Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
IOS - IP Traffic Export ccnp_cch
2
Sommaire Introduction - Contenu
Restrictions pour IP Traffic Export Information sur IP Traffic Export - Avantages de IP Traffic Export Comment utiliser IP Traffic Export - Configuration de IP Traffic Export - Affichage des données de configuration de IP Traffic Export Exemples de configuration de IP Traffic Export - Configuration de l'export de trafic IP Références additionnelles - Documents liés - Standards - MIBs - RFCs ccnp_cch
3
Restrictions pour IP Traffic export
Introduction La fonctionnalité IP Traffic Export permet aux utilisateurs de configurer leur routeur pour qu'il exporte les paquets IP qui sont reçus simultanément sur plusieurs interfa- ces WAN ou LAN. Les paquets non modifiés sont exportés sur une seule interface LAN ou interface VLAN et de ce fait facilite le déploiement d'analyseurs de protocole ou d'équipements de supervision. Historique Release Modification 12.3(4)T Cette fonctionnalité a été introduite. 12.2(25)S Cette fonctionnalité a été intégrée à Cisco IOS Release 12.2(25)S. Contenu Restrictions pour IP Traffic Export Information sur IP Traffic Export Comment utiliser IP Traffic Export Exemples de configuration de IP Trafic Export Références additionnelles Restrictions pour IP Traffic export Restriction de plateforme IP Traffic Export est prévu uniquement pour les plateformes de commutation logiciel- les; les architectures distribuées ne sont pas supportées. Impact sur les performances d'acheminement de paquet IP Quand IP Traffic Export est validé, un délai est inséré sur l'interface de sortie quand les paquets sont capturés et transmis sur cette interface. Les délais augmentent avec le nombre croissant d'interfaces qui sont supervisées et le nombre croissant de hosts destination. Limitation du trafic exporté L'adresse MAC de l'équipement qui reçoit le trafic exporté doit être sur le même VLAN ou directement connecté à une des interfaces du routeur. (Utilisez la comman- de show arp pour déterminer l'adresse MAC de l'équipement qui est directement connecté à une interface). L'interface de sortie pour le trafic exporté doit être une interface Ethernet (10/100/ ). (Le trafic entrant (supervisé) peut traverser n'importe qu'elle interface) ccnp_cch
4
Information sur IP Traffic Export
Pour utiliser IP Traffic Export, vous devez comprendre le concept suivant: Avantages de IP Traffic export Avantages de IP Traffic export Déploiement IDS simplifié Sans la capacité d'exporter le trafic, la sonde IDS (Intrusion Detection System) doit être en ligne avec l'équipement de réseau pour superviser le flux de trafic. IP Traffic Export élimine la limitation de placement de la sonde en permettant aux utilisateurs de placer une sonde IDS à n'importe quel endroit dans leur réseau ou de diriger tout le trafic vers un VLAN qui est dédié à la supervision de réseau. Permettre aux utilisa- teurs de choisir l'emplacement optimal de leur sonde IDS réduit les lourdeurs de trai- tement. De même comme les traitements de paquet qui étaient d'abord faits sur l'équipement de réseau peuvent maintenant être effectués en dehors de l'équipement de réseau éli- minant ainsi le besoin de valider l'IDs avec le logiciel IOS Cisco. Avantages de la fonctionnalité IP Traffic Export Les utilisateurs peuvent configurer leur routeur pour qu'il exécute les tâches suivan- tes: Filtrer les paquets copiés via une liste de contrôle d'accès (ACL) Filtrer les paquets copiés par échantillonnage, ce qui vous permet d'exporter un paquet parmi quelques paquets par lesquels vous êtes intéressés. Utilisez cette option quand il n'est pas nécessaire d'exporter tout le trafic entrant. L'échantillon- nage est également très utile quand une interface entrante supervisée peut trans- mettre du trafic plus vite que l'interface sortante Configurer du trafic bidirectionnel sur l'interface (Par défaut, seul le trafic entrant est exporté). Comment utiliser IP Traffic Export Cette section contient les procédures suivantes: Configuration de IP Traffic Export Configuration de l'affichage de IP Traffic Export Configuration de IP Traffic Export Utilisez cette tâche pour configurer les profils IP Traffic Export ce qui permet au trafic IP d'être exporté sur une interface d'entrée et vous permet de spécifier les attributs de ccnp_cch
5
de profil telle l'interface de sortie pour l'exportation du trafic
