IPS 5.X und höher/IDSM2: Inline-VLAN-Paarmodus mit CLI und IDM - Konfigurationsbeispiel

Download-Optionen

  • PDF     (626.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (727.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.2 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:2. Juli 2008
Dokument-ID:97214

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Die paarweise Zuordnung von VLANs auf einer physischen Schnittstelle wird als Inline-VLAN-Paarmodus bezeichnet. Auf einem der paarweise verbundenen VLANs empfangene Pakete werden analysiert und an das andere VLAN im Paar weitergeleitet. Inline-VLAN-Paare werden auf allen Sensoren unterstützt, die mit dem Intrusion Prevention System (IPS) 5.1 kompatibel sind, mit Ausnahme von NM-CIDS, AIP-SSM-10 und AIP-SSM-20.

Der Inline-VLAN-Paarmodus ist ein aktiver Erfassungsmodus, bei dem eine Erfassungsschnittstelle als 802.1q-Trunk-Port fungiert und der Sensor ein VLAN-Bridging zwischen Paaren von VLANs auf dem Trunk durchführt. Das bedeutet, dass sich der mit der Sensorschnittstelle verbundene Switch im Trunk-Modus befinden muss.

Der Sensor überprüft den Datenverkehr, den er auf jedem VLAN in jedem Paar empfängt, und kann die Pakete entweder an das andere VLAN in dem Paar weiterleiten oder das Paket verwerfen, wenn ein Angriffsversuch erkannt wird. Sie können einen IPS-Sensor so konfigurieren, dass er gleichzeitig bis zu 255 VLAN-Paare auf jeder Sensorschnittstelle überbrückt. Der Sensor ersetzt das VLAN-ID-Feld im 802.1q-Header jedes empfangenen Pakets durch die ID des Ausgangs-VLAN, an das der Sensor das Paket weiterleitet. Der Sensor verwirft alle Pakete, die in VLANs empfangen werden, die keinen Inline-VLAN-Paaren zugewiesen sind.

Hinweis: Für IPS-4260 wird Fail-Open-Hardware-Bypass auf Inline-VLAN-Paaren nicht unterstützt. Weitere Informationen finden Sie unter Konfigurationseinschränkungen für die Hardware-Umgehung.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf dem Cisco Intrusion Prevention System-Sensor, der Version 5.1 und höher verwendet.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Verwandte Produkte

Die Informationen in diesem Dokument gelten auch für das Dienstmodul des Intrusion Detection System (IDSM-2).

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Konfiguration der VACL-Erfassung

Weitere Informationen zum Senden von Datenverkehr an das IDSM auf dem Switch finden Sie im Abschnitt Configuring VACL Capture (Konfigurieren der VACL-Erfassung) unter Configuring IDSM-2.

Konfiguration des Inline-VLAN-Paarmodus

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Hinweis: Verwenden Sie das Tool für die Suche nach Befehlen (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Verwenden Sie den Befehl physical-interfaces interface_name im Service Interface Submode, um Inline-VLAN-Paare mithilfe der CLI zu konfigurieren. Der Schnittstellenname lautet FastEthernet oder GigabitEthernet.

Diese Optionen gelten für:

  • admin-state {enabled | disabled (Deaktiviert): Der administrative Verbindungsstatus der Schnittstelle, unabhängig davon, ob die Schnittstelle aktiviert oder deaktiviert ist.

    Hinweis: An allen Rückwandplatinen-Erfassungsschnittstellen aller Module (IDSM-2 NM-CIDS und AIP-SSM) ist der Admin-Status auf "Aktiviert" und "Geschützt" gesetzt (Sie können die Einstellung nicht ändern). Der admin-state hat keine Auswirkungen (und ist geschützt) auf die Kommando- und Steuerungsschnittstelle. Es betrifft nur Sensorschnittstellen. Die Command-and-Control-Schnittstelle muss nicht aktiviert werden, da sie nicht überwacht werden kann.

  • default: Setzt den Wert zurück auf die Standardeinstellung des Systems.

  • description: Ihre Beschreibung des Inline-Schnittstellenpaars.

  • duplex: Die Duplexeinstellung der Schnittstelle.

    • auto - Legt die Schnittstelle auf die automatische Duplexaushandlung fest.

    • full (Vollständig) - Stellt die Schnittstelle auf Vollduplex ein.

    • half (Hälfte): Stellt die Schnittstelle auf Halbduplex ein.

    Hinweis: Die Duplexoption ist auf allen Modulen geschützt.

  • no (Nein) - Entfernt eine Eintrag- oder Auswahleinstellung.

  • speed (Geschwindigkeit): Die Geschwindigkeitseinstellung der Schnittstelle.

    • auto - Stellt die Schnittstelle auf die automatische Aushandlungsgeschwindigkeit ein.

    • 10: Stellt die Schnittstelle auf 10 MB ein (nur für TX-Schnittstellen).

    • 100: Stellt die Schnittstelle auf 100 MB ein (nur für TX-Schnittstellen).

    • 1000: Stellt die Schnittstelle auf 1 GB ein (für Gigabit-Schnittstellen)

    Hinweis: Die Geschwindigkeitsoption ist auf allen Modulen geschützt.

  • subinterface-type: Gibt an, dass die Schnittstelle eine Subschnittstelle ist und welcher Subschnittstellentyp definiert ist.

    • inline-vlan-pair: Ermöglicht die Definition der Subschnittstelle als Inline-VLAN-Paar.

    • none: Keine Subschnittstellen definiert.

  • subinterface (Subschnittstelle): Definiert die Subschnittstelle als Inline-VLAN-Paar.

    • vlan1: Das erste VLAN im Inline-VLAN-Paar.

    • vlan2: Das zweite VLAN im Inline-VLAN-Paar.

CLI-Konfiguration

Führen Sie die folgenden Schritte aus, um die Inline-VLAN-Paar-Einstellungen auf dem Sensor über CLI zu konfigurieren:

  1. Melden Sie sich mit einem Konto mit Administratorberechtigungen bei der CLI an.

  2. Öffnen Sie den Schnittstellen-Submodus:

    sensor#configure terminal
sensor(config)#service interface 
sensor(config-int)#

  3. Überprüfen Sie, ob Inline-Schnittstellen vorhanden sind (der Subschnittstellentyp sollte "none" lauten, wenn keine Inline-Schnittstellen konfiguriert wurden):

    sensor(config-int)#show settings
   physical-interfaces (min: 0, max: 999999999, current: 2)
   -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/0 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <protected>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
<protected entry>
      name: GigabitEthernet0/1 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/2 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/3 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: Management0/0 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <protected>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
   -----------------------------------------------
   command-control: Management0/0 <protected>
   inline-interfaces (min: 0, max: 999999999, current: 0)
   -----------------------------------------------
   -----------------------------------------------
   bypass-mode: auto <defaulted>
   interface-notifications
   -----------------------------------------------
      missed-percentage-threshold: 0 percent <defaulted>
      notification-interval: 30 seconds <defaulted>
      idle-interface-delay: 30 seconds <defaulted>
   -----------------------------------------------
sensor(config-int)#

  4. Entfernen Sie alle Inline-Schnittstellen, die diese physische Schnittstelle verwenden:

    sensor(config-int)#no inline-interfaces interface_name

  5. Liste der verfügbaren Schnittstellen anzeigen:

    sensor(config-int)#physical-interfaces ?
GigabitEthernet0/0     GigabitEthernet0/0 physical interface.
GigabitEthernet0/1     GigabitEthernet0/1 physical interface.
GigabitEthernet0/2     GigabitEthernet0/2 physical interface.
GigabitEthernet0/3     GigabitEthernet0/3 physical interface.
Management0/0          Management0/0 physical interface.
sensor(config-int)#physical-interfaces

  6. Legen Sie eine Schnittstelle fest:

    sensor(config-int)#physical-interfaces GigabitEthernet0/2

  7. Aktivieren Sie den Admin-Status der Schnittstelle:

    sensor(config-int-phy)#admin-state enabled

    Die Schnittstelle muss dem virtuellen Sensor zugewiesen und aktiviert werden, damit der Datenverkehr überwacht werden kann.

  8. Fügen Sie eine Beschreibung dieser Schnittstelle hinzu:

    sensor(config-int-phy)#description INT1

  9. Konfigurieren Sie die Duplexeinstellungen:

    sensor(config-int-phy)#duplex full

    Diese Option ist für Module nicht verfügbar.

  10. Konfigurieren Sie die Geschwindigkeit:

    sensor(config-int-phy)#speed 1000

    Diese Option ist für Module nicht verfügbar.

