IPS 5.X y posterior/IDSM2: Ejemplo de configuración de pares VLAN lineales mediante CLI e IDM
Contenido
Introducción
La asociación de VLAN por pares en una interfaz física se conoce como modo de pares VLAN en línea. Los paquetes recibidos en uno de los VLAN emparejados se analizan y se reenvían al otro VLAN en la pareja. Todos los sensores compatibles con el Sistema de prevención de intrusiones (IPS) 5.1 admiten pares VLAN lineales, excepto NM-CIDS, AIP-SSM-10 y AIP-SSM-20.
El modo de par VLAN lineal es un modo de detección activo en el que una interfaz de detección actúa como un puerto troncal 802.1q y el sensor realiza un puente VLAN entre pares de VLAN en el troncal. Esto significa que el switch conectado a la interfaz de detección debe estar en modo troncal.
El sensor inspecciona el tráfico que recibe en cada VLAN en cada par, y puede reenviar los paquetes en la otra VLAN en el par o descartar el paquete si se detecta un intento de intrusión. Puede configurar un sensor IPS para conectar simultáneamente hasta 255 pares de VLAN en cada interfaz de detección. El sensor reemplaza el campo VLAN ID en el encabezado 802.1q de cada paquete recibido con el ID de la VLAN de salida en la que el sensor reenvía el paquete. El sensor descarta todos los paquetes recibidos en cualquier VLAN que no esté asignada a pares de VLAN en línea.
Nota: Para IPS-4260, la derivación de hardware de fallo-apertura no se soporta en los pares VLAN en línea. Consulte Restricciones de Configuración de Omisión de Hardware para obtener más información.
Prerequisites
Requirements
No hay requisitos específicos para este documento.
Componentes Utilizados
La información de este documento se basa en Cisco Intrusion Prevention System Sensor que utiliza la versión 5.1 y posteriores.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Productos Relacionados
La información de este documento también se aplica al módulo de servicios del sistema de detección de intrusiones (IDSM-2).
Convenciones
Configuración de captura VACL
Consulte la sección Configuración de la Captura VACL de Configuración de IDSM-2 para enviar tráfico al IDSM en el switch.
Configuración del Modo de Par de VLAN en Línea
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.
Utilice el comando physical-interfaces interface_name en el submodo de interfaz de servicio para configurar los pares VLAN en línea mediante la CLI. El nombre de la interfaz es FastEthernet o GigabitEthernet.
Se aplican estas opciones:
-
admin-state {enabled | disabled}: el estado del enlace administrativo de la interfaz, independientemente de si la interfaz está activada o desactivada.
Nota: En todas las interfaces de detección de backplane de todos los módulos (IDSM-2, NM-CIDS y AIP-SSM), admin-state se establece en enabled y está protegido (no puede cambiar la configuración). El estado de administración no tiene ningún efecto (y está protegido) en la interfaz de comando y control. Sólo afecta a las interfaces de detección. No es necesario habilitar la interfaz de comando y control porque no se puede supervisar.
-
default: permite volver a establecer el valor en la configuración por defecto del sistema.
-
description: descripción del par de interfaces en línea.
-
duplex: la configuración dúplex de la interfaz.
-
auto: define la interfaz para que negocie el dúplex automáticamente.
-
full: define la interfaz como dúplex completo.
-
half: define la interfaz como semidúplex.
Nota: La opción dúplex está protegida en todos los módulos.
-
-
no: elimina una entrada o una configuración de selección.
-
speed: el parámetro de velocidad de la interfaz.
-
auto: define la interfaz para que negocie automáticamente la velocidad.
-
10: establece la interfaz en 10 MB (sólo para interfaces TX).
-
100: establece la interfaz en 100 MB (sólo para interfaces TX).
-
1000: establece la interfaz en 1 GB (para interfaces Gigabit)
Nota: La opción de velocidad está protegida en todos los módulos.
-
-
subinterface-type: especifica que la interfaz es una subinterfaz y qué tipo de subinterfaz se define.
-
inline-vlan-pair: permite definir la subinterfaz como un par VLAN en línea.
-
none: no hay subinterfaces definidas.
-
-
subinterfaz: define la subinterfaz como un par VLAN en línea.
-
vlan1: la primera VLAN del par de VLAN en línea.
-
vlan2: la segunda VLAN en el par de VLAN en línea.
-
Configuración de CLI
Complete estos pasos para configurar las configuraciones de par VLAN en línea en el sensor usando CLI:
-
Inicie sesión en la CLI mediante una cuenta con privilegios de administrador.
-
Ingrese el submodo de interfaz:
sensor#configure terminal sensor(config)#service interface sensor(config-int)#
-
Verifique si existe alguna interfaz en línea (el tipo de subinterfaz debe ser "none" si no se ha configurado ninguna interfaz en línea):
sensor(config-int)#show settings physical-interfaces (min: 0, max: 999999999, current: 2) ----------------------------------------------- <protected entry> name: GigabitEthernet0/0 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <protected> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/1 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <defaulted> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/2 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <defaulted> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/3 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <defaulted> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: Management0/0 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <protected> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- command-control: Management0/0 <protected> inline-interfaces (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- bypass-mode: auto <defaulted> interface-notifications ----------------------------------------------- missed-percentage-threshold: 0 percent <defaulted> notification-interval: 30 seconds <defaulted> idle-interface-delay: 30 seconds <defaulted> ----------------------------------------------- sensor(config-int)# -
Elimine cualquier interfaz en línea que utilice esta interfaz física:
sensor(config-int)#no inline-interfaces interface_name
-
Mostrar la lista de interfaces disponibles:
sensor(config-int)#physical-interfaces ? GigabitEthernet0/0 GigabitEthernet0/0 physical interface. GigabitEthernet0/1 GigabitEthernet0/1 physical interface. GigabitEthernet0/2 GigabitEthernet0/2 physical interface. GigabitEthernet0/3 GigabitEthernet0/3 physical interface. Management0/0 Management0/0 physical interface. sensor(config-int)#physical-interfaces
-
Especifique una interfaz:
sensor(config-int)#physical-interfaces GigabitEthernet0/2
-
Habilite el estado de administración de la interfaz:
sensor(config-int-phy)#admin-state enabled
La interfaz debe estar asignada al sensor virtual y habilitada para monitorear el tráfico.
-
Agregue una descripción de esta interfaz:
sensor(config-int-phy)#description INT1
-
Configure los parámetros de dúplex:
sensor(config-int-phy)#duplex full
Esta opción no está disponible en los módulos.
-
Configure la velocidad:
sensor(config-int-phy)#speed 1000
Esta opción no está disponible en los módulos.
-
Configure el par de VLAN en línea:
sensor(config-int-phy)#subinterface-type inline-vlan-pair sensor(config-int-phy-inl)#subinterface 1 sensor(config-int-phy-inl-sub)#vlan1 52 sensor(config-int-phy-inl-sub)#vlan2 53
-
Agregue una descripción para el par de VLAN en línea:
sensor(config-int-phy-inl-sub)#description pairs vlans 52 and 53
-
Verifique la configuración del par VLAN en línea:
sensor(config-int-phy-inl-sub)#show settings subinterface-number: 1 ----------------------------------------------- description: VLANpair1 default: vlan1: 52 vlan2: 53 ----------------------------------------------- sensor(config-int-phy-inl-sub)# -
Salga del submodo de interfaz:
sensor(config-int-phy-inl-sub)#exit sensor(config-int-phy-inl)#exit sensor(config-int-phy)#exit sensor(config-int)#exit Apply Changes:?[yes]:
-
Presione Enter para aplicar los cambios, o ingrese no para descartarlos.
-
Entre en el modo de configuración del sensor virtual:
sensor(config)#service analysis-engine sensor(config-ana)#virtual-sensor vs0 -
Agregue la interfaz al sensor virtual:
sensor(config-ana-vir)#physical-interface GigabitEthernet0/2 subinterface-number 1
-
Salga del submodo de sensor virtual:
sensor(config-ana-vir)#exit sensor(config-ana)#exit Apply Changes:?[yes]: -
Presione Enter para aplicar los cambios, o ingrese no para descartarlos.
Configuración de IDM
Complete estos pasos para configurar los parámetros de par VLAN en línea en el sensor mediante el Administrador de dispositivos IDS (IDM):
-
Abra su navegador e ingrese https://<Management_IP_Address_of_IPS> para acceder al IDM en el IPS.
-
Haga clic en Download IDM Launcher and Start IDM para descargar el instalador de la aplicación.
-
Vaya a la página de inicio para ver la información del dispositivo como el nombre de host, la dirección IP, la versión y el modelo, etc.
-
Vaya a Configuration > Sensor Setup y haga clic en Network. Aquí puede especificar el nombre de host, la dirección IP y la ruta predeterminada.
-
Vaya a Configuration > Interface Configuration y haga clic en Summary.
Esta página muestra el resumen de la configuración de la interfaz de detección.
-
Vaya a Configuration > Interface Configuration > Interfaces y seleccione el nombre de la interfaz.Luego, haga clic en Enable para habilitar la interfaz de detección. Además, configure la información de dúplex, velocidad y VLAN.
-
Vaya a Configuration > Interface Configuration > VLAN Pairs y haga clic en Add para crear los pares VLAN lineales.
-
Introduzca el número de subinterfaz, VLAN A y VLAN B para la interfaz de detección (GigabitEthernet0/0).
Puede ver el resumen de la configuración del par VLAN lineal.
-
Vaya a Configuration > Analysis Engine > Virtual Sensor y haga clic en Edit para crear el nuevo sensor virtual.
-
Asigne el par de VLAN lineal 52 y 53 al sensor virtual vs0.
Ver el resumen de la información del sensor virtual asignado.
Troubleshoot
Actualmente, no hay información específica de troubleshooting disponible para esta configuración.
Información Relacionada
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
27-Jun-2007 |
Versión inicial |
Comentarios