de profil telle l'interface de sortie pour l'exportation du trafic. Note: L'exportation de paquets est effectuée avant la commutation de paquets ou le filtrage. Vue générale des profils IP Traffic Export Toutes les configurations d'export de paquet sont spécifiées via les profils IP Traffic Export lesquels sont constitués de lignes de commande liées à l'export de trafic IP. Vous pouvez configurer un routeur avec plusieurs profils d'export de trafic. (Chaque profil doit avoir un nom différent). Vous pouvez appliquer différents profils à différen- tes interfaces. Les deux profils d'export de trafic sont: Profil de configuration global qui est configuré via la commande ip traffic-export profile. Le profil de configuration sous-mode IP Traffic Export qui est configuré via une des commandes Router IP Traffic Export (RITE) - bidirectionnal, incoming, interface, mac-address et outgoing. Résumé des étapes 1. enable 2. configure terminal 3. ip traffic-export profile profile-name 4. interface interface-name 5. bidirectional 6. mac-address H.H.H 7. incoming {access-list {standard | extended | named} | sample one-in-every packet-number} 8. outgoing {access-list {standard | extended | named} | 9. exit 10. interface type number 11. ip traffic-export apply profile-name Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié. • Entrez votre mot de passe si celui-ci vous est demandé. configure terminal Routeur# configure terminal Entre en mode de configuration global. ccnp_cch
6
ccnp_cch Commande ou Action But ip traffic-export profile profile-name
Exemple: Routeur(config)# ip traffic-export profile my_rite Crée ou édite un profil IP traffic export, valide le profil sur une interface d'entrée et entre en mode de configuration RITE. interface interface-name Routeur(config-rite)# interface FastEthernet 0/1 Spécifie l'interface de sortie (supervisée) pour le trafic exporté. Note: Si vous n'entrez pas cette commande, le profil ne pourra pas connaître l'interface vers laquelle transmette le trafic capturé. bidirectional Routeur(config-rite)# bidirectional (Optionnel) Exporte le trafic IP entrant et sortant de l'interface supervisée. Note: Si cette commande n'est pas validée, seul le trafic entrant est exporté. mac-address H.H.H Routeur(config-rite)# mac-address 00a.8aab.90a0 Spécifie l'adresse destination 48-bits du host destination qui reçoit le trafic exporté. Note: Si vous n'entrez pas cette commande, le profil ne pourra pas reconnaître un host destina- tion vers lequel transmettre les paquets exportés. incoming {access-list {standard | extended | named} | sample one-in-every packet-number} Routeur(config-rite)# incoming access-list my_acl (Optionnel) Configure le filtrage pour le trafic entrant. Après avoir crée le profil via ip traffic-export profile, cette fonctionnalité est validée par défaut. outgoing {access-list {standard | extended | named} | sample one-in-every packet-number} Routeur(config-rite)# outgoing sample one-in-every 50 (Optionnel) Configure le filtrage pour le trafic exporté sortant. Note: Si vous entrez cette commande, vous devez également entrer la commande bidirectional qui valide l'exportation du trafic sortant. Toutefois, seul le trafic routé (tel le trafic de transit) est exporté; ce qui signifie que le trafic généré par l'équipement de réseau n'est pas exporté. exit Sort du mode de configuration RITE. interface type number Routeur(config)# interface FastEthernet0/0 Configure une interface et entre en mode de configuration interface. ip traffic-export apply profile-name Routeur(config-if)# ip traffic-export apply my_rite Valide l'export de trafic IP sur une interface entrante. ccnp_cch
7
ccnp_cch Conseils pour résolution de problèmes
Création d'un profil IP Traffic Export Les commandes interface et mac-address sont requises pour créer un profil avec succès. Si ces commandes ne sont pas entrées, vous recevrez le message de profil incomplet si la commande show running-config est entrée. ip traffic-export profile newone ! No outgoing interface configured ! No destination mac-address configured Application d'un profil IP Traffic Export à une interface Les messages de logging système suivants doivent apparaître immédiatement après l'activation ou la désactivation d'un profil à partir d'une interface (via la commande ip traffic-export apply profile). Profil activé %RITE-5-ACTIVATE: Activated IP traffic export on interface FastEthernet 0/0. Profil désactivé %RITE-5-DEACTIVATE: Deactivated IP traffic export on interface FastEthernet 0/0. Si vous tentez d'appliquer un profil incomplet à une interface, vous recevez le message suivant: Router(config-if)# ip traffic-export apply newone RITE: profile newone has missing outgoing interface Que faire ensuite Après avoir configuré un profil et validé le profil sur une interface entrante, vous pou- vez superviser les évènements d'export de trafic IP et vérifier vos configurations de pro- fils. Pour compléter ces étapes voir la section "Affichage des données de configuration de IP Traffic Export". Affichage des données de configuration de IP Traffic Export Cette tâche vous permet de vérifier les paramètres de IP Traffic Export tels que l'inter- face d'entrée supervisée et les informations de paquet IP entrant et sortant comme les ACLs. Vous pouvez également utiliser cette tâche pour superviser les paquets qui sont capturés et ensuite transmis sur une interface vers un host destination. Résumé des étapes 1. enable 2. debug ip traffic-export events 3. show ip traffic-export [interface interface-name | profile profile-name] ccnp_cch
8
Exemples de configuration pour IP Traffic Export
Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Entre en mode EXEC privilégié. • Entrez votre mot de passe si celui-ci est demandé. debug ip traffic-export events Routeur# debug ip traffic-export events Valide les messages de debugging pour les évène-ments de paquets de trafic IP exporté. show ip traffic-export [interface interface-name | profile profile-name] Routeur# show ip traffic-export Affiche des informations liées aux évènement du trafic IP exporté. • interface interface-name - Seules les données associées avec l'interface d'entrée supervisée sont affichées. • profile profile-name - Seules les statistiques de flux telles que les paquets exportés et le nombre d'octets sont affichés. Exemples L'extrait de sortie suivant de la commande show ip traffic-export est pour le profil "one". Cet exemple correspond à une seule interface configurée. Si plusieurs interfa- ces sont configurées, l'information affichée ci-dessous est affichée pour chaque inter- face. Router# show ip traffic-export Router IP Traffic Export Parameters Monitored Interface FastEthernet0/0 Export Interface FastEthernet0/1 Destination MAC address abfc bi-directional traffic export is off Input IP Traffic Export Information Packets/Bytes Exported 0/0 Packets Dropped 0 Sampling Rate one-in-every 1 packets No Access List configured Profile one is Active Exemples de configuration pour IP Traffic Export Cette section contient l'exemple de configuration suivant: Configuration de l'export de trafic IP ccnp_cch
9
ccnp_cch Configuration de l'export de trafic IP
La figure suivante et l'extrait de sortie de la commande show running-config illustrent comment configurer le routeur 2 pour exporter le trafic entrant venant du routeur 1 vers l'IDS. Routeur 2 Routeur 1 Routeur 3 /24 FastEthernet1/0 FastEthernet1/1 /24 FastEthernet0/1 /24 Supervise le trafic entrant sur cette interface Interface matérielle Adresse MAC Router2# show running-config Building configuration... Current configuration :2349 bytes ! Last configuration change at 20:35:39 UTC Wed Oct ! NVRAM config last updated at 20:35:39 UTC Wed Oct ! version 12.3 service timestamps debug uptime service timestamps log uptime no service password-encryption service internal service udp-small-servers hostname rite-3745 boot system flash:c3745-js-mz PI2d no logging console enable password lab no aaa new-model ip subnet-zero no ip domain lookup ip cef ccnp_cch
10
ccnp_cch ip traffic-export profile my_rite interface FastEthernet1/0
mac-address ! interface FastEthernet0/0 ip address duplex auto speed auto interface FastEthernet0/1 ip address ip traffic-export apply my_rite ip address no ip redirects no cdp enable interface FastEthernet1/1 ip address router ospf 100 log-adjacency-changes network area 0 ip http server ip classless snmp-server engineID local C1C59140 snmp-server community public RO snmp-server enable traps tty control-plane dial-peer cor custom gateway line con 0 exec-timeout 0 0 stopbits 1 line aux 0 line vty 0 4 password lab login ntp clock-period ntp server end ccnp_cch
11
Références additionnelles
Les sections suivantes fournissent des références liées à IP Traffic Export. Documents liés Sujet Titre du document Configuration IDS Chapitre "Configuring Cisco IOS Firewall Intrusion Detection System" de la section "Traffic Filtering and Firewalls" de Cisco IOS Security Configuration Guide. Configuration IP Chapitre "Configuring IP Services" de la section "IP Addressing and Services" de Cisco IOS IP Configuration Guide. Standards Standards Titre Aucun -- MIBs MIBs Lien MIB Aucune Pour localiser et télécharger les MIBs pour les plateformes sélectionnées, les releases IOC Cisco et les ensembles de fonctionnalités, utilisez Cisco MIB Locator à l'URL suivante: RFCs RFCs Titre Aucun -- ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.