  11. Richten Sie das Inline-VLAN-Paar ein:

    sensor(config-int-phy)#subinterface-type inline-vlan-pair
sensor(config-int-phy-inl)#subinterface 1
sensor(config-int-phy-inl-sub)#vlan1 52
sensor(config-int-phy-inl-sub)#vlan2 53

  12. Fügen Sie eine Beschreibung für das Inline-VLAN-Paar hinzu:

    sensor(config-int-phy-inl-sub)#description pairs vlans 52 and 53

  13. Überprüfen Sie die Einstellungen für das Inline-VLAN-Paar:

    sensor(config-int-phy-inl-sub)#show settings
   subinterface-number: 1
   -----------------------------------------------
      description: VLANpair1 default:
      vlan1: 52
      vlan2: 53
   -----------------------------------------------
sensor(config-int-phy-inl-sub)#

  14. Beenden Sie den Schnittstellen-Submodus:

    sensor(config-int-phy-inl-sub)#exit
sensor(config-int-phy-inl)#exit
sensor(config-int-phy)#exit
sensor(config-int)#exit
Apply Changes:?[yes]:

  15. Drücken Sie die Eingabetaste, um die Änderungen zu übernehmen, oder geben Sie no ein, um sie zu verwerfen.

  16. Wechseln Sie in den Konfigurationsmodus für virtuelle Sensoren:

    sensor(config)#service analysis-engine
        sensor(config-ana)#virtual-sensor vs0

  17. Fügen Sie die Schnittstelle zum virtuellen Sensor hinzu:

    sensor(config-ana-vir)#physical-interface GigabitEthernet0/2
subinterface-number 1

  18. Beenden Sie den Virtual-Sensor-Submodus: 

    sensor(config-ana-vir)#exit
        sensor(config-ana)#exit
        Apply Changes:?[yes]:

  19. Drücken Sie die Eingabetaste, um die Änderungen zu übernehmen, oder geben Sie no ein, um sie zu verwerfen.

IDM-Konfiguration

Führen Sie die folgenden Schritte aus, um die Inline-VLAN-Paareinstellungen des Sensors mithilfe des IDS Device Manager (IDM) zu konfigurieren:

  1. Öffnen Sie Ihren Browser, und geben Sie https://<Management_IP_Address_of_IPS> ein, um auf IDM auf dem IPS zuzugreifen.

  2. Klicken Sie auf IDM Launcher herunterladen und IDM starten, um das Installationsprogramm für die Anwendung herunterzuladen.

  3. Rufen Sie die Startseite auf, um Geräteinformationen wie Hostname, IP-Adresse, Version und Modell usw. anzuzeigen.

    ips5x-vlan-mode-config1.gif

  4. Gehen Sie zu Configuration > Sensor Setup, und klicken Sie auf Network. Hier können Sie den Hostnamen, die IP-Adresse und die Standardroute angeben.

    ips5x-vlan-mode-config2.gif

  5. Gehen Sie zu Konfiguration > Schnittstellenkonfiguration, und klicken Sie auf Übersicht.

    Auf dieser Seite wird die Konfigurationsübersicht der Sensorschnittstelle angezeigt.

    ips5x-vlan-mode-config3.gif

  6. Gehen Sie zu Configuration > Interface Configuration > Interfaces, und wählen Sie den Schnittstellennamen aus.Klicken Sie dann auf Enable, um die Sensorschnittstelle zu aktivieren. Konfigurieren Sie außerdem die Duplex-, Geschwindigkeits- und VLAN-Informationen.

    ips5x-vlan-mode-config4.gif

  7. Gehen Sie zu Configuration > Interface Configuration > VLAN Pairs, und klicken Sie auf Add, um die Inline-VLAN-Paare zu erstellen.

    ips5x-vlan-mode-config5.gif

  8. Geben Sie die Subschnittstellennummer, VLAN A und VLAN B für die Sensorschnittstelle ein (GigabitEthernet0/0).

    ips5x-vlan-mode-config6.gif

    Sie können die Zusammenfassung der Konfiguration des Inline-VLAN-Paars anzeigen.

    ips5x-vlan-mode-config7.gif

  9. Gehen Sie zu Konfiguration > Analysis Engine > Virtueller Sensor, und klicken Sie auf Bearbeiten, um den neuen virtuellen Sensor zu erstellen.

    ips5x-vlan-mode-config8.gif

  10. Weisen Sie das Inline-VLAN-Paar 52 und 53 dem virtuellen Sensor gegenüber 0 zu.

    ips5x-vlan-mode-config9.gif

    Zeigen Sie die Zusammenfassung der zugewiesenen virtuellen Sensordaten an.

    ips5x-vlan-mode-config10.gif

Fehlerbehebung

Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
27-Jun-2007
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren