التقاط VACL لتحليل حركة المرور متعدد المستويات باستخدام برنامج Cisco Catalyst 6000/6500 الذي يعمل بنظام التشغيل CatOS

المقدمة

يقدم هذا المستند نموذجا لتكوين إستخدام ميزة منفذ التقاط قائمة التحكم في الوصول إلى شبكة VLAN (ACL) (VACL) لتحليل حركة مرور الشبكة بطريقة أكثر دقة. يعلن هذا وثيقة أيضا السمة المميز من VACL capture-port إستعمال as opposed to baser يحول محلل أيسر (SPAN) (VSPAN) إستعمال.

أحلت in order to شكلت ال VACL التقاط ميناء سمة على cisco مادة حفازة 6000/6500 أن يركض cisco ios ® برمجية، VACL التقاط ل يرتقي حركة مرور تحليل مع cisco مادة حفازة 6000/6500 يركض cisco ios برمجية.

المتطلبات الأساسية

المتطلبات

تأكد من استيفاء المتطلبات التالية قبل أن تحاول إجراء هذا التكوين:

• شبكة LAN الظاهرية—ارجع إلى بروتوكول شبكات LAN الظاهرية/توصيل شبكات LAN الظاهرية (VLAN/VTP) - مقدمة للحصول على مزيد من المعلومات.

• قوائم الوصول- ارجع إلى تكوين التحكم في الوصول للحصول على مزيد من المعلومات.

المكونات المستخدمة

أسست المعلومة في هذا وثيقة على ال cisco مادة حفازة 6506 sery مفتاح أن يركض مادة حفازة os إطلاق 8.1(2).

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

المنتجات ذات الصلة

هذا تشكيل يستطيع أيضا كنت استعملت مع cisco مادة حفازة 6000 / 6500 sery مفتاح أن يركض مادة حفازة os إطلاق 6،3 ومتأخر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

معلومات أساسية

baser فسحة بين دعامتين

فسحة بين دعامتين ينسخ حركة مرور من one or much مصدر ميناء في أي VLAN أو من one or much VLANs إلى غاية ميناء للتحليل. فسحة بين دعامتين محلي يساند مصدر ميناء، مصدر VLANs، وغاية ميناء على ال نفسه مادة حفازة 6500 sery مفتاح.

مصدر ميناء ميناء monitore لشبكة حركة مرور تحليل. مصدر VLAN VLAN monitore لشبكة حركة مرور تحليل. baser فسحة بين دعامتين (VSPAN) تحليل الشبكة حركة مرور في one or much VLANs. أنت يستطيع شكلت VSPAN كمدخل فسحة بين دعامتين، مخرج فسحة بين دعامتين، أو كلا. all the ميناء في المصدر VLANs يصبح المصدر عملياتي ميناء ل ال VSPAN جلسة. الغاية استثنيت ميناء، إن ينتسب هم إلى أي من المصدر إداري VLANs، من المصدر عملياتي. إن يضيف أنت أو أزلت الميناء من المصدر إداري VLANs، المصدر عملياتي عدلت وفقا لذلك.

guidelines ل VSPAN جلسة:

• تضمنت الشنطة ميناء بما أن المصدر ميناء ل ال VSPAN جلسة، غير أن فقط ال VLANs أن يكون في ال Admin مصدر قائمة monitore إن هذا VLANs يكون نشط للشنطة.

• ل VSPAN جلسة مع على حد سواء مدخل ومخرج فسحة بين دعامتين يشكل، النظام يعمل يؤسس على النوع مشرف محرك أن أنت تتلقى:

  • WS-X6K-SUP1A-PFC، WS-X6K-SUP1A-MSFC، WS-X6K-S1A-MSFC2، WS-X6K-S2-PFC2، WS-X6K-S1A-MSFC2، WS-SUP720، WS-SUP32-GE-3B- تتم إعادة توجيه الحزم من خلال منفذ وجهة الفسحة بين دعامتين إذا تم تبديل الحزم ال نفسه VLAN.

  • WS-X6K-sup1-2GE، WS-X6K-sup1A-2GE — تتم إعادة توجيه حزمة واحدة فقط بواسطة الفسحة بين دعامتين غاية ميناء.

• لا يتضمن داخل ميناء بما أن عملياتي مصدر ل ال VSPAN جلسة.

• عندما VLAN يكون مسح، هو أزلت من المصدر قائمة ل ال VSPAN جلسة.

• VSPAN أعجزت جلسة إن ال Admin مصدر VLANs قائمة فارغ.

• لا يسمح ال VLANs غير فعال ل VSPAN تشكيل.

• VSPAN جعلت جلسة غير فعال إن أي من المصدر VLANs يصبح ال RSPAN VLANs.

أحلت صفة المصدر VLAN ل كثير معلومة على مصدر VLANs.

VLAN ACL

يمكن لقوائم التحكم في الوصول إلى شبكة VLAN الوصول إلى التحكم في حركة المرور بكاملها. أنت يستطيع شكلت ال VACLs على المفتاح أن يطبق إلى كل ربط أن يكون وجهت داخل أو خارج VLAN أو يكون جسرت ضمن VLAN. يتم إستخدام قوائم التحكم في الوصول إلى شبكة VLAN بشكل صارم لتصفية حزمة الأمان وإعادة توجيه حركة مرور البيانات إلى منافذ محول مادية معينة. بخلاف قوائم التحكم في الوصول من Cisco IOS، لا يتم تحديد قوائم التحكم في الوصول إلى شبكة VLAN حسب الإتجاه (الإدخال أو الإخراج).

يمكنك تكوين قوائم التحكم في الوصول إلى شبكة VLAN على عناوين الطبقة 3 ل IP و IPX. ويتم التحكم في الوصول إلى جميع البروتوكولات الأخرى من خلال عناوين MAC و EtherType باستخدام قوائم التحكم في الوصول إلى شبكة MAC (VACLs). لا يتم التحكم في حركة مرور IP وحركة مرور IPX بواسطة قوائم التحكم في الوصول إلى المنفذ (MAC). تصنف جميع أنواع حركة المرور الأخرى (AppleTalk، DECnet، وما إلى ذلك) على أنها حركة مرور MAC. يتم إستخدام قوائم التحكم في الوصول إلى المنفذ (MAC) للوصول إلى حركة المرور هذه.

دعم وحدات التحكم في الوصول إلى شبكة ACE في قوائم التحكم في الوصول إلى شبكة VLAN

يحتوي VACL على قائمة مرتبة بإدخالات التحكم في الوصول (ACEs). يمكن أن تحتوي كل قائمة تحكم في الوصول إلى شبكة VACL على وحدات ACE من نوع واحد فقط. يحتوي كل إدخال تحكم في الوصول (ACE) على عدد من الحقول المتطابقة مع محتويات الحزمة. يمكن أن يكون لكل حقل قناع بت مرتبط للإشارة إلى وحدات بت ذات صلة. يتم إقران إجراء مع كل إدخال تحكم في الوصول (ACE) يصف ما يجب أن يقوم به النظام مع الحزمة عند حدوث تطابق. الإجراء يعتمد على الميزة. تدعم المحولات من السلسلة Catalyst 6500 ثلاثة أنواع من إدخالات التحكم في الوصول (ACE) في الأجهزة:

• IP ACEs

• IPX ACEs

• ACEs لشبكة الإيثرنت

يسرد هذا الجدول المعلمات المقترنة بكل نوع من أنواع ACE:

نوع ACE	TCP أو UDP	ICMP	IP آخر	IPX	Ethernet
معلمات الطبقة 4	منفذ المصدر	-	-	-	-
	مشغل المنفذ المصدر	-	-	-	-
	غاية ميناء	-	-	-	-
	مشغل منفذ الوجهة	رمز ICMP	-	-	-
	غير متوفر	نوع ICMP	غير متوفر	-	-
معلمات الطبقة 3	بايت IP إلى s	بايت IP إلى s	بايت IP إلى s	-	-
	عنوان مصدر IP	عنوان مصدر IP	عنوان مصدر IP	شبكة مصدر IPX	-
	عنوان وجهة IP	عنوان وجهة IP	عنوان وجهة IP	شبكة وجهة IP	-
	-	-	-	عقدة وجهة IP	-
	TCP أو UDP	ICMP	بروتوكول آخر	نوع حزمة IPX	-
معلمات الطبقة 2	-	-	-	-	EtherType
	-	-	-	-	عنوان مصدر الإيثرنت
	-	-	-	-	عنوان وجهة الإيثرنت

مزايا إستخدام VACL عبر إستخدام VSPAN

هناك عدة تحديد من VSPAN إستعمال ل حركة مرور تحليل:

• التقطت كل طبقة 2 حركة مرور أن يتدفق في VLAN. وهذا يزيد من كمية البيانات التي يتعين تحليلها.

• عدد الفسحة بين دعامتين جلسة أن يستطيع كنت شكلت على المادة حفازة 6500 sery مفتاح محدود. أحلت سمة خلاصة وتحديد ل كثير معلومة.

• يستقبل منفذ الوجهة نُسخًا من حركة المرور المُرسلة والمُستقبلة لكل منافذ المصدر المُراقبة. إذا تم تجاوز حد اشتراك منفذ الوجهة، يمكن أن يصبح مزدحمًا. ويمكن أن يؤثر هذا الازدحام على إعادة توجيه حركة المرور على منفذ واحد أو أكثر من منافذ المصدر.

يمكن أن تساعد ميزة منفذ التقاط VACL في التغلب على بعض هذه القيود. لم يتم تصميم قوائم التحكم في الوصول إلى شبكة VLAN في المقام الأول لمراقبة حركة المرور. ومع ذلك، مع مجموعة كبيرة من القدرة على تصنيف حركة المرور، تم إدخال ميزة Capture Port حتى يمكن أن يصبح تحليل حركة مرور الشبكة أكثر بساطة. هذا سمة من VACL التقاط ميناء إستعمال على VSPAN:

• تحليل حركة المرور متعدد المستويات

  يمكن أن تطابق قوائم التحكم في الوصول إلى شبكة VLAN استنادا إلى عنوان IP للمصدر وعنوان IP للوجهة ونوع بروتوكول الطبقة 4 ومنافذ الطبقة 4 للمصدر والوجهة ومعلومات أخرى. تجعل هذه الإمكانية قوائم التحكم في الوصول إلى شبكة VLAN مفيدة جدا لتعريف حركة المرور متعددة المستويات وتصفيتها.

• عدد جلسات العمل

  يتم فرض قوائم التحكم في الوصول إلى شبكة VLAN في الأجهزة. يعتمد عدد إدخالات التحكم في الوصول (ACEs) التي يمكن إنشاؤها على TCAM المتوفرة في المحولات.

• الاشتراك الزائد لمنفذ الوجهة

  يقلل تعريف حركة المرور متعددة المستويات عدد الإطارات التي سيتم إعادة توجيهها إلى منفذ الوجهة، وبالتالي يقلل من احتمال زيادة اشتراكها.

• الأداء

  يتم فرض قوائم التحكم في الوصول إلى شبكة VLAN في الأجهزة. لا يوجد عقوبة أداء لتطبيق قوائم التحكم في الوصول إلى شبكة VLAN على محولات Cisco Catalyst 6500 Series Switches.

التكوين

في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.

يستخدم هذا المستند التكوينات التالية:

• تشكيل مع baser فسحة بين دعامتين

• التكوين باستخدام VACL

ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم.

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة التالي:

تشكيل مع baser فسحة بين دعامتين

يسرد مثال التكوين هذا الخطوات المطلوبة لالتقاط جميع حركة مرور الطبقة 2 التي تتدفق في شبكة VLAN 11 وشبكة VLAN 12 وإرسالها إلى جهاز محلل الشبكة.

1. حدد حركة المرور المثيرة.

   في هذا مثال، هو حركة مرور أن يتدفق في VLAN 100 و VLAN 200.

   6K-CatOS> (enable) set span 11-12 3/24
   
   
   !--- where 11-12 specifies the range of source VLANs and 3/24 specify the destination port.
   
   2007 Jul 12 21:45:43 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for des
   tination port 3/24
   
   Destination     : Port 3/24
   Admin Source    : VLAN 11-12
   Oper Source     : Port 3/11-12,16/1
   Direction       : transmit/receive
   Incoming Packets: disabled
   Learning        : enabled
   Multicast       : enabled
   Filter          : -
   Status          : active
   
   6K-CatOS> (enable) 2007 Jul 12 21:45:43 %SYS-5-SPAN_CFGSTATECHG:local span sessi
   on active for destination port 3/24

   مع هذا، نسخت كل الطبقة 2 حركة مرور أن ينتسب إلى VLAN 11 و VLAN 12 وأرسلت إلى ميناء 3/24.

2. دققت ك فسحة بين دعامتين تشكيل مع العرض فسحة بين دعامتين all أمر.

   6K-CatOS> (enable) show span all
   
   Destination     : Port 3/24
   Admin Source    : VLAN 11-12
   Oper Source     : Port 3/11-12,16/1
   Direction       : transmit/receive
   Incoming Packets: disabled
   Learning        : enabled
   Multicast       : enabled
   Filter          : -
   Status          : active
   
   
   Total local span sessions:  1
   
   No remote span session configured
   6K-CatOS> (enable)

التكوين باستخدام VACL

في مثال التكوين هذا، هناك متطلبات متعددة من مسؤول الشبكة:

• يلزم التقاط حركة مرور HTTP من مجموعة من البيئات المضيفة (10.12.12.128/25) في شبكة VLAN رقم 12 إلى خادم محدد (10.11.11.100) في شبكة VLAN 11.

• multicast مستعمل مخطط بيانات بروتوكول (UDP) حركة مرور في ال transmit إتجاه معد ل ل مجموعة عنوان 239.0.0.100 يحتاج أن يكون قبض من VLAN 11.

1. حدد حركة المرور المثيرة باستخدام قوائم التحكم في الوصول (ACLs) الأمنية. تذكر أن تذكر التقاط الكلمة الأساسية لجميع إدخالات التحكم في الوصول (ACEs) المعرفة.

   6K-CatOS> (enable) set security acl ip HttpUdp_Acl permit tcp 
   10.12.12.128 0.0.0.127 host 10.11.11.100 eq www capture 
   
   !--- Command wrapped to the second line.
   
   HttpUdp_Acl editbuffer modified. Use 'commit' command to apply changes.
   
   6K-CatOS> (enable) set security acl ip HttpUdp_Acl permit udp any host 
   239.0.0.100 capture
   HttpUdp_Acl editbuffer modified. Use 'commit' command to apply changes.

2. تحقق مما إذا كان تكوين ACE صحيحا وبترتيب صحيح.

   6K-CatOS> (enable) show security acl info HttpUdp_Acl editbuffer
   set security acl ip HttpUdp_Acl
   ---------------------------------------------------
   1. permit tcp 10.12.12.128 0.0.0.127 host 10.11.11.100 eq 80 capture
   2. permit udp any host 239.0.0.100 capture
   ACL HttpUdp_Acl Status: Not Committed
   6K-CatOS> (enable)

3. قم بإلزام قائمة التحكم في الوصول (ACL) بالأجهزة.

   6K-CatOS> (enable) commit security acl HttpUdp_Acl
   
   ACL commit in progress.
   
   ACL 'HttpUdp_Acl' successfully committed.
   6K-CatOS> (enable)

4. تحقق من حالة قائمة التحكم في الوصول (ACL).

   6K-CatOS> (enable) show security acl info HttpUdp_Acl editbuffer
   set security acl ip HttpUdp_Acl
   ---------------------------------------------------
   1. permit tcp 10.12.12.128 0.0.0.127 host 10.11.11.100 eq 80 capture
   2. permit udp any host 239.0.0.100 capture
   ACL HttpUdp_Acl Status: Committed
   6K-CatOS> (enable)

5. تطبيق خريطة الوصول إلى شبكة VLAN على شبكات VLAN المناسبة.

   6K-CatOS> (enable) set security acl map HttpUdp_Acl ?
     <vlans>                    Vlan(s) to be mapped to ACL
   6K-CatOS> (enable) set security acl map HttpUdp_Acl 11
   
   Mapping in progress.
   
   ACL HttpUdp_Acl successfully mapped to VLAN 11.
   6K-CatOS> (enable)

6. تحقق من قائمة التحكم في الوصول (ACL) لتعيين شبكة VLAN.

   6K-CatOS> (enable) show security acl map HttpUdp_Acl
   
   ACL HttpUdp_Acl is mapped to VLANs:
   11
   6K-CatOS> (enable)

7. شكلت ال capture ميناء.

   6K-CatOS> (enable) set vlan 11 3/24
   
   VLAN  Mod/Ports
   ---- -----------------------
   11    3/11,3/24
   6K-CatOS> (enable)
   
   
   6K-CatOS> (enable) set security acl capture-ports 3/24
   
   Successfully set 3/24 to capture ACL traffic.
   6K-CatOS> (enable)

   ملاحظة: إذا تم تعيين قائمة التحكم في الوصول على شبكات VLAN متعددة، فيجب تكوين منفذ الالتقاط لجميع شبكات VLAN هذه. in order to جعلت ال capture ميناء يسمح يتعدد VLANs، شكلت الميناء كشنطة وسمحت فقط VLANs يعين إلى ال ACL. على سبيل المثال، إذا تم تعيين قائمة التحكم في الوصول على شبكات VLAN أرقام 11 و 12، فأكمل التكوين.

   6K-CatOS> (enable) clear trunk 3/24 1-10,13-1005,1025-4094
   
   6K-CatOS> (enable) set trunk 3/24 on dot1q 11-12
   
   6K-CatOS> (enable) set security acl capture-ports 3/24
   
   

8. دققت ال capture ميناء تشكيل.

   6K-CatOS> (enable) show security acl capture-ports
   ACL Capture Ports: 3/24
   6K-CatOS> (enable)

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

تدعم أداة مترجم الإخراج (للعملاءالمسجلين فقط) بعض أوامر show. استخدم أداة مترجم الإخراج (OIT) لعرض تحليل مُخرَج الأمر show .

• إظهار معلومات قائمة التحكم في الوصول (ACL) للأمان— يعرض محتويات قائمة التحكم في الوصول إلى شبكة VACL التي تم تكوينها حاليا أو الالتزام بها للمرة الأخيرة لذاكرة NVRAM والأجهزة.

  6K-CatOS> (enable) show security acl info HttpUdp_Acl
  
  set security acl ip HttpUdp_Acl
  ---------------------------------------------------
  1. permit tcp 10.12.12.128 0.0.0.127 host 10.11.11.100 eq 80 capture
  2. permit udp any host 239.0.0.100 capture
  6K-CatOS> (enable)

• show security acl map— يعرض تخطيط قائمة التحكم في الوصول إلى شبكة VLAN أو قائمة التحكم في الوصول إلى منفذ ل ACL أو المنفذ أو شبكة VLAN معينة.

  6K-CatOS> (enable) show security acl map all
  ACL Name                         Type Vlans
  -------------------------------- ---- -----
  HttpUdp_Acl                         IP   11
  6K-CatOS> (enable)

• show security acl capture-ports— يعرض قائمة منافذ الالتقاط.

  6K-CatOS> (enable) show security acl capture-ports
  ACL Capture Ports: 3/24
  6K-CatOS> (enable)

استكشاف الأخطاء وإصلاحها

لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.

معلومات ذات صلة

• التقاط VACL لتحليل حركة المرور متعدد المستويات باستخدام Cisco Catalyst 6000/6500 التي تشغل برنامج Cisco IOS Software
• تكوين التحكم في الوصول - دليل تكوين البرنامج Catalyst 6500 Series Software، الإصدار 8.6
• صفحات دعم منتجات شبكة LAN
• صفحة دعم تحويل شبكة LAN
• الدعم التقني والمستندات - Cisco Systems