IPS 5.X 이상/IDSM2:CLI 및 IDM 컨피그레이션을 사용하는 인라인 VLAN 쌍 모드 예
목차
소개
물리적 인터페이스에서 쌍으로 VLAN을 연결하는 것을 인라인 VLAN 쌍 모드라고 합니다.페어링된 VLAN 중 하나에서 수신된 패킷은 분석되고 쌍의 다른 VLAN에 전달됩니다.인라인 VLAN 쌍은 NM-CIDS, AIP-SSM-10 및 AIP-SSM-20을 제외한 IPS(Intrusion Prevention System) 5.1과 호환되는 모든 센서에서 지원됩니다.
인라인 VLAN 쌍 모드는 센싱 인터페이스가 802.1q 트렁크 포트로 동작하고 센서가 트렁크에서 VLAN 쌍 간에 VLAN 브리징을 수행하는 활성 센싱 모드입니다.즉, 센싱 인터페이스에 연결된 스위치가 트렁크 모드여야 합니다.
센서는 각 쌍의 각 VLAN에서 수신하는 트래픽을 검사하며, 쌍의 다른 VLAN에 있는 패킷을 전달하거나 침입 시도가 탐지된 경우 패킷을 삭제할 수 있습니다.각 센싱 인터페이스에서 최대 255개의 VLAN 쌍을 동시에 연결하도록 IPS 센서를 구성할 수 있습니다.센서는 수신된 각 패킷의 802.1q 헤더에 있는 VLAN ID 필드를 센서가 패킷을 전달하는 이그레스 VLAN의 ID로 교체합니다.센서는 인라인 VLAN 쌍에 할당되지 않은 VLAN에서 수신된 모든 패킷을 삭제합니다.
참고: IPS-4260의 경우 인라인 VLAN 쌍에서는 fail-open 하드웨어 바이패스가 지원되지 않습니다.자세한 내용은 하드웨어 바이패스 구성 제한 사항을 참조하십시오.
사전 요구 사항
요구 사항
이 문서에 대한 특정 요건이 없습니다.
사용되는 구성 요소
이 문서의 정보는 5.1 이상을 사용하는 Cisco Intrusion Prevention System Sensor를 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
관련 제품
이 문서의 정보는 IDSM-2(Intrusion Detection System) 서비스 모듈에도 적용됩니다.
표기 규칙
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
VACL 캡처 구성
스위치의 IDSM으로 트래픽을 전송하려면 Configuring IDSM-2(IDSM-2 구성)의 VACL 캡처 구성 섹션을 참조하십시오.
인라인 VLAN 쌍 모드 컨피그레이션
이 섹션에서는 이 문서에 설명된 기능을 구성하는 정보를 제공합니다.
참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 섹션에 사용된 명령에 대한 자세한 내용을 확인하십시오.
CLI를 사용하여 인라인 VLAN 쌍을 구성하려면 서비스 인터페이스 하위 모드에서 physical-interfaces interface_name 명령을 사용합니다.인터페이스 이름은 FastEthernet 또는 GigabitEthernet입니다.
다음 옵션이 적용됩니다.
-
관리 상태 {활성화됨 | disabled}—인터페이스의 관리 링크 상태(인터페이스가 활성화되었는지 비활성화되었는지 여부)입니다.
참고: 모든 모듈(IDSM-2 NM-CIDS 및 AIP-SSM)의 모든 백플레인 센싱 인터페이스에서 admin-state는 enabled로 설정되고 보호됩니다(설정을 변경할 수 없음). admin-state는 명령 및 제어 인터페이스에 영향을 미치지 않으며 보호됩니다.센싱 인터페이스에만 영향을 미칩니다.명령 및 제어 인터페이스는 모니터링할 수 없으므로 활성화할 필요가 없습니다.
-
default(기본값) - 값을 시스템 기본 설정으로 다시 설정합니다.
-
description - 인라인 인터페이스 쌍에 대한 설명입니다.
-
duplex - 인터페이스의 듀플렉스 설정입니다.
-
auto(자동) - 인터페이스를 듀플렉스를 자동 협상하도록 설정합니다.
-
full - 인터페이스를 전이중으로 설정합니다.
-
half - 인터페이스를 반이중으로 설정합니다.
참고: duplex 옵션은 모든 모듈에서 보호됩니다.
-
-
no - 항목 또는 선택 설정을 제거합니다.
-
speed - 인터페이스의 속도 설정입니다.
-
auto - 인터페이스를 자동 협상 속도로 설정합니다.
-
10 - 인터페이스를 10MB로 설정합니다(TX 인터페이스에만 해당).
-
100 - 인터페이스를 100MB로 설정합니다(TX 인터페이스에만 해당).
-
1000 - 인터페이스를 1GB로 설정합니다(기가비트 인터페이스의 경우).
참고: 속도 옵션은 모든 모듈에서 보호됩니다.
-
-
subinterface-type - 인터페이스가 하위 인터페이스이고 정의된 하위 인터페이스 유형을 지정합니다.
-
inline-vlan-pair - 하위 인터페이스를 인라인 VLAN 쌍으로 정의할 수 있습니다.
-
none — 정의된 하위 인터페이스가 없습니다.
-
-
subinterface - 하위 인터페이스를 인라인 VLAN 쌍으로 정의합니다.
-
vlan1 - 인라인 VLAN 쌍의 첫 번째 VLAN입니다.
-
vlan2 - 인라인 VLAN 쌍의 두 번째 VLAN입니다.
-
CLI 컨피그레이션
CLI를 사용하여 센서에서 인라인 VLAN 쌍 설정을 구성하려면 다음 단계를 완료합니다.
-
관리자 권한이 있는 계정을 사용하여 CLI에 로그인합니다.
-
인터페이스 하위 모드를 입력합니다.
sensor#configure terminal sensor(config)#service interface sensor(config-int)#
-
인라인 인터페이스가 있는지 확인합니다(인라인 인터페이스가 구성되지 않은 경우 하위 인터페이스 유형은 "none"을 읽어야 함).
sensor(config-int)#show settings physical-interfaces (min: 0, max: 999999999, current: 2) ----------------------------------------------- <protected entry> name: GigabitEthernet0/0 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <protected> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/1 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <defaulted> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/2 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <defaulted> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/3 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <defaulted> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: Management0/0 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <protected> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- command-control: Management0/0 <protected> inline-interfaces (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- bypass-mode: auto <defaulted> interface-notifications ----------------------------------------------- missed-percentage-threshold: 0 percent <defaulted> notification-interval: 30 seconds <defaulted> idle-interface-delay: 30 seconds <defaulted> ----------------------------------------------- sensor(config-int)# -
이 물리적 인터페이스를 사용하는 인라인 인터페이스를 제거합니다.
sensor(config-int)#no inline-interfaces interface_name
-
사용 가능한 인터페이스 목록을 표시합니다.
sensor(config-int)#physical-interfaces ? GigabitEthernet0/0 GigabitEthernet0/0 physical interface. GigabitEthernet0/1 GigabitEthernet0/1 physical interface. GigabitEthernet0/2 GigabitEthernet0/2 physical interface. GigabitEthernet0/3 GigabitEthernet0/3 physical interface. Management0/0 Management0/0 physical interface. sensor(config-int)#physical-interfaces
-
인터페이스를 지정합니다.
sensor(config-int)#physical-interfaces GigabitEthernet0/2
-
인터페이스의 admin-state를 활성화합니다.
sensor(config-int-phy)#admin-state enabled
트래픽을 모니터링하려면 인터페이스를 가상 센서에 할당하고 활성화해야 합니다.
-
이 인터페이스에 대한 설명을 추가합니다.
sensor(config-int-phy)#description INT1
-
듀플렉스 설정을 구성합니다.
sensor(config-int-phy)#duplex full
이 옵션은 모듈에서 사용할 수 없습니다.
-
속도를 구성합니다.
sensor(config-int-phy)#speed 1000
이 옵션은 모듈에서 사용할 수 없습니다.
-
인라인 VLAN 쌍을 설정합니다.
sensor(config-int-phy)#subinterface-type inline-vlan-pair sensor(config-int-phy-inl)#subinterface 1 sensor(config-int-phy-inl-sub)#vlan1 52 sensor(config-int-phy-inl-sub)#vlan2 53
-
인라인 VLAN 쌍에 대한 설명을 추가합니다.
sensor(config-int-phy-inl-sub)#description pairs vlans 52 and 53
-
인라인 VLAN 쌍 설정을 확인합니다.
sensor(config-int-phy-inl-sub)#show settings subinterface-number: 1 ----------------------------------------------- description: VLANpair1 default: vlan1: 52 vlan2: 53 ----------------------------------------------- sensor(config-int-phy-inl-sub)# -
인터페이스 하위 모드를 종료합니다.
sensor(config-int-phy-inl-sub)#exit sensor(config-int-phy-inl)#exit sensor(config-int-phy)#exit sensor(config-int)#exit Apply Changes:?[yes]:
-
Enter를 눌러 변경 사항을 적용하거나 no를 입력하여 취소합니다.
-
가상 센서 컨피그레이션 모드를 시작합니다.
sensor(config)#service analysis-engine sensor(config-ana)#virtual-sensor vs0 -
가상 센서에 인터페이스를 추가합니다.
sensor(config-ana-vir)#physical-interface GigabitEthernet0/2 subinterface-number 1
-
가상 센서 하위 모드를 종료합니다.
sensor(config-ana-vir)#exit sensor(config-ana)#exit Apply Changes:?[yes]: -
Enter를 눌러 변경 사항을 적용하거나 no를 입력하여 취소합니다.
IDM 구성
IDM(IDS Device Manager)을 사용하여 센서에서 인라인 VLAN 쌍 설정을 구성하려면 다음 단계를 완료합니다.
-
브라우저를 열고 https://<Management_IP_Address_of_IPS>를 입력하여 IPS에서 IDM에 액세스합니다.
-
IDM Launcher 다운로드 및 IDM 시작을 클릭하여 응용 프로그램의 설치 프로그램을 다운로드합니다.
-
호스트 이름, IP 주소, 버전, 모델 등의 디바이스 정보를 보려면 홈 페이지로 이동합니다.
-
Configuration(컨피그레이션) > Sensor Setup(센서 설정)으로 이동하고 Network(네트워크)를 클릭합니다.여기서 호스트 이름, IP 주소 및 기본 경로를 지정할 수 있습니다.
-
Configuration(컨피그레이션) > Interface Configuration(인터페이스 컨피그레이션)으로 이동하고 Summary(요약)를 클릭합니다.
이 페이지에는 센싱 인터페이스의 컨피그레이션 요약이 표시됩니다.
-
Configuration(컨피그레이션) > Interface Configuration(인터페이스 컨피그레이션) > Interfaces(인터페이스)로 이동하여 인터페이스 이름을 선택합니다.그런 다음 Enable(활성화)을 클릭하여 센싱 인터페이스를 활성화합니다.또한 듀플렉스, 속도 및 VLAN 정보를 구성합니다.
-
Configuration(컨피그레이션) > Interface Configuration(인터페이스 컨피그레이션) > VLAN Pairs(VLAN 쌍)로 이동하고 Add(추가)를 클릭하여 인라인 VLAN 쌍을 생성합니다.
-
센싱 인터페이스(GigabitEthernet0/0)에 대해 하위 인터페이스 번호, VLAN A 및 VLAN B를 입력합니다.
인라인 VLAN 쌍 컨피그레이션의 요약을 볼 수 있습니다.
-
Configuration(컨피그레이션) > Analysis Engine(분석 엔진) > Virtual Sensor(가상 센서)로 이동하고 Edit(편집)를 클릭하여 새 가상 센서를 생성합니다.
-
Virtual Sensor vs0에 인라인 VLAN 쌍 52 및 53을 할당합니다.
할당된 가상 센서 정보의 요약을 봅니다.
문제 해결
현재 이 컨피그레이션에 사용할 수 있는 특정 문제 해결 정보가 없습니다.
피드백