يقدم هذا المستند نموذجا لتكوين إستخدام ميزة منفذ التقاط قائمة التحكم في الوصول إلى شبكة VLAN (ACL) (VACL) لتحليل حركة مرور الشبكة بطريقة أكثر دقة. يعلن هذا وثيقة أيضا السمة المميز من VACL capture-port إستعمال as opposed to baser يحول محلل أيسر (SPAN) (VSPAN) إستعمال.
أحلت in order to شكلت ال VACL التقاط ميناء سمة على cisco مادة حفازة 6000/6500 أن يركض cisco ios ® برمجية، VACL التقاط ل يرتقي حركة مرور تحليل مع cisco مادة حفازة 6000/6500 يركض cisco ios برمجية.
تأكد من استيفاء المتطلبات التالية قبل أن تحاول إجراء هذا التكوين:
شبكة LAN الظاهرية—ارجع إلى بروتوكول شبكات LAN الظاهرية/توصيل شبكات LAN الظاهرية (VLAN/VTP) - مقدمة للحصول على مزيد من المعلومات.
قوائم الوصول- ارجع إلى تكوين التحكم في الوصول للحصول على مزيد من المعلومات.
أسست المعلومة في هذا وثيقة على ال cisco مادة حفازة 6506 sery مفتاح أن يركض مادة حفازة os إطلاق 8.1(2).
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
هذا تشكيل يستطيع أيضا كنت استعملت مع cisco مادة حفازة 6000 / 6500 sery مفتاح أن يركض مادة حفازة os إطلاق 6،3 ومتأخر.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
فسحة بين دعامتين ينسخ حركة مرور من one or much مصدر ميناء في أي VLAN أو من one or much VLANs إلى غاية ميناء للتحليل. فسحة بين دعامتين محلي يساند مصدر ميناء، مصدر VLANs، وغاية ميناء على ال نفسه مادة حفازة 6500 sery مفتاح.
مصدر ميناء ميناء monitore لشبكة حركة مرور تحليل. مصدر VLAN VLAN monitore لشبكة حركة مرور تحليل. baser فسحة بين دعامتين (VSPAN) تحليل الشبكة حركة مرور في one or much VLANs. أنت يستطيع شكلت VSPAN كمدخل فسحة بين دعامتين، مخرج فسحة بين دعامتين، أو كلا. all the ميناء في المصدر VLANs يصبح المصدر عملياتي ميناء ل ال VSPAN جلسة. الغاية استثنيت ميناء، إن ينتسب هم إلى أي من المصدر إداري VLANs، من المصدر عملياتي. إن يضيف أنت أو أزلت الميناء من المصدر إداري VLANs، المصدر عملياتي عدلت وفقا لذلك.
guidelines ل VSPAN جلسة:
تضمنت الشنطة ميناء بما أن المصدر ميناء ل ال VSPAN جلسة، غير أن فقط ال VLANs أن يكون في ال Admin مصدر قائمة monitore إن هذا VLANs يكون نشط للشنطة.
ل VSPAN جلسة مع على حد سواء مدخل ومخرج فسحة بين دعامتين يشكل، النظام يعمل يؤسس على النوع مشرف محرك أن أنت تتلقى:
WS-X6K-SUP1A-PFC، WS-X6K-SUP1A-MSFC، WS-X6K-S1A-MSFC2، WS-X6K-S2-PFC2، WS-X6K-S1A-MSFC2، WS-SUP720، WS-SUP32-GE-3B- تتم إعادة توجيه الحزم من خلال منفذ وجهة الفسحة بين دعامتين إذا تم تبديل الحزم ال نفسه VLAN.
WS-X6K-sup1-2GE، WS-X6K-sup1A-2GE — تتم إعادة توجيه حزمة واحدة فقط بواسطة الفسحة بين دعامتين غاية ميناء.
لا يتضمن داخل ميناء بما أن عملياتي مصدر ل ال VSPAN جلسة.
عندما VLAN يكون مسح، هو أزلت من المصدر قائمة ل ال VSPAN جلسة.
VSPAN أعجزت جلسة إن ال Admin مصدر VLANs قائمة فارغ.
لا يسمح ال VLANs غير فعال ل VSPAN تشكيل.
VSPAN جعلت جلسة غير فعال إن أي من المصدر VLANs يصبح ال RSPAN VLANs.
أحلت صفة المصدر VLAN ل كثير معلومة على مصدر VLANs.
يمكن لقوائم التحكم في الوصول إلى شبكة VLAN الوصول إلى التحكم في حركة المرور بكاملها. أنت يستطيع شكلت ال VACLs على المفتاح أن يطبق إلى كل ربط أن يكون وجهت داخل أو خارج VLAN أو يكون جسرت ضمن VLAN. يتم إستخدام قوائم التحكم في الوصول إلى شبكة VLAN بشكل صارم لتصفية حزمة الأمان وإعادة توجيه حركة مرور البيانات إلى منافذ محول مادية معينة. بخلاف قوائم التحكم في الوصول من Cisco IOS، لا يتم تحديد قوائم التحكم في الوصول إلى شبكة VLAN حسب الإتجاه (الإدخال أو الإخراج).
يمكنك تكوين قوائم التحكم في الوصول إلى شبكة VLAN على عناوين الطبقة 3 ل IP و IPX. ويتم التحكم في الوصول إلى جميع البروتوكولات الأخرى من خلال عناوين MAC و EtherType باستخدام قوائم التحكم في الوصول إلى شبكة MAC (VACLs). لا يتم التحكم في حركة مرور IP وحركة مرور IPX بواسطة قوائم التحكم في الوصول إلى المنفذ (MAC). تصنف جميع أنواع حركة المرور الأخرى (AppleTalk، DECnet، وما إلى ذلك) على أنها حركة مرور MAC. يتم إستخدام قوائم التحكم في الوصول إلى المنفذ (MAC) للوصول إلى حركة المرور هذه.
دعم وحدات التحكم في الوصول إلى شبكة ACE في قوائم التحكم في الوصول إلى شبكة VLAN
يحتوي VACL على قائمة مرتبة بإدخالات التحكم في الوصول (ACEs). يمكن أن تحتوي كل قائمة تحكم في الوصول إلى شبكة VACL على وحدات ACE من نوع واحد فقط. يحتوي كل إدخال تحكم في الوصول (ACE) على عدد من الحقول المتطابقة مع محتويات الحزمة. يمكن أن يكون لكل حقل قناع بت مرتبط للإشارة إلى وحدات بت ذات صلة. يتم إقران إجراء مع كل إدخال تحكم في الوصول (ACE) يصف ما يجب أن يقوم به النظام مع الحزمة عند حدوث تطابق. الإجراء يعتمد على الميزة. تدعم المحولات من السلسلة Catalyst 6500 ثلاثة أنواع من إدخالات التحكم في الوصول (ACE) في الأجهزة:
IP ACEs
IPX ACEs
ACEs لشبكة الإيثرنت
يسرد هذا الجدول المعلمات المقترنة بكل نوع من أنواع ACE:
نوع ACE | TCP أو UDP | ICMP | IP آخر | IPX | Ethernet |
---|---|---|---|---|---|
معلمات الطبقة 4 | منفذ المصدر | - | - | - | - |
مشغل المنفذ المصدر | - | - | - | - | |
غاية ميناء | - | - | - | - | |
مشغل منفذ الوجهة | رمز ICMP | - | - | - | |
غير متوفر | نوع ICMP | غير متوفر | - | - | |
معلمات الطبقة 3 | بايت IP إلى s | بايت IP إلى s | بايت IP إلى s | - | - |
عنوان مصدر IP | عنوان مصدر IP | عنوان مصدر IP | شبكة مصدر IPX | - | |
عنوان وجهة IP | عنوان وجهة IP | عنوان وجهة IP | شبكة وجهة IP | - | |
- | - | - | عقدة وجهة IP | - | |
TCP أو UDP | ICMP | بروتوكول آخر | نوع حزمة IPX | - | |
معلمات الطبقة 2 | - | - | - | - | EtherType |
- | - | - | - | عنوان مصدر الإيثرنت | |
- | - | - | - | عنوان وجهة الإيثرنت |
هناك عدة تحديد من VSPAN إستعمال ل حركة مرور تحليل:
التقطت كل طبقة 2 حركة مرور أن يتدفق في VLAN. وهذا يزيد من كمية البيانات التي يتعين تحليلها.
عدد الفسحة بين دعامتين جلسة أن يستطيع كنت شكلت على المادة حفازة 6500 sery مفتاح محدود. أحلت سمة خلاصة وتحديد ل كثير معلومة.
يستقبل منفذ الوجهة نُسخًا من حركة المرور المُرسلة والمُستقبلة لكل منافذ المصدر المُراقبة. إذا تم تجاوز حد اشتراك منفذ الوجهة، يمكن أن يصبح مزدحمًا. ويمكن أن يؤثر هذا الازدحام على إعادة توجيه حركة المرور على منفذ واحد أو أكثر من منافذ المصدر.
يمكن أن تساعد ميزة منفذ التقاط VACL في التغلب على بعض هذه القيود. لم يتم تصميم قوائم التحكم في الوصول إلى شبكة VLAN في المقام الأول لمراقبة حركة المرور. ومع ذلك، مع مجموعة كبيرة من القدرة على تصنيف حركة المرور، تم إدخال ميزة Capture Port حتى يمكن أن يصبح تحليل حركة مرور الشبكة أكثر بساطة. هذا سمة من VACL التقاط ميناء إستعمال على VSPAN:
تحليل حركة المرور متعدد المستويات
يمكن أن تطابق قوائم التحكم في الوصول إلى شبكة VLAN استنادا إلى عنوان IP للمصدر وعنوان IP للوجهة ونوع بروتوكول الطبقة 4 ومنافذ الطبقة 4 للمصدر والوجهة ومعلومات أخرى. تجعل هذه الإمكانية قوائم التحكم في الوصول إلى شبكة VLAN مفيدة جدا لتعريف حركة المرور متعددة المستويات وتصفيتها.
عدد جلسات العمل
يتم فرض قوائم التحكم في الوصول إلى شبكة VLAN في الأجهزة. يعتمد عدد إدخالات التحكم في الوصول (ACEs) التي يمكن إنشاؤها على TCAM المتوفرة في المحولات.
الاشتراك الزائد لمنفذ الوجهة
يقلل تعريف حركة المرور متعددة المستويات عدد الإطارات التي سيتم إعادة توجيهها إلى منفذ الوجهة، وبالتالي يقلل من احتمال زيادة اشتراكها.
الأداء
يتم فرض قوائم التحكم في الوصول إلى شبكة VLAN في الأجهزة. لا يوجد عقوبة أداء لتطبيق قوائم التحكم في الوصول إلى شبكة VLAN على محولات Cisco Catalyst 6500 Series Switches.
في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.
يستخدم هذا المستند التكوينات التالية:
ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم.
يستخدم هذا المستند إعداد الشبكة التالي:
يسرد مثال التكوين هذا الخطوات المطلوبة لالتقاط جميع حركة مرور الطبقة 2 التي تتدفق في شبكة VLAN 11 وشبكة VLAN 12 وإرسالها إلى جهاز محلل الشبكة.
حدد حركة المرور المثيرة.
في هذا مثال، هو حركة مرور أن يتدفق في VLAN 100 و VLAN 200.
6K-CatOS> (enable) set span 11-12 3/24
!--- where 11-12 specifies the range of source VLANs and 3/24 specify the destination port.
2007 Jul 12 21:45:43 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for des
tination port 3/24
Destination : Port 3/24
Admin Source : VLAN 11-12
Oper Source : Port 3/11-12,16/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
6K-CatOS> (enable) 2007 Jul 12 21:45:43 %SYS-5-SPAN_CFGSTATECHG:local span sessi
on active for destination port 3/24
مع هذا، نسخت كل الطبقة 2 حركة مرور أن ينتسب إلى VLAN 11 و VLAN 12 وأرسلت إلى ميناء 3/24.
دققت ك فسحة بين دعامتين تشكيل مع العرض فسحة بين دعامتين all أمر.
6K-CatOS> (enable) show span all Destination : Port 3/24 Admin Source : VLAN 11-12 Oper Source : Port 3/11-12,16/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active Total local span sessions: 1 No remote span session configured 6K-CatOS> (enable)
في مثال التكوين هذا، هناك متطلبات متعددة من مسؤول الشبكة:
يلزم التقاط حركة مرور HTTP من مجموعة من البيئات المضيفة (10.12.12.128/25) في شبكة VLAN رقم 12 إلى خادم محدد (10.11.11.100) في شبكة VLAN 11.
multicast مستعمل مخطط بيانات بروتوكول (UDP) حركة مرور في ال transmit إتجاه معد ل ل مجموعة عنوان 239.0.0.100 يحتاج أن يكون قبض من VLAN 11.
حدد حركة المرور المثيرة باستخدام قوائم التحكم في الوصول (ACLs) الأمنية. تذكر أن تذكر التقاط الكلمة الأساسية لجميع إدخالات التحكم في الوصول (ACEs) المعرفة.
6K-CatOS> (enable) set security acl ip HttpUdp_Acl permit tcp 10.12.12.128 0.0.0.127 host 10.11.11.100 eq www capture !--- Command wrapped to the second line. HttpUdp_Acl editbuffer modified. Use 'commit' command to apply changes. 6K-CatOS> (enable) set security acl ip HttpUdp_Acl permit udp any host 239.0.0.100 capture HttpUdp_Acl editbuffer modified. Use 'commit' command to apply changes.
تحقق مما إذا كان تكوين ACE صحيحا وبترتيب صحيح.
6K-CatOS> (enable) show security acl info HttpUdp_Acl editbuffer
set security acl ip HttpUdp_Acl
---------------------------------------------------
1. permit tcp 10.12.12.128 0.0.0.127 host 10.11.11.100 eq 80 capture
2. permit udp any host 239.0.0.100 capture
ACL HttpUdp_Acl Status: Not Committed
6K-CatOS> (enable)
قم بإلزام قائمة التحكم في الوصول (ACL) بالأجهزة.
6K-CatOS> (enable) commit security acl HttpUdp_Acl
ACL commit in progress.
ACL 'HttpUdp_Acl' successfully committed.
6K-CatOS> (enable)
تحقق من حالة قائمة التحكم في الوصول (ACL).
6K-CatOS> (enable) show security acl info HttpUdp_Acl editbuffer
set security acl ip HttpUdp_Acl
---------------------------------------------------
1. permit tcp 10.12.12.128 0.0.0.127 host 10.11.11.100 eq 80 capture
2. permit udp any host 239.0.0.100 capture
ACL HttpUdp_Acl Status: Committed
6K-CatOS> (enable)
تطبيق خريطة الوصول إلى شبكة VLAN على شبكات VLAN المناسبة.
6K-CatOS> (enable) set security acl map HttpUdp_Acl ? <vlans> Vlan(s) to be mapped to ACL 6K-CatOS> (enable) set security acl map HttpUdp_Acl 11 Mapping in progress. ACL HttpUdp_Acl successfully mapped to VLAN 11. 6K-CatOS> (enable)
تحقق من قائمة التحكم في الوصول (ACL) لتعيين شبكة VLAN.
6K-CatOS> (enable) show security acl map HttpUdp_Acl
ACL HttpUdp_Acl is mapped to VLANs:
11
6K-CatOS> (enable)
شكلت ال capture ميناء.
6K-CatOS> (enable) set vlan 11 3/24 VLAN Mod/Ports ---- ----------------------- 11 3/11,3/24 6K-CatOS> (enable) 6K-CatOS> (enable) set security acl capture-ports 3/24 Successfully set 3/24 to capture ACL traffic. 6K-CatOS> (enable)
ملاحظة: إذا تم تعيين قائمة التحكم في الوصول على شبكات VLAN متعددة، فيجب تكوين منفذ الالتقاط لجميع شبكات VLAN هذه. in order to جعلت ال capture ميناء يسمح يتعدد VLANs، شكلت الميناء كشنطة وسمحت فقط VLANs يعين إلى ال ACL. على سبيل المثال، إذا تم تعيين قائمة التحكم في الوصول على شبكات VLAN أرقام 11 و 12، فأكمل التكوين.
6K-CatOS> (enable) clear trunk 3/24 1-10,13-1005,1025-4094 6K-CatOS> (enable) set trunk 3/24 on dot1q 11-12 6K-CatOS> (enable) set security acl capture-ports 3/24
دققت ال capture ميناء تشكيل.
6K-CatOS> (enable) show security acl capture-ports ACL Capture Ports: 3/24 6K-CatOS> (enable)
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
تدعم أداة مترجم الإخراج (للعملاءالمسجلين فقط) بعض أوامر show. استخدم أداة مترجم الإخراج (OIT) لعرض تحليل مُخرَج الأمر show .
إظهار معلومات قائمة التحكم في الوصول (ACL) للأمان— يعرض محتويات قائمة التحكم في الوصول إلى شبكة VACL التي تم تكوينها حاليا أو الالتزام بها للمرة الأخيرة لذاكرة NVRAM والأجهزة.
6K-CatOS> (enable) show security acl info HttpUdp_Acl
set security acl ip HttpUdp_Acl
---------------------------------------------------
1. permit tcp 10.12.12.128 0.0.0.127 host 10.11.11.100 eq 80 capture
2. permit udp any host 239.0.0.100 capture
6K-CatOS> (enable)
show security acl map— يعرض تخطيط قائمة التحكم في الوصول إلى شبكة VLAN أو قائمة التحكم في الوصول إلى منفذ ل ACL أو المنفذ أو شبكة VLAN معينة.
6K-CatOS> (enable) show security acl map all ACL Name Type Vlans -------------------------------- ---- ----- HttpUdp_Acl IP 11 6K-CatOS> (enable)
show security acl capture-ports— يعرض قائمة منافذ الالتقاط.
6K-CatOS> (enable) show security acl capture-ports ACL Capture Ports: 3/24 6K-CatOS> (enable)
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
13-Jul-2007 |
الإصدار الأولي |