Flow-gebaseerde SPAN-alternatief voor VACL-opname

Downloadopties

  • PDF     (85.2 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (85.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (68.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:8 mei 2013
Document-id:116133

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u een op stroom gebaseerde Switched Port Analyzer (FSPAN) kunt gebruiken om gefilterd verkeer op Cisco Catalyst switches op te nemen die VACL-opname (VLAN Access Control List) niet ondersteunen.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco Catalyst 3750-X Series Switches
  • Cisco Catalyst 3560-X Series-Switches
  • Cisco Catalyst 3750-E Series Switches
  • Cisco Catalyst 3560-E Series Switches
  • Cisco Catalyst 2960-X Series Switches die een licentie geven
  • Cisco IOS release 12.2(44)SE en hoger

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Procedure

Switches van Cisco Catalyst 3750-X, 3560-X, 3750-E, 3560-E en 2960-X (licentie) ondersteunen geen VACL-opname; deze switches ondersteunen echter op stroom gebaseerde SPAN en op stroom gebaseerde afstandsbediening SPAN (RSPAN), die soortgelijke resultaten als VACL-opname kan bereiken.

Op stroom gebaseerde SPAN biedt een mechanisme om gespecificeerde filters te gebruiken om de vereiste gegevens tussen eindhosts op te nemen.

U kunt drie typen FSPAN-toegangscontrolelijsten (ACL’s) aan de SPAN-sessie toevoegen:

  • IPv4 FSPAN ACL - filters alleen IPv4-pakketten.
  • IPv6 FSPAN ACL-filters - alleen IPv6-pakketten.
  • MAC FSPAN ACL - filters alleen niet-IP-pakketten.

Security ACL’s hebben een hogere prioriteit dan FSPAN ACL’s op een switch. Als u FSPAN ACL’s toepast en vervolgens meer security ACL’s toevoegt die niet in hardwaregeheugen passen, worden FSPAN ACL’s uit geheugen verwijderd om ruimte voor de security ACL’s toe te staan. In een systeembericht wordt de gebruiker op de hoogte gesteld van deze handeling, die het laden wordt genoemd.

Wanneer er opnieuw ruimte beschikbaar is, worden FSPAN ACL’s toegevoegd aan het hardwaregeheugen op de switch. Een systeembericht waarschuwt de gebruiker van deze actie, die het opnieuw laden wordt genoemd.

3750-X switches ondersteunen maximaal twee SPAN-sessies en FSPAN kan deze beperking niet vermijden. FSPAN gebruikt dezelfde replicatie-ASIC als een regelmatige SPAN.

Dit is een voorbeeld van het gebruik van FSPAN op een 3750-X switch:

3750X(config)#ip access-list extended FILTER
3750X(config-ext-nacl)#permit ip host 192.168.1.1 host 172.16.1.1
3750X(config-ext-nacl)#exit
3750X(config)#monitor session 1 source interface gi1/0/1 both3750X
(config)#monitor session 1 destination interface gi1/0/2 3750X
(config)#monitor session 1 filter ip access-group FILTER

3750X(config)##exit3750X#show monitor session
sh mon session  1
Session 1
---------
Type                   : Local Session
Source Ports           :
    Both               : Gi1/0/1Destination Ports      : Gi1/0/2
    Encapsulation      : Native
          Ingress      : Disabled
IP Access-group        : FILTER

Beperkingen

  • FSPAN wordt niet ondersteund bij switches 3750, 3750G, 2950, 2960 en 2960-S.
  • 2960-X die de beperkte licentie draait, ondersteunt FSPAN alleen.
  • U kunt ACL’s slechts aan één SPAN- of RSPAN-sessie tegelijk toevoegen.
  • Wanneer er geen FSPAN ACL’s zijn aangesloten, is FSPAN uitgeschakeld en wordt al het verkeer naar de SPAN-doelpoorten gekopieerd.
  • Als ten minste één FSPAN ACL is aangesloten, is FSPAN ingeschakeld.
  • Wanneer u een lege FSPAN ACL aan een SPAN-sessie toevoegt, filtert het geen pakketten en wordt al het verkeer gevolgd.
  • Catalyst 3750 poorten kunnen in een FSPAN-sessie als doelpoorten worden toegevoegd.
  • Op VLAN gebaseerde FSPAN-sessies kunnen niet worden geconfigureerd op een stack die Catalyst 3750 switches omvat.
  • EtherChannel wordt niet ondersteund in een FSPAN-sessie.
  • FSPAN ACL’s met TCP-vlaggen of het logsleutelwoord worden niet ondersteund.
  • Poortgebaseerde FSPAN-sessies kunnen worden geconfigureerd op een stack die Catalyst 3750 switches omvat zolang de sessie alleen Catalyst 3750-E poorten als bronpoorten bevat. Als de sessie Catalyst 3750 poorten als bronpoorten heeft, wordt de opdracht FSPAN ACL afgewezen.

Gerelateerde informatie

TAC Authored

Bijgedragen door Cisco-engineers

  • Shashank Singh
    Cisco TAC Engineer.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten