SPAN basé sur le flux Alternative à la capture VACL

Options de téléchargement

  • PDF     (85.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (84.6 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (67.8 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:8 mai 2013
ID du document:116133

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment utiliser un analyseur de port commuté basé sur le flux (FSPAN) afin de capturer le trafic filtré sur les commutateurs Cisco Catalyst qui ne prennent pas en charge la capture de liste de contrôle d'accès VLAN (VACL).

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Commutateurs Cisco Catalyst, série 3750-X
  • Commutateurs Cisco Catalyst, série 3560-X
  • Commutateurs Cisco Catalyst, série 3750-E
  • Commutateurs Cisco Catalyst, série 3560-E
  • Commutateurs de la gamme Cisco Catalyst 2960-X qui exécutent une licence Iplite
  • Cisco IOS® version 12.2(44)SE et ultérieure

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Procédure

Les commutateurs Cisco Catalyst 3750-X, 3560-X, 3750-E, 3560-E et 2960-X (licence iplite) ne prennent pas en charge la capture VACL ; cependant, ces commutateurs prennent en charge la fonctionnalité SPAN basée sur le flux et la fonctionnalité RSPAN (Stream-Based Remote SPAN), qui peuvent obtenir des résultats similaires à ceux de la capture VACL.

La fonctionnalité SPAN basée sur les flux fournit un mécanisme permettant d'utiliser des filtres spécifiés afin de capturer les données requises entre les hôtes finaux.

Vous pouvez associer trois types de listes de contrôle d'accès FSPAN à la session SPAN :

  • IPv4 FSPAN ACL : filtre uniquement les paquets IPv4.
  • IPv6 FSPAN ACL : filtre uniquement les paquets IPv6.
  • MAC FSPAN ACL : filtre uniquement les paquets non IP.

Les listes de contrôle d’accès de sécurité ont une priorité plus élevée que les listes de contrôle d’accès FSPAN sur un commutateur. Si vous appliquez des listes de contrôle d'accès FSPAN, puis ajoutez d'autres listes de contrôle d'accès de sécurité qui ne peuvent pas s'insérer dans la mémoire matérielle, les listes de contrôle d'accès FSPAN sont supprimées de la mémoire afin de laisser de l'espace aux listes de contrôle d'accès de sécurité. Un message système informe l'utilisateur de cette action, appelée déchargement.

Lorsque de l’espace est à nouveau disponible, les listes de contrôle d’accès FSPAN sont ajoutées à la mémoire matérielle du commutateur. Un message système informe l'utilisateur de cette action, appelée rechargement.

Les commutateurs 3750-X prennent en charge jusqu'à deux sessions SPAN et FSPAN ne peut pas éviter cette limitation. FSPAN utilise le même ASIC de réplication qu'un SPAN classique.

Voici un exemple d'utilisation FSPAN sur un commutateur 3750-X :

3750X(config)#ip access-list extended FILTER
3750X(config-ext-nacl)#permit ip host 192.168.1.1 host 172.16.1.1
3750X(config-ext-nacl)#exit
3750X(config)#monitor session 1 source interface gi1/0/1 both3750X
(config)#monitor session 1 destination interface gi1/0/2 3750X
(config)#monitor session 1 filter ip access-group FILTER

3750X(config)##exit3750X#show monitor session
sh mon session  1
Session 1
---------
Type                   : Local Session
Source Ports           :
    Both               : Gi1/0/1Destination Ports      : Gi1/0/2
    Encapsulation      : Native
          Ingress      : Disabled
IP Access-group        : FILTER

Restrictions

  • La fonctionnalité FSPAN n'est pas prise en charge sur les commutateurs 3750, 3750G, 2950, 2960 et 2960-S.
  • 2960-X qui exécute la licence iplite prend uniquement en charge FSPAN.
  • Vous pouvez joindre des listes de contrôle d’accès à une seule session SPAN ou RSPAN à la fois.
  • Lorsqu'aucune liste de contrôle d'accès FSPAN n'est connectée, FSPAN est désactivé et tout le trafic est copié vers les ports de destination SPAN.
  • Lorsqu'au moins une liste de contrôle d'accès FSPAN est connectée, la fonctionnalité FSPAN est activée.
  • Lorsque vous joignez une liste de contrôle d'accès FSPAN vide à une session SPAN, elle ne filtre pas les paquets et tout le trafic est surveillé.
  • Les ports Catalyst 3750 peuvent être ajoutés en tant que ports de destination dans une session FSPAN.
  • Les sessions FSPAN basées sur VLAN ne peuvent pas être configurées sur une pile qui inclut des commutateurs Catalyst 3750.
  • Les EtherChannels ne sont pas pris en charge dans une session FSPAN.
  • Les listes de contrôle d'accès FSPAN avec des indicateurs TCP ou le mot clé log ne sont pas pris en charge.
  • Les sessions FSPAN basées sur les ports peuvent être configurées sur une pile qui inclut les commutateurs Catalyst 3750 tant que la session inclut uniquement les ports Catalyst 3750-E comme ports source. Si la session comporte des ports Catalyst 3750 comme ports source, la commande de liste de contrôle d'accès FSPAN est rejetée.

Informations connexes

TAC Authored

Contribution d’experts de Cisco

  • Shashank Singh
    Cisco TAC Engineer.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits