Dieses Dokument enthält eine Beispielkonfiguration für die Verwendung der Funktion zum Erfassen des VLAN-ACL-Ports (VACL) für eine detailliertere Analyse des Netzwerkverkehrs. In diesem Dokument werden auch die Vorteile der Verwendung von VACL-Erfassungsports im Vergleich zur VLAN-basierten SPAN-Nutzung (VSPAN) erläutert.
Informationen zur Konfiguration der VACL-Capture-Port-Funktion auf Cisco Catalyst 6000/6500, die Catalyst OS-Software ausführt, finden Sie unter VACL Capture for Granular Traffic Analysis with Cisco Catalyst 6000/6500 Running CatOS Software.
Stellen Sie sicher, dass Sie diese Anforderungen erfüllen, bevor Sie versuchen, diese Konfiguration durchzuführen:
IP-Zugriffslisten: Weitere Informationen finden Sie unter Konfigurieren von IP-Zugriffslisten.
Virtuelles LAN: Weitere Informationen finden Sie unter Virtual LANs/VLAN Trunking Protocol (VLANs/VTP) - Einführung.
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen: Cisco Catalyst Switches der Serie 6506 mit Cisco IOS® Softwareversion 12.2(18)SXF8
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Diese Konfiguration kann auch mit Cisco Catalyst Switches der Serien 6000/6500 verwendet werden, auf denen die Cisco IOS Software Version 12.1(13)E und höher ausgeführt wird.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).
SPAN (Switched Port ANalyzer) kopiert den Datenverkehr von einem oder mehreren Quell-Ports in einem VLAN oder von einem oder mehreren VLANs zur Analyse an einen Zielport. Das lokale SPAN unterstützt Quellports, Quell-VLANs und Zielports auf demselben Catalyst Switch der Serie 6500.
Ein Quell-VLAN ist ein VLAN, das für die Analyse des Netzwerkverkehrs überwacht wird. VLAN-basiertes SPAN (VSPAN) verwendet ein VLAN als SPAN-Quelle. Alle Ports in den Quell-VLANs werden zu Quell-Ports. Ein Quellport ist ein Port, der für die Analyse des Netzwerkverkehrs überwacht wird. Trunk-Ports können als Quell-Ports konfiguriert und mit Nicht-Trunk-Quell-Ports gemischt werden, SPAN kopiert die Kapselung jedoch nicht von einem Quell-Trunk-Port.
Bei VSPAN-Sitzungen mit sowohl Eingang als auch Ausgang werden zwei Pakete vom Zielport weitergeleitet, wenn die Pakete im gleichen VLAN geschaltet werden (eines als Eingangs- und Ausgangs-Datenverkehr vom Eingangsport und eines als Ausgangs-Datenverkehr vom Ausgangs-Port).
Das VSPAN überwacht nur den Datenverkehr, der Layer-2-Ports im VLAN verlässt oder eingeht.
Wenn Sie ein VLAN als Eingangs-Quelle konfigurieren und der Datenverkehr in das überwachte VLAN weitergeleitet wird, wird der geroutete Datenverkehr nicht überwacht, da er nie als Eingangs-Datenverkehr angezeigt wird, der in einen Layer-2-Port im VLAN eingeht.
Wenn Sie ein VLAN als Ausgangsquelle konfigurieren und der Datenverkehr aus dem überwachten VLAN weitergeleitet wird, wird der geroutete Datenverkehr nicht überwacht, da er nie als Ausgangsverkehr angezeigt wird, der einen Layer-2-Port im VLAN verlässt.
Weitere Informationen zu Quell-VLANs finden Sie unter Merkmale des Quell-VLANs.
VACLs können die Zugriffskontrolle für alle Pakete bereitstellen, die innerhalb eines VLAN überbrückt werden, in ein oder aus einem VLAN oder einer WAN-Schnittstelle geroutet werden, um die VACL-Erfassung zu ermöglichen. Im Gegensatz zu regulären Cisco IOS-Standard- oder erweiterten ACLs, die nur auf Router-Schnittstellen konfiguriert sind und nur auf geroutete Pakete angewendet werden, gelten VACLs für alle Pakete und können auf alle VLAN- oder WAN-Schnittstellen angewendet werden. VACLs werden in der Hardware verarbeitet. VACLs verwenden Cisco IOS ACLs. VACLs ignorieren alle Cisco IOS ACL-Felder, die nicht von der Hardware unterstützt werden.
Sie können VACLs für IP-, IPX- und MAC-Layer-Datenverkehr konfigurieren. Die auf WAN-Schnittstellen angewendeten VACLs unterstützen nur IP-Datenverkehr zur VACL-Erfassung.
