6500'e çok para verdim ama SPAN Session’ım bitti!

Geçenlerde bir etkinlikte Cisco’dan Catalyst 6500 serisi ekibi yöneticilerinden birini dinleme fırsatı buldum. Abi Amerika’dan gelmiş Türkiye’ye 6500 Roadmap anlatmaya. 6500’deki yenilikler, donanım yazılım iyileştirmeleri… Teknoloji konusunda kesin konuşmamak lazım ama önümüzdeki birkaç sene daha 6500 serisi için çift yönlü local span session sayısı 2 ile sınırlı kalacak gibi gözüküyor. Span session gerek ağ monitor ya da güvenlik cihazları gerekse de problem anında müdahale konusunda sık kullandığımız bir özellik. Cisco, 6500 serisi için ödediğiniz onca paraya ve yüksek performans değerlerine oranla tabiri caizse SPAN’i koklatarak veriyor.

Olsun her şeyin çaresi var, çoğu ihtiyacımızı görecek hatta bazen daha kullanışlı olabilecek VLAN ACL(VACL) kullanarak trafiğin bir kopyasının istenilen porta yönlendirilmesi konusunda fazlasıyla bonkör Cisco. Hatta trafiğin kopyasını ileteceğiniz interface sayısında da herhangi bir kısıtlama yok! Diğer taraftan Cisco 4948E serisi fixed configuration ve 4900M serisi switchlerde bile 8 adet çift yönlü local span session yaratılabiliyor. 6500 serisi için belki de arka planda span için ciddi donanımsal kısıtlar var kim bilir? Ben bilmiyorum en azından,  yoğun bir dönemde olduğumdan da araştırma için pek vaktim yok 🙂 Bir bilen varsa yorum yaparsa çok seviniriz, Cisco Abi de pek kurcalamadı o işleri, yeni supervisor’da da 2 tane dedi geçti. Bu arada malum yeni supervisor Sup2T hakkındaki haberleri Gökhan’ın yazısında bulabilirsiniz.

Uzun zamandır yazmıyordum bunu da geyiği uzatarak yazının başında gösterdikten sonra gelelim sadete, çözüm  VLAN Access-control Lists(VACL). İhtiyacınıza göre VACL capture ya da  RSPAN ile birlikte VACL redirect özelliklerini kullanabilirsiniz. Bu yazıda VACL capture üzerinde duracağım.

VLAN Access-control List’lerin IOS komutlarında “vlan access-map” ifadesi geçtiğinden “vlan access-map” olarak da isimlendirildiğini duymuş olabilirisiniz. VACL’den bahsetmeden önce herhangi bir interface’e  uygulanmış bir ACL’nin cihazlar tarafından ne zaman ve nasıl kontrol edildiğine kısaca değinelim. Yazını geri kalan kısmında Multilayer switchlerden kısaca L3 switch olarak bahsedeceğim. L3 switchlerde fiziksel interface’lerin dışında VLAN interface’lerine(SVI) de ACL’ler uygulanabilir. İlgili network ya da VLAN’lerdeki kullanıcıların kendi networkleri dışındaki gerçekleştirdikleri her haberleşme default gateway’leri yani L3 switch’in SVI ya da routed port interface’lerinden geçer. İşte bu noktada “in” ya da “out” yönünde uygulanmış bir ACL var ise ACL yaptırımları doğrultusunda trafik drop edilir ya da trafiğe izin verilir. Fakat bu aynı VLAN ya da network’te bulunan kullanıcılar arasında bir erişim kısıtlaması uygulama ihtiyacını karşılamaz. Klasik ACL ile bu ihtiyacın karşılanması için belki de yüzlerce fiziksel switch portuna teker teker ACL’lerin uygulanması gerekir ki bu da pek mantıklı bir çözüm değildir. Buna karşın VLAN ACL’ler herhangi bir yön belirtilmeden ilgili vlan için uygulanır ve sizin belirtilen VLAN’lerdeki tüm fiziksel portlarınıza hükmetme şansını tanır. Aynı zamanda dilediğiniz trafiğin bir kopyasını istediğiniz bir porta iletebilirsiniz, güç sizde artık! He-Man vari edalardan sonra span işimizi görecek konfigürasyona geçelim.

VACL Capture Konfigürasyonu: Bu aralar çok popüler olmasa da umarım aşağıdaki konfigürasyondaki ACL isimleri başıma dert olmaz, çok içimden geldi. Gizli bir mesaj vermiyorum, açıkça ağınızdaki VoIP görüşmelerini ACL’de IP adresini belirterek dinleyebilirsiniz ama ne gerek var. Sonuçta akıl sağlığı yerinde insanların eline bir bıçak alıp herhangi birisini yaralamadığı gibi bizim de normal şartlar altında bu şekilde bir şey istemeyeceğimizi düşünüyorum. Tabii ki kalite standartları gereği görüşmeleri kayıt altına almak istemezseniz  🙂

Konfigürasyon adımları:

  1. Öncelikle kopyasını almak istediğimiz trafiği belirtmek için bir ACL tanımlayalım. İlgili IP adreslerinin çift yönlü trafiğini kopyalamak istiyorsak ACL”yi tanımlarken hem ilgili IP”ler kaynaklı hem de hedefli olan tüm paketlere izin vermeliyiz. Geri kalan tüm trafiğin iletimine izin vermek için de ayrı bir ACL tanımlayalım. İsterseniz herhangi bir filtreleme yapmadan tüm trafiği de kopyalamak isteyebilirisiniz, bunun için tüm trafiğe izin verecek bir ACL (permit ip any any)tanımlayabilirsiniz.

6500#conf t

6500(config)# ip access-list extended BOCEK
6500(config-ext-nacl)# permit ip host 10.0.0.111 any
6500(config-ext-nacl)# permit ip any host 10.0.0.111

6500(config)# ip access-list extended BIRAK_GECSIN
6500(config-ext-nacl)# permit ip any any
6500(config-ext-nacl)#exit

  1. Şimdi uygulayacağımız vlan’lerdeki trafiği kesebilmemizi ya da bir kopyasını almamızı sağlayacak “vlan access-map” leri oluşturalım. “IZLENECEK_TRAFIK” isimli access-map ile “BOCEK” ACL’sinde belirttiğimiz IP adresi kaynaklı ve hedefli trafiğe izin verirken bir kopyasının da sonraki adımda belirteceğimiz capture interface’e yollanmasını sağlayacağız. vlan access-map’lerde de ACL’lerde olduğu gibi yapacağımız yaptıktan sonra geri kalan trafiği unutmamalıyız! Geri kalan tüm trafiği “BIRAK_GECSIN” ACL’si ile tanımlıyoruz ve iletimine izin veriyoruz.

6500(config)# vlan access-map IZLENECEK_TRAFIK 10
6500(config-access-map)# match ip address BOCEK
6500(config-access-map)# action forward capture

6500(config-access-map)# vlan access-map IZLENECEK_TRAFIK 20
6500(config-access-map)# match ip address BIRAK_GECSIN
6500(config-access-map)# action forward
6500(config-access-map)# exit

3. Bu adımda istediğimiz bir interface’i capture port olarak tanımlayacağız. Capture port’un trafiğin kopyasının alındığı vlan’e atanmış ya da farklı vlan’lerden IP’ler varsa trunk olduğuna dikkat etmeliyiz. Capture port sayısında herhangi bir sınırlama yok, istediğiniz sayıda fiziksel interface’inizi capture port olarak kullanabilirsiniz.

6500(config)# int gi 8/6
6500(config-if)# switchport mode access
6500(config-if)# switchport access vlan 10
6500(config-if)# switchport capture

4. Access-map’imiz ve capture interface”imiz hazır şimdi sıra bunu istediğimiz vlan’lere uygulamaya geldi. ACL’lerden farklı olarak access-map’leri herhangi bir yönde uygulamıyoruz. Global configuration mode’da “vlan filter” komutu ile uygulanacak vlan’leri belirtiyoruz. Herhangi bir yön ya da fiziksel port belirtilmediği için ilgili vlan’e ait tüm portlar için access-map’in aktif olacaktır.

6500(config)# vlan filter IZLENECEK_TRAFIK vlan-list 10

Aşağıda aynı vlan içerisinde anahtarlanan(bridged) ve farklı bir vlan’e yönlendirilen(routed) trafiğe hangi aşamalarda VACL’lerin uygulandığını görebilirsiniz.

Şekil 1.Bridged Trafik

Şekil 2.Routed Trafik

Birkaç ufak hatırlatma…

VACL’ler öncelikli olarak VLAN içerisinde kalan trafiğin kontrolünde kullanılsa da capture özelliği ile ACL’ler tanımlanarak kolaylıkla istediğiniz IP ya da MAC adreslerinin trafiğinin bir kopyasının alınmasına imkan tanımaktadır.ACL’lerin esnek kullanımı ile farklı ihtiyaçların karşılanması mümkün olabilir. Örneğin sadece bir IP adresinin internet trafiğini ya da VoIP trafiğini kopyalamak mümkün olabilir. Diğer yandan tüm kullanıcılar için belirli bir servis ya da sunucu hedefli trafiği de izlenebilir. Son olarak bazı önemli noktalara değinelim.

! VACL’leri düzenleyip ilgili konfigurasyon modundan çıktından sonra yaptığınız değişiklikler aktifleşiyor.

!! VACL’ler işlemleri donanımsal gerçekleştiğinden anahtarlama performansına olumsuz etkisi bulunmayacaktır.

!!! Şekil 1 ve Şekil 2″de görüldüğü gibi yönlendirilen paketler için VACL”ler giriş yönünde IOS ACL”lerden önce, çıkış yönünde IOS ACL”lerden sonra devreye girerler. Eğer SVI ya da Routed interface”inizde IOS ACL tanımlı ise mutlaka göz önünde bulundurmanız gerekir. Örneğin giriş yönündeki IOS ACL ile erişimini kestiğiniz bir trafiğin farklı bir network”e yönlendirilmemesine rağmen capture porta kopyalanan trafikte gözükmesi sizi yanıltabilir.

!!!! Test yaparken trafiğin kopyasını kendime alayım  derseniz, konsol kablosu eşliğinde yerinizden  kalkmanız ya da 2. UTP”ye geçmeniz gerekebilir.  Capture interface sadece egress trafiğe izin verir, bu durumda kendi PC”nizin bağlantısını uçurmuş olursunuz 🙂 Aşağıdaki STG grafiğinde capture interface”e herhangi bir trafik girmediğini(ingress trafik) görüyorsunuz.

Bir sonraki yazıda görüşmek üzere,

Saygılar, sevgiler…

Sınmaz KETENCİ

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir