VACL Capture для детального анализа трафика с помощью Cisco Catalyst 6000/6500 под управлением программного обеспечения CatOS

Содержание

Введение
Предварительные условия
Требования
Используемые компоненты
Родственные продукты
Условные обозначения
Общие сведения
На основе VLAN SPAN
ACL VLAN
Преимущества использования VACL по использованию VSPAN
Настройка
Схема сети
Конфигурация с на основе VLAN SPAN
Конфигурация с VACL
Проверка
Поиск и устранение неполадок
Сообщество Cisco Support - Избранные темы
Дополнительные сведения

Введение

Этот документ предоставляет пример конфигурации для использования Списка управления доступом VLAN (ACL) (VACL) характеристика порта Перехвата анализа сетевого трафика более гранулированным способом. Этот документ также сообщает преимущество использования порта перехвата VACL в противоположность на основе VLAN Анализатору переключателя портов (SPAN) (VSPAN) использование.

Чтобы настроить характеристику порта VACL Capture на Cisco Catalyst 6000/6500, который выполняет программное обеспечение Cisco IOS®, обратитесь к VACL Capture для Гранулированного Анализа трафика с Cisco Catalyst 6000/6500 Работающее программное обеспечение Cisco IOS.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • Виртуальная локальная сеть — Обращается к Virtual LANs/VLAN Trunking Protocol (VLANs/VTP) - Введение для получения дополнительной информации.

  • Списки доступа — Обращаются к Управлению доступом Настройки для получения дополнительной информации.

Используемые компоненты

Сведения в этом документе основываются на Cisco Catalyst 6506 Коммутаторов Серии, которые выполняют Релиз операционной системы Catalyst 8.1 (2).

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Эта конфигурация может также использоваться с Cisco Catalyst 6000 / коммутаторы серии "6500", которые выполняют Релиз операционной системы Catalyst 6.3 и позже.

Общие сведения

На основе VLAN SPAN

SPAN копирует трафик с одного или более исходных портов в любом VLAN или от одного или более VLAN до порта назначения для анализа. Локальный анализатор SPAN поддерживает исходные порты, исходные VLAN, и порты назначения на том же Catalyst 6500 Series Switch.

Исходный порт является портом, проверенным для анализа сетевого трафика. Исходный VLAN является VLAN, проверенным для анализа сетевого трафика. На основе VLAN SPAN (VSPAN) является анализом сетевого трафика в одном или более VLAN. Можно настроить VSPAN как SPAN для внешнего доступа, выходной диапазон, или обоих. Все порты в исходных VLAN становятся в рабочем состоянии исходными портами для VSPAN, открывают сеанс. Порты назначения, если они принадлежат любым из VLAN административного источника, исключены из в рабочем состоянии источника. Если вы добавляете или удаляете порты из VLAN административного источника, в рабочем состоянии источники изменены соответственно.

Инструкции для VSPAN открывают сеанс:

  • Магистральные порты включены как исходные порты для VSPAN, открывает сеанс, но только VLAN, которые находятся в списке Административного источника, проверены, если эти VLAN активны для транка.

  • Поскольку VSPAN открывает сеанс и с входом и с настроенным выходным диапазоном, система работает на основе типа Supervisor Engine, который вы имеете:

    • Если пакеты включены тот же VLAN, WS-X6K-SUP1A-PFC, WS-X6K-SUP1A-MSFC, WS-X6K-S1A-MSFC2, WS-X6K-S2-PFC2, WS-X6K-S1A-MSFC2, WS-SUP720, WS-SUP32-GE-3B — Два пакета переданы портом назначения SPAN.

    • WS-X6K-SUP1-2GE, WS-X6K-SUP1A-2GE — Только один пакет передан портом назначения SPAN.

  • Порт для внутренней полосы связи не включен как Действующий источник для VSPAN, открывает сеанс.

  • То, когда VLAN очищен, он удален из списка источников для VSPAN, открывает сеанс.

  • Если список VLAN Административного источника пуст, сессия VSPAN отключена.

  • Неактивные VLAN не позволены для конфигурации VSPAN.

  • Сессия VSPAN сделана неактивной если любой исходных VLAN, становятся VLAN RSPAN.

ACL VLAN

VACL могут управление доступом весь трафик. Можно настроить VACL на коммутаторе для применения ко всем пакетам, которые маршрутизируются в или из VLAN или соединены в VLAN. VACL строго для трафика фильтрации пакетов и перенаправления безопасности к определенным физическим портам коммутатора. В отличие от ACL Cisco IOS, VACL не определены направлением (ввод или вывод).

Можно настроить VACL на адресах Уровня 3 для IP и IPX. Все другие протоколы являются доступом, управляемым через MAC - адреса, и Ethertype используют VACL MAC. IP - трафик и трафик IPX не являются доступом, управляемым VACL MAC. Все другие типы трафика (AppleTalk, DECnet, и т.д.) классифицированы как трафик MAC. VACL MAC привыкли к управлению доступом этот трафик.

ACE, поддерживаемые в VACL

VACL содержит упорядоченный список записей управления доступом (ACE). Каждый VACL может содержать ACE только одного типа. Каждый ACE содержит много полей, с которыми совпадают против содержания пакета. Каждое поле может иметь связанную битную маску для указания, какие биты релевантны. Действие привязано к каждому ACE, который описывает то, что система должна сделать с пакетом, когда происходит соответствие. Действие является зависимой характеристикой. Catalyst 6500 Series Switch поддерживают три типа ACE в аппаратных средствах:

  • ACE IP

  • ACE IPX

  • ACE Ethernet

Эта таблица приводит параметры, которые привязаны к каждому первоклассному типу:

Первоклассный Type TCP или UDP? Icmp Другой IP IPX: Ethernet
Параметры Уровня 4 Исходный порт - - - -
Исходный оператор порта - - - -
Номер порта - - - -
Оператор порта назначения Icmp-code - - -
Н/Д Icmp-type Н/Д - -
Параметры Уровня 3 Байт ToS IP Байт ToS IP Байт ToS IP - -
IP - адрес источника IP - адрес источника IP - адрес источника Исходная сеть IPX -
IP - адрес назначения (DA) IP - адрес назначения (DA) IP - адрес назначения (DA) Сеть IP - адреса назначения -
- - - Узел IP - адреса назначения -
TCP или UDP? Icmp Другой протокол Type пакета IPX -
Параметры Уровня 2 - - - - Ethertype
- - - - Исходный адрес Ethernet
- - - - Адрес назначения (DA) Ethernet

Преимущества использования VACL по использованию VSPAN

Существует несколько ограничений использования VSPAN для анализа трафика:

  • Весь трафик Уровня 2, который течет в VLAN, перехвачен. Это увеличивает объем данных, который будет проанализирован.

  • Количество Сессий SPAN, которые могут быть настроены на Catalyst 6500 Series Switch, ограничено. Обратитесь к своей компании по аутсорсингу ит для получения дополнительной информации.

  • Порт назначения получает копии отправленного и полученного трафика со всех отслеживаемых портов-источников.Если лимит порта назначения превышен, он может быть перегружен.Такая перегрузка может повлиять на передачу трафика на один или более одного порта-источника.

Характеристика порта VACL Capture может помочь преодолевать некоторые из этих ограничений. VACL прежде всего не разработаны для мониторинга трафика. Однако с широким диапазоном возможности классифицировать трафик, характеристика порта Перехвата была представлена так, чтобы анализ сетевого трафика мог стать намного более простым. Они - преимущества использования порта VACL Capture по VSPAN:

  • Гранулированный анализ трафика

    VACL могут совпасть на основе IP - адреса источника, IP - адреса назначения, типа протокола Уровня 4, источника и уровня назначения 4 порта, и другая информация. Эта возможность делает VACL очень полезными для гранулированной идентификации трафика и фильтрования.

  • Количество сессий

    VACL принуждены в аппаратных средствах. Количество ACE, которые могут быть созданы, зависит от TCAM, доступного в коммутаторах.

