SPAN baseado em fluxo alternativo à captura de VACL

Opções de download

  • PDF     (86.1 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (84.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (67.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:8 de maio de 2013
ID do documento:116133

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como usar um analisador de porta comutada baseado em fluxo (FSPAN) para capturar o tráfego filtrado em switches Cisco Catalyst que não suportam a captura da lista de controle de acesso VLAN (VACL - VLAN Access Control List).

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Switches Cisco Catalyst 3750-X Series
  • Switches Cisco Catalyst 3560-X Series
  • Switches Cisco Catalyst 3750-E Series
  • Cisco Catalyst 3560-E Series Switches
  • Switches Cisco Catalyst 2960-X Series que executam licença completa
  • Cisco IOS® versão 12.2(44)SE e posterior

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Procedimento

Os switches Cisco Catalyst 3750-X, 3560-X, 3750-E, 3560-E e 2960-X (licença de instalação) não suportam captura de VACL; no entanto, esses switches suportam SPAN baseado em fluxo e SPAN remoto baseado em fluxo (RSPAN - Flow-Based Remote SPAN), que podem alcançar resultados semelhantes à captura de VACL.

O SPAN baseado em fluxo fornece um mecanismo para usar filtros especificados para capturar os dados necessários entre hosts finais.

Você pode anexar três tipos de listas de controle de acesso (ACLs) de FSPAN à sessão de SPAN:

  • ACL de FSPAN IPv4 - filtra somente pacotes IPv4.
  • ACL IPv6 FSPAN- filtra somente pacotes IPv6.
  • MAC FSPAN ACL - filtra somente pacotes não IP.

As ACLs de segurança têm prioridade mais alta do que as ACLs de FSPAN em um switch. Se você aplicar ACLs de FSPAN e, em seguida, adicionar mais ACLs de segurança que não podem caber na memória do hardware, as ACLs de FSPAN serão removidas da memória para permitir espaço para as ACLs de segurança. Uma mensagem do sistema notifica o usuário sobre essa ação, chamada de descarga.

Quando houver espaço disponível novamente, as ACLs de FSPAN serão adicionadas de volta à memória de hardware no switch. Uma mensagem do sistema notifica o usuário sobre essa ação, chamada de recarregamento.

Os switches 3750-X suportam até duas sessões de SPAN, e o FSPAN não pode evitar essa limitação. O FSPAN usa o mesmo ASIC de replicação que um SPAN regular usa.

Este é um exemplo de uso de FSPAN em um switch 3750-X:

3750X(config)#ip access-list extended FILTER
3750X(config-ext-nacl)#permit ip host 192.168.1.1 host 172.16.1.1
3750X(config-ext-nacl)#exit
3750X(config)#monitor session 1 source interface gi1/0/1 both3750X
(config)#monitor session 1 destination interface gi1/0/2 3750X
(config)#monitor session 1 filter ip access-group FILTER

3750X(config)##exit3750X#show monitor session
sh mon session  1
Session 1
---------
Type                   : Local Session
Source Ports           :
    Both               : Gi1/0/1Destination Ports      : Gi1/0/2
    Encapsulation      : Native
          Ingress      : Disabled
IP Access-group        : FILTER

Restrições

  • O FSPAN não é suportado nos switches 3750, 3750G, 2950, 2960 e 2960-S.
  • O 2960-X que executa a licença de instalação somente suporta FSPAN.
  • Você pode anexar ACLs a apenas uma sessão de SPAN ou RSPAN por vez.
  • Quando nenhuma ACL de FSPAN é conectada, o FSPAN é desabilitado e todo o tráfego é copiado para as portas de destino de SPAN.
  • Quando pelo menos uma ACL FSPAN é conectada, a FSPAN é habilitada.
  • Quando você conecta uma ACL de FSPAN vazia a uma sessão de SPAN, ela não filtra pacotes e todo o tráfego é monitorado.
  • As portas Catalyst 3750 podem ser adicionadas como portas de destino em uma sessão de FSPAN.
  • As sessões de FSPAN baseadas em VLAN não podem ser configuradas em uma pilha que inclui switches Catalyst 3750.
  • Os EtherChannels não são suportados em uma sessão de FSPAN.
  • ACLs FSPAN com sinalizadores TCP ou a palavra-chave log não são suportadas.
  • As sessões de FSPAN baseadas em portas podem ser configuradas em uma pilha que inclui switches Catalyst 3750, desde que a sessão inclua somente portas Catalyst 3750-E como portas de origem. Se a sessão tiver qualquer porta Catalyst 3750 como portas de origem, o comando FSPAN ACL será rejeitado.

Informações Relacionadas

TAC Authored

Colaborado por engenheiros da Cisco

  • Shashank Singh
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos