Inleiding
Dit document beschrijft hoe u een op stroom gebaseerde Switched Port Analyzer (FSPAN) kunt gebruiken om gefilterd verkeer op Cisco Catalyst switches op te nemen die VACL-opname (VLAN Access Control List) niet ondersteunen.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco Catalyst 3750-X Series Switches
- Cisco Catalyst 3560-X Series-Switches
- Cisco Catalyst 3750-E Series Switches
- Cisco Catalyst 3560-E Series Switches
- Cisco Catalyst 2960-X Series Switches die een licentie geven
- Cisco IOS release 12.2(44)SE en hoger
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Conventies
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Procedure
Switches van Cisco Catalyst 3750-X, 3560-X, 3750-E, 3560-E en 2960-X (licentie) ondersteunen geen VACL-opname; deze switches ondersteunen echter op stroom gebaseerde SPAN en op stroom gebaseerde afstandsbediening SPAN (RSPAN), die soortgelijke resultaten als VACL-opname kan bereiken.
Op stroom gebaseerde SPAN biedt een mechanisme om gespecificeerde filters te gebruiken om de vereiste gegevens tussen eindhosts op te nemen.
U kunt drie typen FSPAN-toegangscontrolelijsten (ACL’s) aan de SPAN-sessie toevoegen:
- IPv4 FSPAN ACL - filters alleen IPv4-pakketten.
- IPv6 FSPAN ACL-filters - alleen IPv6-pakketten.
- MAC FSPAN ACL - filters alleen niet-IP-pakketten.
Security ACL’s hebben een hogere prioriteit dan FSPAN ACL’s op een switch. Als u FSPAN ACL’s toepast en vervolgens meer security ACL’s toevoegt die niet in hardwaregeheugen passen, worden FSPAN ACL’s uit geheugen verwijderd om ruimte voor de security ACL’s toe te staan. In een systeembericht wordt de gebruiker op de hoogte gesteld van deze handeling, die het laden wordt genoemd.
Wanneer er opnieuw ruimte beschikbaar is, worden FSPAN ACL’s toegevoegd aan het hardwaregeheugen op de switch. Een systeembericht waarschuwt de gebruiker van deze actie, die het opnieuw laden wordt genoemd.
3750-X switches ondersteunen maximaal twee SPAN-sessies en FSPAN kan deze beperking niet vermijden. FSPAN gebruikt dezelfde replicatie-ASIC als een regelmatige SPAN.
Dit is een voorbeeld van het gebruik van FSPAN op een 3750-X switch:
3750X(config)#ip access-list extended FILTER
3750X(config-ext-nacl)#permit ip host 192.168.1.1 host 172.16.1.1
3750X(config-ext-nacl)#exit
3750X(config)#monitor session 1 source interface gi1/0/1 both3750X
(config)#monitor session 1 destination interface gi1/0/2 3750X
(config)#monitor session 1 filter ip access-group FILTER
3750X(config)##exit3750X#show monitor session
sh mon session 1
Session 1
---------
Type : Local Session
Source Ports :
Both : Gi1/0/1Destination Ports : Gi1/0/2
Encapsulation : Native
Ingress : Disabled
IP Access-group : FILTER
Beperkingen
- FSPAN wordt niet ondersteund bij switches 3750, 3750G, 2950, 2960 en 2960-S.
- 2960-X die de beperkte licentie draait, ondersteunt FSPAN alleen.
- U kunt ACL’s slechts aan één SPAN- of RSPAN-sessie tegelijk toevoegen.
- Wanneer er geen FSPAN ACL’s zijn aangesloten, is FSPAN uitgeschakeld en wordt al het verkeer naar de SPAN-doelpoorten gekopieerd.
- Als ten minste één FSPAN ACL is aangesloten, is FSPAN ingeschakeld.
- Wanneer u een lege FSPAN ACL aan een SPAN-sessie toevoegt, filtert het geen pakketten en wordt al het verkeer gevolgd.
- Catalyst 3750 poorten kunnen in een FSPAN-sessie als doelpoorten worden toegevoegd.
- Op VLAN gebaseerde FSPAN-sessies kunnen niet worden geconfigureerd op een stack die Catalyst 3750 switches omvat.
- EtherChannel wordt niet ondersteund in een FSPAN-sessie.
- FSPAN ACL’s met TCP-vlaggen of het logsleutelwoord worden niet ondersteund.
- Poortgebaseerde FSPAN-sessies kunnen worden geconfigureerd op een stack die Catalyst 3750 switches omvat zolang de sessie alleen Catalyst 3750-E poorten als bronpoorten bevat. Als de sessie Catalyst 3750 poorten als bronpoorten heeft, wordt de opdracht FSPAN ACL afgewezen.
Gerelateerde informatie