简介
本文档介绍如何使用基于流的交换端口分析器(FSPAN)来捕获不支持VLAN访问控制列表(VACL)捕获的Cisco Catalyst交换机上的已过滤流量。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科 Catalyst 3750-X 系列交换机
- 思科 Catalyst 3560-X 系列交换机
- Cisco Catalyst 3750-E 系列交换机
- Cisco Catalyst 3560-E 系列交换机
- 运行许可证的Cisco Catalyst 2960-X系列交换机
- Cisco IOS®版本12.2(44)SE及更高版本
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
步骤
Cisco Catalyst 3750-X、3560-X、3750-E、3560-E和2960-X(iplite许可证)交换机不支持VACL捕获;但是,这些交换机确实支持基于流的SPAN和基于流的远程SPAN(RSPAN),这可以获得与VACL捕获类似的结果。
基于流的SPAN提供了一种机制,可使用指定的过滤器捕获终端主机之间所需的数据。
您可以将三种类型的FSPAN访问控制列表(ACL)附加到SPAN会话:
- IPv4 FSPAN ACL — 仅过滤IPv4数据包。
- IPv6 FSPAN ACL — 仅过滤IPv6数据包。
- MAC FSPAN ACL — 仅过滤非IP数据包。
安全ACL的优先级高于交换机上的FSPAN ACL。如果应用FSPAN ACL,然后添加更多不适合硬件内存的安全ACL,则会从内存中删除FSPAN ACL,以便为安全ACL留出空间。系统消息会通知用户此操作(称为卸载)。
当空间再次可用时,FSPAN ACL将重新添加到交换机的硬件内存中。系统消息会通知用户此操作,称为重新加载。
3750-X交换机最多支持两个SPAN会话,FSPAN无法避免此限制。FSPAN使用与常规SPAN相同的复制ASIC。
以下是3750-X交换机上FSPAN使用的示例:
3750X(config)#ip access-list extended FILTER
3750X(config-ext-nacl)#permit ip host 192.168.1.1 host 172.16.1.1
3750X(config-ext-nacl)#exit
3750X(config)#monitor session 1 source interface gi1/0/1 both3750X
(config)#monitor session 1 destination interface gi1/0/2 3750X
(config)#monitor session 1 filter ip access-group FILTER
3750X(config)##exit3750X#show monitor session
sh mon session 1
Session 1
---------
Type : Local Session
Source Ports :
Both : Gi1/0/1Destination Ports : Gi1/0/2
Encapsulation : Native
Ingress : Disabled
IP Access-group : FILTER
限制
- 3750、3750G、2950、2960和2960-S交换机不支持FSPAN。
- 运行iplite许可证的2960-X仅支持FSPAN。
- 一次只能将ACL连接到一个SPAN或RSPAN会话。
- 当未连接FSPAN ACL时,FSPAN将被禁用,所有流量都将复制到SPAN目标端口。
- 当至少连接一个FSPAN ACL时,FSPAN将启用。
- 将空FSPAN ACL附加到SPAN会话时,它不会过滤数据包,并且会监控所有流量。
- Catalyst 3750端口可添加为FSPAN会话中的目标端口。
- 不能在包含Catalyst 3750交换机的堆叠上配置基于VLAN的FSPAN会话。
- FSPAN会话不支持EtherChannel。
- 不支持带有TCP标志或log关键字的FSPAN ACL。
- 只要仅将Catalyst 3750-E端口作为源端口,就可以在包含Catalyst 3750交换机的堆叠上配置基于端口的FSPAN会话。如果会话有任何Catalyst 3750端口作为源端口,则FSPAN ACL命令会被拒绝。
相关信息
反馈