IPS 5.X et versions ultérieures/IDSM2 : exemple de configuration du mode de paire de VLAN en ligne à l'aide de CLI et IDM

Options de téléchargement

  • PDF     (624.1 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (730.8 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:2 juillet 2008
ID du document:97214

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

L’association de VLAN par paires sur une interface physique est connue sous le nom de mode de paire de VLAN en ligne. Les paquets reçus sur l’un des VLAN jumelés sont analysés et transmis à l’autre VLAN de la paire. Les paires de VLAN en ligne sont prises en charge sur tous les capteurs compatibles avec le système de prévention des intrusions (IPS) 5.1, à l'exception de NM-CIDS, AIP-SSM-10 et AIP-SSM-20.

Le mode de paire de VLAN en ligne est un mode de détection actif dans lequel une interface de détection agit comme un port trunk 802.1q et le capteur effectue un pontage VLAN entre les paires de VLAN sur l'agrégation. Cela signifie que le commutateur connecté à l'interface de détection doit être en mode d'agrégation.

Le capteur inspecte le trafic qu'il reçoit sur chaque VLAN de chaque paire, et peut soit transférer les paquets sur l'autre VLAN de la paire, soit abandonner le paquet si une tentative d'intrusion est détectée. Vous pouvez configurer un capteur IPS pour ponter simultanément jusqu'à 255 paires VLAN sur chaque interface de détection. Le capteur remplace le champ d'ID de VLAN dans l'en-tête 802.1q de chaque paquet reçu par l'ID du VLAN de sortie sur lequel le capteur transfère le paquet. Le capteur abandonne tous les paquets reçus sur les VLAN qui ne sont pas affectés aux paires de VLAN en ligne.

Remarque : pour IPS-4260, le contournement matériel en mode fail-open n'est pas pris en charge sur les paires VLAN en ligne. Référez-vous à Restrictions de configuration de contournement matériel pour plus d'informations.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur Cisco Intrusion Prevention System Sensor qui utilise les versions 5.1 et ultérieures.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Produits connexes

Les informations contenues dans ce document s'appliquent également au module de services IDSM-2 (Intrusion Detection System).

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configuration de la capture VACL

Référez-vous à la section Configuration de la capture de VACL de Configuration d'IDSM-2 afin d'envoyer du trafic à l'IDSM sur le commutateur.

Configuration du mode Paire de VLAN en ligne

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Utilisez la commande physical-interfaces interface_name dans le sous-mode d'interface de service afin de configurer des paires de VLAN en ligne à l'aide de l'interface de ligne de commande. Le nom de l'interface est FastEthernet ou GigabitEthernet.

Ces options s'appliquent :

  • admin-state {enabled | disabled} : état de la liaison administrative de l'interface, qu'elle soit activée ou désactivée.

    Remarque : sur toutes les interfaces de détection de fond de panier de tous les modules (IDSM-2 NM-CIDS et AIP-SSM), l'état admin est activé et protégé (vous ne pouvez pas modifier ce paramètre). L'état admin n'a aucun effet (et est protégé) sur l'interface de commande et de contrôle. Elle affecte uniquement les interfaces de détection. Il n'est pas nécessaire d'activer l'interface de commande et de contrôle, car elle ne peut pas être surveillée.

  • default : rétablit la valeur par défaut du système.

  • description : description de la paire d'interfaces en ligne.

  • duplex : paramètre duplex de l'interface.

    • auto : définit l'interface sur la négociation automatique du mode duplex.

    • full : définit l'interface en mode bidirectionnel simultané.

    • half : définit l'interface sur half duplex.

    Remarque : l'option duplex est protégée sur tous les modules.

  • no : supprime une entrée ou un paramètre de sélection.

  • speed : paramètre de vitesse de l'interface.

    • auto : définit l'interface sur la vitesse de négociation automatique.

    • 10 : définit l'interface sur 10 Mo (pour les interfaces TX uniquement).

    • 100 : définit l'interface sur 100 Mo (pour les interfaces TX uniquement).

    • 1000 : définit l'interface sur 1 Go (pour les interfaces Gigabit)

    Remarque : l'option de vitesse est protégée sur tous les modules.

  • subinterface-type : indique que l'interface est une sous-interface et le type de sous-interface défini.

    • inline-vlan-pair : permet de définir la sous-interface en tant que paire de VLAN en ligne.

    • none : aucune sous-interface définie.

  • subinterface : définit la sous-interface comme une paire de VLAN en ligne.

    • vlan1 : premier VLAN de la paire de VLAN en ligne.

    • vlan2 : deuxième VLAN de la paire de VLAN en ligne.

Configuration CLI

Complétez ces étapes afin de configurer les paramètres de paire VLAN en ligne sur le capteur à l'aide de l'interface de ligne de commande :

  1. Connectez-vous à la CLI à l'aide d'un compte disposant de privilèges administrateur.

  2. Passez en sous-mode interface :

    sensor#configure terminal
sensor(config)#service interface 
sensor(config-int)#

  3. Vérifiez s'il existe des interfaces en ligne (le type de sous-interface doit indiquer « none » si aucune interface en ligne n'a été configurée) :

    sensor(config-int)#show settings
   physical-interfaces (min: 0, max: 999999999, current: 2)
   -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/0 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <protected>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
<protected entry>
      name: GigabitEthernet0/1 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/2 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/3 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: Management0/0 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <protected>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
   -----------------------------------------------
   command-control: Management0/0 <protected>
   inline-interfaces (min: 0, max: 999999999, current: 0)
   -----------------------------------------------
   -----------------------------------------------
   bypass-mode: auto <defaulted>
   interface-notifications
   -----------------------------------------------
      missed-percentage-threshold: 0 percent <defaulted>
      notification-interval: 30 seconds <defaulted>
      idle-interface-delay: 30 seconds <defaulted>
   -----------------------------------------------
sensor(config-int)#

  4. Supprimez toutes les interfaces en ligne qui utilisent cette interface physique :

    sensor(config-int)#no inline-interfaces interface_name

  5. Affichez la liste des interfaces disponibles :

    sensor(config-int)#physical-interfaces ?
GigabitEthernet0/0     GigabitEthernet0/0 physical interface.
GigabitEthernet0/1     GigabitEthernet0/1 physical interface.
GigabitEthernet0/2     GigabitEthernet0/2 physical interface.
GigabitEthernet0/3     GigabitEthernet0/3 physical interface.
Management0/0          Management0/0 physical interface.
sensor(config-int)#physical-interfaces

  6. Spécifiez une interface :

    sensor(config-int)#physical-interfaces GigabitEthernet0/2

  7. Activez l'état admin de l'interface :

    sensor(config-int-phy)#admin-state enabled

    L'interface doit être attribuée au capteur virtuel et activée afin de surveiller le trafic.

  8. Ajoutez une description de cette interface :

    sensor(config-int-phy)#description INT1

  9. Configurez les paramètres duplex :

    sensor(config-int-phy)#duplex full

    Cette option n'est pas disponible sur les modules.

  10. Configurez la vitesse :

    sensor(config-int-phy)#speed 1000

    Cette option n'est pas disponible sur les modules.

  11. Configurez la paire de VLAN en ligne :

    sensor(config-int-phy)#subinterface-type inline-vlan-pair
sensor(config-int-phy-inl)#subinterface 1
sensor(config-int-phy-inl-sub)#vlan1 52
sensor(config-int-phy-inl-sub)#vlan2 53

  12. Ajoutez une description pour la paire de VLAN en ligne :

    sensor(config-int-phy-inl-sub)#description pairs vlans 52 and 53

  13. Vérifiez les paramètres de la paire de VLAN en ligne :

    sensor(config-int-phy-inl-sub)#show settings
   subinterface-number: 1
   -----------------------------------------------
      description: VLANpair1 default:
      vlan1: 52
      vlan2: 53
   -----------------------------------------------
sensor(config-int-phy-inl-sub)#

  14. Quittez le sous-mode interface :

    sensor(config-int-phy-inl-sub)#exit
sensor(config-int-phy-inl)#exit
sensor(config-int-phy)#exit
sensor(config-int)#exit
Apply Changes:?[yes]:

  15. Appuyez sur Entrée afin d'appliquer les modifications, ou entrez no pour les ignorer.

  16. Passez en mode de configuration de capteur virtuel :

    sensor(config)#service analysis-engine
        sensor(config-ana)#virtual-sensor vs0

  17. Ajoutez l'interface au capteur virtuel :

    sensor(config-ana-vir)#physical-interface GigabitEthernet0/2
subinterface-number 1

  18. Quittez le sous-mode virtual-sensor : 

    sensor(config-ana-vir)#exit
        sensor(config-ana)#exit
        Apply Changes:?[yes]:

  19. Appuyez sur Entrée afin d'appliquer les modifications, ou entrez no pour les ignorer.

Configuration IDM

Complétez ces étapes pour configurer les paramètres de paire de VLAN en ligne sur le capteur à l'aide du Gestionnaire de périphériques IDS (IDM) :

  1. Ouvrez votre navigateur et entrez https://<Management_IP_Address_of_IPS> pour accéder à l'IDM sur l'IPS.

  2. Cliquez sur Download IDM Launcher and Start IDM pour télécharger le programme d'installation de l'application.

  3. Accédez à la page d'accueil afin d'afficher les informations du périphérique telles que le nom d'hôte, l'adresse IP, la version et le modèle, etc.

    ips5x-vlan-mode-config1.gif

  4. Accédez à Configuration > Sensor Setup et cliquez sur Network. Vous pouvez spécifier ici le nom d'hôte, l'adresse IP et la route par défaut.

    ips5x-vlan-mode-config2.gif

  5. Accédez à Configuration > Interface Configuration et cliquez sur Summary.

    Cette page affiche le résumé de la configuration de l’interface de détection.

    ips5x-vlan-mode-config3.gif

  6. Accédez à Configuration > Interface Configuration > Interfaces et sélectionnez le nom de l'interface.Cliquez ensuite sur Enable afin d'activer l'interface de détection. Configurez également les informations relatives au mode bidirectionnel, à la vitesse et au VLAN.

    ips5x-vlan-mode-config4.gif

  7. Accédez à Configuration > Interface Configuration > VLAN Pairs et cliquez sur Add afin de créer les paires de VLAN en ligne.

    ips5x-vlan-mode-config5.gif

  8. Saisissez le numéro de sous-interface, le VLAN A et le VLAN B pour l'interface de détection (GigabitEthernet0/0).

    ips5x-vlan-mode-config6.gif

    Vous pouvez afficher le résumé de la configuration des paires de VLAN en ligne.

    ips5x-vlan-mode-config7.gif

  9. Accédez à Configuration > Analysis Engine > Virtual Sensor et cliquez sur Edit afin de créer le nouveau capteur virtuel.

    ips5x-vlan-mode-config8.gif

  10. Attribuez la paire de VLAN en ligne 52 et 53 au capteur virtuel vs0.

    ips5x-vlan-mode-config9.gif

    Affichez le résumé des informations de capteur virtuel attribuées.

    ips5x-vlan-mode-config10.gif

Dépannage

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
27-Jun-2007
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco