Introduction
Este documento descreve como usar um analisador de porta comutada baseado em fluxo (FSPAN) para capturar o tráfego filtrado em switches Cisco Catalyst que não suportam a captura da lista de controle de acesso VLAN (VACL - VLAN Access Control List).
Prerequisites
Requirements
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Switches Cisco Catalyst 3750-X Series
- Switches Cisco Catalyst 3560-X Series
- Switches Cisco Catalyst 3750-E Series
- Cisco Catalyst 3560-E Series Switches
- Switches Cisco Catalyst 2960-X Series que executam licença completa
- Cisco IOS® versão 12.2(44)SE e posterior
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Conventions
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Procedimento
Os switches Cisco Catalyst 3750-X, 3560-X, 3750-E, 3560-E e 2960-X (licença de instalação) não suportam captura de VACL; no entanto, esses switches suportam SPAN baseado em fluxo e SPAN remoto baseado em fluxo (RSPAN - Flow-Based Remote SPAN), que podem alcançar resultados semelhantes à captura de VACL.
O SPAN baseado em fluxo fornece um mecanismo para usar filtros especificados para capturar os dados necessários entre hosts finais.
Você pode anexar três tipos de listas de controle de acesso (ACLs) de FSPAN à sessão de SPAN:
- ACL de FSPAN IPv4 - filtra somente pacotes IPv4.
- ACL IPv6 FSPAN- filtra somente pacotes IPv6.
- MAC FSPAN ACL - filtra somente pacotes não IP.
As ACLs de segurança têm prioridade mais alta do que as ACLs de FSPAN em um switch. Se você aplicar ACLs de FSPAN e, em seguida, adicionar mais ACLs de segurança que não podem caber na memória do hardware, as ACLs de FSPAN serão removidas da memória para permitir espaço para as ACLs de segurança. Uma mensagem do sistema notifica o usuário sobre essa ação, chamada de descarga.
Quando houver espaço disponível novamente, as ACLs de FSPAN serão adicionadas de volta à memória de hardware no switch. Uma mensagem do sistema notifica o usuário sobre essa ação, chamada de recarregamento.
Os switches 3750-X suportam até duas sessões de SPAN, e o FSPAN não pode evitar essa limitação. O FSPAN usa o mesmo ASIC de replicação que um SPAN regular usa.
Este é um exemplo de uso de FSPAN em um switch 3750-X:
3750X(config)#ip access-list extended FILTER
3750X(config-ext-nacl)#permit ip host 192.168.1.1 host 172.16.1.1
3750X(config-ext-nacl)#exit
3750X(config)#monitor session 1 source interface gi1/0/1 both3750X
(config)#monitor session 1 destination interface gi1/0/2 3750X
(config)#monitor session 1 filter ip access-group FILTER
3750X(config)##exit3750X#show monitor session
sh mon session 1
Session 1
---------
Type : Local Session
Source Ports :
Both : Gi1/0/1Destination Ports : Gi1/0/2
Encapsulation : Native
Ingress : Disabled
IP Access-group : FILTER
Restrições
- O FSPAN não é suportado nos switches 3750, 3750G, 2950, 2960 e 2960-S.
- O 2960-X que executa a licença de instalação somente suporta FSPAN.
- Você pode anexar ACLs a apenas uma sessão de SPAN ou RSPAN por vez.
- Quando nenhuma ACL de FSPAN é conectada, o FSPAN é desabilitado e todo o tráfego é copiado para as portas de destino de SPAN.
- Quando pelo menos uma ACL FSPAN é conectada, a FSPAN é habilitada.
- Quando você conecta uma ACL de FSPAN vazia a uma sessão de SPAN, ela não filtra pacotes e todo o tráfego é monitorado.
- As portas Catalyst 3750 podem ser adicionadas como portas de destino em uma sessão de FSPAN.
- As sessões de FSPAN baseadas em VLAN não podem ser configuradas em uma pilha que inclui switches Catalyst 3750.
- Os EtherChannels não são suportados em uma sessão de FSPAN.
- ACLs FSPAN com sinalizadores TCP ou a palavra-chave log não são suportadas.
- As sessões de FSPAN baseadas em portas podem ser configuradas em uma pilha que inclui switches Catalyst 3750, desde que a sessão inclua somente portas Catalyst 3750-E como portas de origem. Se a sessão tiver qualquer porta Catalyst 3750 como portas de origem, o comando FSPAN ACL será rejeitado.
Informações Relacionadas