IPS 5.X en hoger/IDSM2: Inline VLAN-paarmodus met CLI- en IDM-configuratievoorbeeld
Inhoud
Inleiding
De vereniging van VLAN’s in paren op een fysieke interface is bekend als inline VLAN-paarmodus. Pakketten die op een van de gekoppelde VLAN’s worden ontvangen, worden geanalyseerd en doorgestuurd naar het andere VLAN in het paar. Inline VLAN-paren worden ondersteund op alle sensoren die compatibel zijn met Inbraakpreventiesysteem (IPS) 5.1, behalve NM-CIDS, AIP-SSM-10 en AIP-SSM-20.
De inline VLAN-paarmodus is een actieve detectiemodus waarin een sensinginterface fungeert als een 802.1q-trunkpoort en de sensor VLAN-overbrugging tussen VLAN-paren op de trunk uitvoert. Dit betekent dat de switch die aangesloten is op de sensor-interface zich in de trunkmodus moet bevinden.
De sensor inspecteert het verkeer dat het op elk VLAN in elk paar ontvangt en kan de pakketten op het andere VLAN in het paar doorsturen of het pakket laten vallen als een inbraakpoging wordt gedetecteerd. U kunt een IPS-sensor configureren om tegelijkertijd tot 255 VLAN-paren te overbruggen op elke detectie-interface. De sensor vervangt het veld VLAN-ID in de 802.1q-header van elk ontvangen pakket door de ID van het uitgaande VLAN waarop de sensor het pakket doorstuurt. De sensor laat alle pakketten vallen die op om het even welke VLANs worden ontvangen die niet aan inline VLAN paren worden toegewezen.
Opmerking: voor IPS-4260 wordt een failopen hardwareomzeiling niet ondersteund op inline VLAN-paren. Raadpleeg Configuratiebeperkingen voor omzeilen van hardware voor meer informatie.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op Cisco Inbraakpreventiesysteem sensor die gebruik maakt van versie 5.1 en hoger.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Verwante producten
De informatie in dit document is ook van toepassing op de servicesmodule voor inbraakdetectiesysteem (IDSM-2).
Conventies
Configuratie van VACL-vastlegging
Raadpleeg het gedeelte VACL-opname configureren van IDSM-2 om verkeer naar de IDSM op de switch te verzenden.
Configuratie van inline VLAN-paarmodus
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.
Gebruik het bevel fysiek-interfaces interface_name in de submodus van de serviceinterface om inline VLAN-paren te configureren met behulp van de CLI. De interfacenaam is FastEthernet of Gigabit Ethernet.
Deze opties zijn van toepassing:
-
admin-state {ingeschakeld | gehandicapt} - de administratieve verbindingsstaat van de interface, of de interface wordt toegelaten of gehandicapt.
Opmerking: op alle backplane sensinginterfaces op alle modules (IDSM-2 NM-CIDS en AIP-SSM) wordt de beheerstatus ingesteld op ingeschakeld en beveiligd (u kunt de instelling niet wijzigen). De beheerstatus heeft geen effect (en is beveiligd) op de commando- en controle-interface. Het beïnvloedt alleen detectieinterfaces. De commando- en besturingsinterface hoeft niet te worden ingeschakeld omdat deze niet kan worden bewaakt.
-
standaard—Hiermee wordt de waarde teruggezet naar de standaardinstelling van het systeem.
-
beschrijving—Uw beschrijving van het inline interfacepaar.
-
duplex—De duplexinstelling van de interface.
-
auto—Hiermee stelt u de interface in om automatisch te onderhandelen over duplex.
-
full-Sets de interface naar full duplex.
-
half-stelt de interface in op half-duplex.
Opmerking: de duplexoptie is beschermd op alle modules.
-
-
no—Verwijdert een invoer- of selectie-instelling.
-
snelheid—De snelheid-instelling van de interface.
-
auto—Hiermee stelt u de interface in op de automatische onderhandelingssnelheid.
-
10—Hiermee wordt de interface ingesteld op 10 MB (alleen voor TX interfaces).
-
100—Hiermee wordt de interface ingesteld op 100 MB (alleen voor TX-interfaces).
-
1000—Hiermee wordt de interface ingesteld op 1 GB (voor Gigabit-interfaces)
Opmerking: de snelheidsoptie is beschermd op alle modules.
-
-
subinterface-type-specificeert dat de interface een subinterface is en welk type van subinterface wordt bepaald.
-
inline-VLAN-paar—Hiermee kunt u de subinterface definiëren als een inline VLAN-paar.
-
geen-geen subinterfaces gedefinieerd.
-
-
subinterface-definieert de subinterface als een inline VLAN-paar.
-
vlan1—Het eerste VLAN in het inline VLAN-paar.
-
vlan2—Het tweede VLAN in het inline VLAN-paar.
-
CLI-configuratie
Voltooi deze stappen om de inline VLAN-paarinstellingen op de sensor te configureren met behulp van CLI:
-
Log in op de CLI met een account met beheerdersrechten.
-
Voer de submodus van de interface in:
sensor#configure terminal sensor(config)#service interface sensor(config-int)#
-
Controleer of er inline interfaces bestaan (het subinterfacetype moet "geen" lezen als er geen inline interfaces zijn geconfigureerd):
sensor(config-int)#show settings physical-interfaces (min: 0, max: 999999999, current: 2) ----------------------------------------------- <protected entry> name: GigabitEthernet0/0 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <protected> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/1 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <defaulted> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/2 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <defaulted> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/3 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <defaulted> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: Management0/0 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <protected> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- command-control: Management0/0 <protected> inline-interfaces (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- bypass-mode: auto <defaulted> interface-notifications ----------------------------------------------- missed-percentage-threshold: 0 percent <defaulted> notification-interval: 30 seconds <defaulted> idle-interface-delay: 30 seconds <defaulted> ----------------------------------------------- sensor(config-int)# -
Verwijder alle inline interfaces die deze fysieke interface gebruiken:
sensor(config-int)#no inline-interfaces interface_name
-
Toont de lijst met beschikbare interfaces:
sensor(config-int)#physical-interfaces ? GigabitEthernet0/0 GigabitEthernet0/0 physical interface. GigabitEthernet0/1 GigabitEthernet0/1 physical interface. GigabitEthernet0/2 GigabitEthernet0/2 physical interface. GigabitEthernet0/3 GigabitEthernet0/3 physical interface. Management0/0 Management0/0 physical interface. sensor(config-int)#physical-interfaces
-
Specificeer een interface:
sensor(config-int)#physical-interfaces GigabitEthernet0/2
-
De beheerstatus van de interface inschakelen:
sensor(config-int-phy)#admin-state enabled
De interface moet worden toegewezen aan de virtuele sensor en worden ingeschakeld om het verkeer te kunnen bewaken.
-
Voeg een beschrijving van deze interface toe:
sensor(config-int-phy)#description INT1
-
Configureer de duplexinstellingen:
sensor(config-int-phy)#duplex full
Deze optie is niet beschikbaar voor modules.
-
Configureer de snelheid:
sensor(config-int-phy)#speed 1000
Deze optie is niet beschikbaar voor modules.
-
Stel het inline VLAN-paar in:
sensor(config-int-phy)#subinterface-type inline-vlan-pair sensor(config-int-phy-inl)#subinterface 1 sensor(config-int-phy-inl-sub)#vlan1 52 sensor(config-int-phy-inl-sub)#vlan2 53
-
Voeg een beschrijving voor het inline VLAN-paar toe:
sensor(config-int-phy-inl-sub)#description pairs vlans 52 and 53
-
Controleer de instellingen van de inline VLAN-paren:
sensor(config-int-phy-inl-sub)#show settings subinterface-number: 1 ----------------------------------------------- description: VLANpair1 default: vlan1: 52 vlan2: 53 ----------------------------------------------- sensor(config-int-phy-inl-sub)# -
Sluit de interfacesubmodus:
sensor(config-int-phy-inl-sub)#exit sensor(config-int-phy-inl)#exit sensor(config-int-phy)#exit sensor(config-int)#exit Apply Changes:?[yes]:
-
Druk op ENTER om de wijzigingen toe te passen, of op no om ze weg te gooien.
-
Voer de configuratie van de virtuele sensor in:
sensor(config)#service analysis-engine sensor(config-ana)#virtual-sensor vs0 -
Voeg de interface toe aan de virtuele sensor:
sensor(config-ana-vir)#physical-interface GigabitEthernet0/2 subinterface-number 1
-
Verlaat de virtuele-sensorsubmodus:
sensor(config-ana-vir)#exit sensor(config-ana)#exit Apply Changes:?[yes]: -
Druk op ENTER om de wijzigingen toe te passen, of op no om ze weg te gooien.
Configuratie IDM
Voltooi deze stappen om de inline VLAN-paarinstellingen op de sensor te configureren met IDS Device Manager (IDM):
-
Open uw browser en voer https://<Management_IP_Address_of_IPS> in om toegang te krijgen tot de IDM op het IPS.
-
Klik op Download IDM Launcher en Start IDM om het installatieprogramma voor de toepassing te downloaden.
-
Ga naar de pagina Home om de apparaatinformatie te bekijken zoals hostnaam, IP-adres, versie en het model., enzovoort.
-
Ga naar Configuration > Sensor Setup en klik op Network. Hier kunt u de Hostname, IP-adres en standaardroute opgeven.
-
Ga naar Configuration > Interface Configuration en klik op Samenvatting.
Deze pagina toont de configuratiesamenvatting van de sensinginterface.
-
Ga naar Configuration > Interface Configuration > Interfaces en selecteer de interfacenaam.Klik vervolgens op Enable om de sensorinterface in te schakelen. Configureer ook de informatie over duplex, snelheid en VLAN.
-
Ga naar Configuration > Interface Configuration > VLAN-paren en klik op Add om de Inline VLAN-paren te maken.
-
Voer het subinterfacenummer, VLAN A en VLAN B in voor de detectie-interface (Gigabit Ethernet0/0).
U kunt de samenvatting van de configuratie van het inline VLAN-paar bekijken.
-
Ga naar Configuration > Analysis Engine > Virtual Sensor en klik op Bewerken om de nieuwe virtuele sensor te maken.
-
Wijs het Inline VLAN-paar 52 en 53 toe aan de virtuele sensor vs0.
Bekijk de samenvatting van de toegewezen virtuele sensorinformatie.
Problemen oplossen
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
27-Jun-2007 |
Eerste vrijgave |
Feedback