Wenn Sie eine VACL konfigurieren und auf ein VLAN anwenden, werden alle im VLAN eingehenden Pakete mit dieser VACL abgeglichen. Wenn Sie eine VACL auf das VLAN und eine ACL auf eine geroutete Schnittstelle im VLAN anwenden, wird ein im VLAN eingehendes Paket zuerst mit der VACL abgeglichen und, falls zulässig, mit der Eingabe-ACL abgeglichen, bevor es von der gerouteten Schnittstelle verarbeitet wird. Wenn das Paket an ein anderes VLAN weitergeleitet wird, wird es zuerst mit der auf die geroutete Schnittstelle angewendeten Ausgabe-ACL überprüft, und, falls zulässig, mit der für das Ziel-VLAN konfigurierten VACL. Wenn eine VACL für einen Pakettyp konfiguriert ist und ein Paket dieses Typs nicht mit der VACL übereinstimmt, wird die Standardaktion abgelehnt. Dies sind die Richtlinien für die Erfassungsoption in VACL.
Der Erfassungsport darf kein ATM-Port sein.
Der Erfassungsport muss sich im Spanning-Tree-Weiterleitungsstatus für das VLAN befinden.
Der Switch hat keine Einschränkung hinsichtlich der Anzahl der Erfassungsports.
Der Erfassungsport erfasst nur Pakete, die von der konfigurierten ACL zugelassen sind.
Capture-Ports übertragen nur Datenverkehr, der zum Capture-Port-VLAN gehört. Konfigurieren Sie den Erfassungsport als Trunk, der die erforderlichen VLANs überträgt, um Datenverkehr zu vielen VLANs zu erfassen.
Vorsicht: Eine falsche Kombination von ACLs kann den Datenverkehrsfluss stören. Seien Sie besonders vorsichtig, wenn Sie die ACLs in Ihrem Gerät konfigurieren.
Hinweis: VACL wird auf einem Catalyst Switch der Serie 6000 nicht von IPv6 unterstützt. Mit anderen Worten: Die Umleitung der VLAN-ACLs und IPv6 sind nicht kompatibel, sodass die ACL nicht für den IPv6-Datenverkehr verwendet werden kann.
Die VSPAN-Nutzung für die Datenverkehrsanalyse unterliegt mehreren Einschränkungen:
Der gesamte Layer-2-Datenverkehr, der in einem VLAN fließt, wird erfasst. Dies erhöht die Menge der zu analysierenden Daten.
Die Anzahl der SPAN-Sitzungen, die auf den Catalyst Switches der Serie 6500 konfiguriert werden können, ist begrenzt. Weitere Informationen finden Sie unter Lokale SPAN- und RSPAN-Sitzungsbeschränkungen.
Ein Zielport empfängt Kopien von gesendetem und empfangenen Datenverkehr für alle überwachten Quell-Ports. Wenn ein Zielport überbelegt ist, kann dieser überlastet werden. Diese Überlastung kann die Weiterleitung des Datenverkehrs an einem oder mehreren Quellports beeinträchtigen.
Die Funktion "VACL Capture Port" kann dabei helfen, einige dieser Einschränkungen zu überwinden. VACLs sind in erster Linie nicht für die Überwachung des Datenverkehrs konzipiert, aber mit einer breiten Palette von Funktionen zur Klassifizierung des Datenverkehrs wurde die Capture Port-Funktion eingeführt, um die Analyse des Netzwerkverkehrs zu vereinfachen. Dies sind die Vorteile der VACL Capture Port-Nutzung gegenüber VSPAN:
Präzise Datenverkehrsanalyse
VACLs können auf Basis der Quell-IP-Adresse, der Ziel-IP-Adresse, des Layer-4-Protokolltyps, der Quell- und Ziel-Layer-4-Ports und anderer Informationen übereinstimmen. Diese Funktion macht VACLs sehr nützlich für die präzise Identifizierung und Filterung von Datenverkehr.
Anzahl der Sitzungen
VACLs werden in der Hardware durchgesetzt. Die Anzahl der ACE-Einträge (Access Control Entries), die erstellt werden können, hängt von dem in den Switches verfügbaren TCAM ab.
Überbelegung des Zielports
Die präzise Identifizierung des Datenverkehrs verringert die Anzahl der Frames, die an den Zielport weitergeleitet werden, und minimiert so die Wahrscheinlichkeit einer Überbelegung.
Leistung
VACLs werden in der Hardware durchgesetzt. Bei der Anwendung von VACLs auf ein VLAN der Cisco Catalyst Switches der Serie 6500 treten keine Leistungseinbußen auf.
In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.
Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Dokument verwendeten Befehlen zu erhalten.
In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:
In diesem Konfigurationsbeispiel werden die erforderlichen Schritte aufgelistet, um den gesamten Layer-2-Datenverkehr zu erfassen, der in VLAN 100 und VLAN 200 fließt, und diese an das Network Analyzer-Gerät zu senden.
Geben Sie den interessanten Datenverkehr an. In unserem Beispiel fließt der Datenverkehr in VLAN 100 und VLAN 200.
Cat6K-IOS#conf t Cat6K-IOS(config)#monitor session 50 source vlan 100 , 200 ? , Specify another range of VLANs - Specify a range of VLANs both Monitor received and transmitted traffic rx Monitor received traffic only tx Monitor transmitted traffic only <cr> !--- Default is to monitor both received and transmitted traffic Cat6K-IOS(config)#monitor session 50 source vlan 100 , 200 Cat6K-IOS(config)#
Geben Sie den Zielport für den erfassten Datenverkehr an.
Cat6K-IOS(config)#monitor session 50 destination interface Fa3/30 Cat6K-IOS(config)#
Dadurch wird der gesamte Layer-2-Datenverkehr, der zu VLAN 100 und VLAN 200 gehört, kopiert und an Port Fa3/30 gesendet. Wenn der Zielport Teil desselben VLAN ist, dessen Datenverkehr überwacht wird, wird der Datenverkehr, der vom Zielport ausgeht, nicht erfasst.
Überprüfen Sie Ihre SPAN-Konfiguration mit dem Befehl show monitor.
Cat6K-IOS#show monitor detail Session 50 ---------- Type : Local Session Source Ports : RX Only : None TX Only : None Both : None Source VLANs : RX Only : None TX Only : None Both : 100,200 Source RSPAN VLAN : None Destination Ports : Fa3/30 Filter VLANs : None Dest RSPAN VLAN : None
In diesem Konfigurationsbeispiel gibt es mehrere Anforderungen des Netzwerkadministrators:
HTTP-Datenverkehr von einem Hosts (10.20.20.128/25) in VLAN 200 zu einem bestimmten Server (10.10.10.101) in VLAN 100 muss erfasst werden.
Der Multicast User Datagram Protocol (UDP)-Datenverkehr in der Übertragungsrichtung, der für die Gruppenadresse 239.0.0.100 bestimmt ist, muss aus VLAN 100 erfasst werden.
Definieren Sie den interessanten Datenverkehr, der erfasst und zur Analyse gesendet werden soll.
Cat6K-IOS(config)#ip access-list extended HTTP_UDP_TRAFFIC Cat6K-IOS(config-ext-nacl)#permit tcp 10.20.20.128 0.0.0.127 host 10.10.10.101 eq www Cat6K-IOS(config-ext-nacl)#permit udp any host 239.0.0.100 Cat6K-IOS(config-ext-nacl)#exit
Definieren Sie eine übergeordneten ACL, um den gesamten anderen Datenverkehr zuzuordnen.
Cat6K-IOS(config)#ip access-list extended ALL_TRAFFIC
Cat6K-IOS(config-ext-nacl)#permit ip any any
Cat6K-IOS(config-ext-nacl)#exit
Definieren Sie die VLAN-Zugriffskarte.
Cat6K-IOS(config)#vlan access-map HTTP_UDP_MAP 10 Cat6K-IOS(config-access-map)#match ip address HTTP_UDP_TRAFFIC Cat6K-IOS(config-access-map)#action forward capture Cat6K-IOS(config)#vlan access-map HTTP_UDP_MAP 20 Cat6K-IOS(config-access-map)#match ip address ALL_TRAFFIC Cat6K-IOS(config-access-map)#action forward Cat6K-IOS(config-access-map)#exit
Wenden Sie die VLAN-Zugriffskarte auf die entsprechenden VLANs an.
Cat6K-IOS(config)#vlan filter HTTP_UDP_MAP vlan-list 100 !--- Here 100 is the ID of VLAN on which the VACL is applied.
Konfigurieren Sie den Capture-Port.
Cat6K-IOS(config)#int fa3/30 Cat6K-IOS(config-if)#switchport capture allowed vlan ? WORD VLAN IDs of the allowed VLANs when this po add add VLANs to the current list all all VLANs except all VLANs except the following remove remove VLANs from the current list Cat6K-IOS(config-if)#switchport capture allowed vlan 100 Cat6K-IOS(config-if)#switchport capture Cat6K-IOS(config-if)#exit
In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Das Output Interpreter Tool (nur registrierte Kunden) (OIT) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der Ausgabe des Befehls show anzuzeigen.
show vlan access-map - Zeigt den Inhalt der VLAN Access Maps an.
Cat6K-IOS#show vlan access-map HTTP_UDP_MAP
Vlan access-map "HTTP_UDP_MAP" 10
match: ip address HTTP_UDP_TRAFFIC
action: forward capture
Vlan access-map "HTTP_UDP_MAP" 20
match: ip address ALL_TRAFFIC
action: forward
show vlan filter: Zeigt Informationen zu den VLAN-Filtern an.
Cat6K-IOS#show vlan filter VLAN Map HTTP_UDP_MAP: Configured on VLANs: 100 Active on VLANs: 100
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.