  • Превышение подписки порта назначения

    Гранулированная идентификация трафика сокращает количество кадров, которые будут отправлены порту назначения и таким образом минимизирует вероятность их превышения подписки.

  • Пропускная способность

    VACL принуждены в аппаратных средствах. Нет никакого снижения производительности для приложения VACL к VLAN на Cisco Catalyst 6500 Series Switches.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

В настоящем документе используются следующие конфигурации.

  • Конфигурация с на основе VLAN SPAN

  • Конфигурация с VACL

Примечание. Используйте Средство поиска команд (только для зарегистрированных клиентов) для получения дополнительной информации по используемым в данном разделе командам.

Схема сети

В этом документе использованы параметры данной сети.

vacl-catos6k1.gif

Конфигурация с на основе VLAN SPAN

Этот пример конфигурации перечисляет шаги, требуемые перехватывать весь трафик Уровня 2, который течет в VLAN 11 и VLAN 12, и передайте им устройству Анализатора сети.

  1. Задайте представляющий интерес трафик.

    В данном примере это - трафик, который течет в VLAN 100 и VLAN 200.

    6K-CatOS> (enable) set span 11-12 3/24
    
    
    !--- where 11-12 specifies the range of source VLANs
    and 3/24 specify the destination port.
    
    2007 Jul 12 21:45:43 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for des
    tination port 3/24
    
    Destination     : Port 3/24
    Admin Source    : VLAN 11-12
    Oper Source     : Port 3/11-12,16/1
    Direction       : transmit/receive
    Incoming Packets: disabled
    Learning        : enabled
    Multicast       : enabled
    Filter          : -
    Status          : active
    
    6K-CatOS> (enable) 2007 Jul 12 21:45:43 %SYS-5-SPAN_CFGSTATECHG:local span sessi
    on active for destination port 3/24

    С этим весь трафик Уровня 2, который принадлежит VLAN 11 и VLAN 12, скопирован и передан порту 3/24.

  2. Проверьте, что ваша Конфигурация SPAN с показом охватывает всю команду.

    6K-CatOS> (enable) show span all
    
    Destination     : Port 3/24
    Admin Source    : VLAN 11-12
    Oper Source     : Port 3/11-12,16/1
    Direction       : transmit/receive
    Incoming Packets: disabled
    Learning        : enabled
    Multicast       : enabled
    Filter          : -
    Status          : active
    
    
    Total local span sessions:  1
    
    No remote span session configured
    6K-CatOS> (enable)

Конфигурация с VACL

В этом примере конфигурации от администратора сети существуют многократные требования:

  • Трафик HTTP из диапазона хостов (10.12.12.128/25) в VLAN 12 к определенному серверу (10.11.11.100) в VLAN 11 должен быть перехвачен.

  • Протокол передачи дэйтаграмм Многоадресного пользователя (UDP) трафик в направлении передачи предназначил для группового адреса 239.0.0.100 потребности, которые будут перехвачены от VLAN 11.

  1. Определите представляющий интерес трафик используя Списки управления доступом. Не забудьте упоминать перехват ключевого слова для всех определенных ACE.

    6K-CatOS> (enable) set security acl ip HttpUdp_Acl permit tcp 
    10.12.12.128 0.0.0.127 host 10.11.11.100 eq www capture 
    
    !--- Command wrapped to the second line.
    
    HttpUdp_Acl editbuffer modified. Use 'commit' command to apply changes.
    
    6K-CatOS> (enable) set security acl ip HttpUdp_Acl permit udp any host 
    239.0.0.100 capture
    HttpUdp_Acl editbuffer modified. Use 'commit' command to apply changes.
  2. Проверьте, корректна ли первоклассная конфигурация и в надлежащем порядке.

    6K-CatOS> (enable) show security acl info HttpUdp_Acl editbuffer
    set security acl ip HttpUdp_Acl
    ---------------------------------------------------
    1. permit tcp 10.12.12.128 0.0.0.127 host 10.11.11.100 eq 80 capture
    2. permit udp any host 239.0.0.100 capture
    ACL HttpUdp_Acl Status: Not Committed
    6K-CatOS> (enable)
  3. Передайте ACL аппаратным средствам.

    6K-CatOS> (enable) commit security acl HttpUdp_Acl
    
    ACL commit in progress.
    
    ACL 'HttpUdp_Acl' successfully committed.
    6K-CatOS> (enable)
  4. Проверьте статус ACL.

    6K-CatOS> (enable) show security acl info HttpUdp_Acl editbuffer
    set security acl ip HttpUdp_Acl
    ---------------------------------------------------
    1. permit tcp 10.12.12.128 0.0.0.127 host 10.11.11.100 eq 80 capture
    2. permit udp any host 239.0.0.100 capture
    ACL HttpUdp_Acl Status: Committed
    6K-CatOS> (enable)
  5. Примените карту Доступа к VLAN с соответствующими VLAN.

    6K-CatOS> (enable) set security acl map HttpUdp_Acl ?
      <vlans>                    Vlan(s) to be mapped to ACL
    6K-CatOS> (enable) set security acl map HttpUdp_Acl 11
    
    Mapping in progress.
    
    ACL HttpUdp_Acl successfully mapped to VLAN 11.
    6K-CatOS> (enable)
  6. Проверьте ACL к сопоставлению VLAN.

    6K-CatOS> (enable) show security acl map HttpUdp_Acl
    
    ACL HttpUdp_Acl is mapped to VLANs:
    11
    6K-CatOS> (enable)
  7. Настройте порт перехвата.

    6K-CatOS> (enable) set vlan 11 3/24
    
    VLAN  Mod/Ports
    ---- -----------------------
    11    3/11,3/24
    6K-CatOS> (enable)
    
    
    6K-CatOS> (enable) set security acl capture-ports 3/24
    
    Successfully set 3/24 to capture ACL traffic.
    6K-CatOS> (enable)

    Примечание. Если ACL сопоставлен с несколько интерфейсов VLAN, то порт перехвата должен быть настроен ко всем тем VLAN. Чтобы заставить порт перехвата позволить несколько интерфейсов VLAN, настроить порт как транк и позволить только VLAN, сопоставленные с ACL. Например, если ACL сопоставлен с VLAN 11 и 12, то завершите конфигурацию.

    6K-CatOS> (enable) clear trunk 3/24 1-10,13-1005,1025-4094
    
    6K-CatOS> (enable) set trunk 3/24 on dot1q 11-12
    
    6K-CatOS> (enable) set security acl capture-ports 3/24
    
    
  8. Проверьте конфигурацию порта перехвата.

    6K-CatOS> (enable) show security acl capture-ports
    ACL Capture Ports: 3/24
    6K-CatOS> (enable)

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Интерпретатор выходных данных (OIT), доступный только специалистам по обслуживанию компьютеров пользователям, поддерживает некоторые команды show.Посредством OIT можно анализировать выходные данные команд show.

  • информация acl безопасности показа — Отображает содержание VACL, которое в настоящее время настроено или в последний раз предано NVRAM и аппаратным средствам.

    6K-CatOS> (enable) show security acl info HttpUdp_Acl
    
    set security acl ip HttpUdp_Acl
    ---------------------------------------------------
    1. permit tcp 10.12.12.128 0.0.0.127 host 10.11.11.100 eq 80 capture
    2. permit udp any host 239.0.0.100 capture
    6K-CatOS> (enable)
  • карта acl безопасности показа — Отображает ACL К VLAN или ACL К СОПОСТАВЛЕНИЮ ПОРТОВ для определенного ACL, порта, или VLAN.

    6K-CatOS> (enable) show security acl map all
    ACL Name                         Type Vlans
    -------------------------------- ---- -----
    HttpUdp_Acl                         IP   11
    6K-CatOS> (enable)
  • порты перехвата acl безопасности показа — Отображают список портов перехвата.

    6K-CatOS> (enable) show security acl capture-ports
    ACL Capture Ports: 3/24
    6K-CatOS> (enable)

 

Заказать звонок

Пожалуйста, оставьте свои контакты