Introduction
Ce document décrit comment utiliser un analyseur de port commuté basé sur le flux (FSPAN) afin de capturer le trafic filtré sur les commutateurs Cisco Catalyst qui ne prennent pas en charge la capture de liste de contrôle d'accès VLAN (VACL).
Conditions préalables
Conditions requises
Aucune spécification déterminée n'est requise pour ce document.
Components Used
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Commutateurs Cisco Catalyst, série 3750-X
- Commutateurs Cisco Catalyst, série 3560-X
- Commutateurs Cisco Catalyst, série 3750-E
- Commutateurs Cisco Catalyst, série 3560-E
- Commutateurs de la gamme Cisco Catalyst 2960-X qui exécutent une licence Iplite
- Cisco IOS® version 12.2(44)SE et ultérieure
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Conventions
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Procédure
Les commutateurs Cisco Catalyst 3750-X, 3560-X, 3750-E, 3560-E et 2960-X (licence iplite) ne prennent pas en charge la capture VACL ; cependant, ces commutateurs prennent en charge la fonctionnalité SPAN basée sur le flux et la fonctionnalité RSPAN (Stream-Based Remote SPAN), qui peuvent obtenir des résultats similaires à ceux de la capture VACL.
La fonctionnalité SPAN basée sur les flux fournit un mécanisme permettant d'utiliser des filtres spécifiés afin de capturer les données requises entre les hôtes finaux.
Vous pouvez associer trois types de listes de contrôle d'accès FSPAN à la session SPAN :
- IPv4 FSPAN ACL : filtre uniquement les paquets IPv4.
- IPv6 FSPAN ACL : filtre uniquement les paquets IPv6.
- MAC FSPAN ACL : filtre uniquement les paquets non IP.
Les listes de contrôle d’accès de sécurité ont une priorité plus élevée que les listes de contrôle d’accès FSPAN sur un commutateur. Si vous appliquez des listes de contrôle d'accès FSPAN, puis ajoutez d'autres listes de contrôle d'accès de sécurité qui ne peuvent pas s'insérer dans la mémoire matérielle, les listes de contrôle d'accès FSPAN sont supprimées de la mémoire afin de laisser de l'espace aux listes de contrôle d'accès de sécurité. Un message système informe l'utilisateur de cette action, appelée déchargement.
Lorsque de l’espace est à nouveau disponible, les listes de contrôle d’accès FSPAN sont ajoutées à la mémoire matérielle du commutateur. Un message système informe l'utilisateur de cette action, appelée rechargement.
Les commutateurs 3750-X prennent en charge jusqu'à deux sessions SPAN et FSPAN ne peut pas éviter cette limitation. FSPAN utilise le même ASIC de réplication qu'un SPAN classique.
Voici un exemple d'utilisation FSPAN sur un commutateur 3750-X :
3750X(config)#ip access-list extended FILTER
3750X(config-ext-nacl)#permit ip host 192.168.1.1 host 172.16.1.1
3750X(config-ext-nacl)#exit
3750X(config)#monitor session 1 source interface gi1/0/1 both3750X
(config)#monitor session 1 destination interface gi1/0/2 3750X
(config)#monitor session 1 filter ip access-group FILTER
3750X(config)##exit3750X#show monitor session
sh mon session 1
Session 1
---------
Type : Local Session
Source Ports :
Both : Gi1/0/1Destination Ports : Gi1/0/2
Encapsulation : Native
Ingress : Disabled
IP Access-group : FILTER
Restrictions
- La fonctionnalité FSPAN n'est pas prise en charge sur les commutateurs 3750, 3750G, 2950, 2960 et 2960-S.
- 2960-X qui exécute la licence iplite prend uniquement en charge FSPAN.
- Vous pouvez joindre des listes de contrôle d’accès à une seule session SPAN ou RSPAN à la fois.
- Lorsqu'aucune liste de contrôle d'accès FSPAN n'est connectée, FSPAN est désactivé et tout le trafic est copié vers les ports de destination SPAN.
- Lorsqu'au moins une liste de contrôle d'accès FSPAN est connectée, la fonctionnalité FSPAN est activée.
- Lorsque vous joignez une liste de contrôle d'accès FSPAN vide à une session SPAN, elle ne filtre pas les paquets et tout le trafic est surveillé.
- Les ports Catalyst 3750 peuvent être ajoutés en tant que ports de destination dans une session FSPAN.
- Les sessions FSPAN basées sur VLAN ne peuvent pas être configurées sur une pile qui inclut des commutateurs Catalyst 3750.
- Les EtherChannels ne sont pas pris en charge dans une session FSPAN.
- Les listes de contrôle d'accès FSPAN avec des indicateurs TCP ou le mot clé log ne sont pas pris en charge.
- Les sessions FSPAN basées sur les ports peuvent être configurées sur une pile qui inclut les commutateurs Catalyst 3750 tant que la session inclut uniquement les ports Catalyst 3750-E comme ports source. Si la session comporte des ports Catalyst 3750 comme ports source, la commande de liste de contrôle d'accès FSPAN est rejetée.
Informations connexes