背板通过六1 GB端口，被捆绑到一内部EtherChannel。

步骤 2：定义源和目的接口

请使用监控会话1源接口和监控会话1目的地接口命令为了定义监控会话的源和目的接口。在本例中，源接口是端口通道272 (如识别在步骤1)和目的地接口是端口千兆位5/48一个物理嗅探器设备将连接的地方。

monitor session 1 source interface po272
monitor session 1 destination interface gig5/48

步骤 3：验证监控会话

请使用show monitor session 1命令为了验证监控会话。

6513# show monitor session 1

Session 1
---------
Type               : Local Session
Source Ports       : 
  Both             : Po272
Destination Ports  : Gi5/48

输出显示端口通道272 (Po272)是间距来源，并且将监控从在slot3的FWSM发送对和接收的所有流量。

注意：如果跨过六端口1 GB EtherChannel，您可以超出数据包速率(或嗅探器输入速率)目的地接口。如果比物理的可能的在一个1 GB以太网接口(目的地端口Gi5/48)的有在FWSM端口通道的更多流量发送速度，目的地接口可能不能输出所有数据包到嗅探器。

相关信息

• Catalyst 6500版本12.2SXF和重建软件配置指南：本地SPAN、远程SPAN (RSPAN)和被封装的RSPAN
• 技术支持和文档 - Cisco Systems