(五)捕获网络数据流量
(五)捕获网络数据流量

作者:heizi_010101 提交日期:2005-9-20 21:32:00
(建议这里还是看CISCO IDS的英文文档,可去www.net130.com下载相关资料)
通过配置网络基础设备实现特定数据流量的直通监控之外,还有三种机制把数据流镜象传输到传感器的监
控借口上,这三种机制分别为:
交换机端口分析;
远程交换机端口分析
VLAN访问控制列表。
SPAN
对Catalyst 2900XL/3500XL进行SPAN,需要两条命令:
port monitor [interface mod/port | vlan vlan-id]
monitor session {session} {source {interface port(s)} [rx|tx|both]}
monitor session {session} {source vlan vlan_id[rx]}
monitor session {session} {destination {interface port}}
Catalyst 4000和6500交换机
set span 后面有很多选项,用google搜索,有对每个选项进行详细说明。
RSPAN(远程交换机端口分析)
作用:捕获多个交换机(但是不是所有)上端口的数据流量。(由于我看得书是中文版,关于RSPAN我个人觉得翻译的不是很好,看得有点糊涂,
我推荐有兴趣的看:http://www.cisco.com/univercd/cc/td/doc/product/lan/c3550/12113ea1/3550scg/swspan.htm#wp1081130)
You can configure any VLAN as an RSPAN VLAN as long as these conditions are met:

–No access port is configured in the RSPAN VLAN.

–The same RSPAN VLAN is used for an RSPAN session in all the switches.

–All participating switches support RSPAN
(需要对这个要好好理解,要看下具体的配置实列)
虚拟局域网访问控制列表
它管理所有经由Cztalyst6500交换机的数据包。同Cisco IOS ACL 不同,VACL不通过数据流量的流向定义(入站或出站)
(这个很关键,直接影响性能)
1,定义感兴趣的流量,有如下选择限制捕获的数据流:
 IP协议
 源IP地址或目的IP地址
 源端口或目的端口
 IP协议,IP地址和端口组合
2,在CatOS上配置虚拟局域网访问控制列表(VACL)
 s1,定义一个安全ACL
 s2,把VACL载入到内存
 s3,将VACL映射到VLAN上
 s4,设置捕获端口
 (1)定义安全访问控制列表(ACL)
 目的:捕获感兴趣的数据流量。使用set security acl ip.并要使用关键字capture
 如:set security acl ip udpacl1 permit udp 172.21.166.0 0.0.0.255 rang 1 1024 172.21.168.0 0.0.0.255 rang 60 100 capture
(2) 把VACL载入内存
 命令如下:
 commit security acl acl_name |all
(3)将VACL映射到VLAN上
 set security acl map acl_name vlan
(4)设置捕获端口
 set security acl capture-ports {mod/ports}
3,在Cisco IOS防火墙上配置VACL
 如果在MSFC上使用Cisco IOS 防火墙,可能不能直接配置VACL,为传感器捕获网络数据流量。如果在指定的VLAN接口上使用了ip
inspect Cisco IOS防火墙命令,那么你在此交换机上,就不能为相同的VLAN创建VACL。因为这两个特性不兼容。若要克服这个限制,
需要使用mls ip ids MSFC路由器命令,指定哪些数据报根据安全访问控制列表的要求将被捕获。
 S1,创建扩展ACL
 S2,将ACL应用到接口或VLAN上
 S3,分配捕获端口
 (一)配置扩展ACL
 (二)将ACL应用到接口或VLAN上
 如:interface vlan 40
 mls ip ids 150
 (三)分配捕获端口set security acl capture-ports
Notice that the Sensor’s monitoring port is a member of VLAN 1.VLAN 1 is the native VLAN
for the Sensor’s monitoring port.

#日志日期:2005-9-20 星期二(Tuesday) 晴
天涯“2016年度十大最具影响力博客”评选


登录 | 新人注册>>
输入您的评论:(不支持HTML标签)


验证码
本文所属博客:黑子的狗窝
引用地址:
© 天涯社区