IPS 5.X 이상/IDSM2: CLI 및 IDM 컨피그레이션을 사용하는 인라인 VLAN 쌍 모드

소개

물리적 인터페이스에서 쌍으로 VLAN을 연결하는 것을 인라인 VLAN 쌍 모드라고 합니다. 쌍을 이룬 VLAN 중 하나에서 수신된 패킷은 분석되어 쌍의 다른 VLAN으로 전달됩니다. 인라인 VLAN 쌍은 NM-CIDS, AIP-SSM-10 및 AIP-SSM-20을 제외하고 IPS(Intrusion Prevention System) 5.1과 호환되는 모든 센서에서 지원됩니다.

인라인 VLAN 쌍 모드는 센싱 인터페이스가 802.1q 트렁크 포트로 작동하고 센서가 트렁크의 VLAN 쌍 간에 VLAN 브리징을 수행하는 액티브 센싱 모드입니다. 이는 센싱 인터페이스에 연결된 스위치가 반드시 트렁크 모드에 있어야 함을 의미한다.

센서는 각 쌍의 각 VLAN에서 수신하는 트래픽을 검사하며, 쌍의 다른 VLAN에서 패킷을 전달하거나 침입 시도가 탐지되면 패킷을 삭제할 수 있습니다. 각 센싱 인터페이스에서 최대 255개의 VLAN 쌍을 동시에 브리징하도록 IPS 센서를 구성할 수 있습니다. 센서는 수신된 각 패킷의 802.1q 헤더에 있는 VLAN ID 필드를 센서가 패킷을 전달하는 이그레스 VLAN의 ID로 교체합니다. 센서는 인라인 VLAN 쌍에 할당되지 않은 VLAN에서 수신된 모든 패킷을 삭제합니다.

참고: IPS-4260의 경우, 인라인 VLAN 쌍에서는 장애 노출 하드웨어 우회가 지원되지 않습니다. 자세한 내용은 하드웨어 바이패스 컨피그레이션 제한을 참조하십시오.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 5.1 이상을 사용하는 Cisco Intrusion Prevention System Sensor를 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

관련 제품

이 문서의 정보는 IDSM-2(Intrusion Detection System) Services Module에도 적용됩니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

VACL 캡처 컨피그레이션

스위치의 IDSM에 트래픽을 전송하려면 IDSM-2 구성의 VACL 캡처 구성 섹션을 참조하십시오.

인라인 VLAN 쌍 모드 컨피그레이션

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

참고: 이 섹션에 사용된 명령에 대한 자세한 내용을 보려면 명령 조회 도구(등록된 고객만 해당)를 사용하십시오.

CLI를 사용하여 인라인 VLAN 쌍을 구성하려면 서비스 인터페이스 하위 모드에서 physical-interfaces interface_name 명령을 사용합니다. 인터페이스 이름은 FastEthernet 또는 GigabitEthernet 입니다.

다음 옵션이 적용됩니다.

• admin-state {enabled | disabled} - 인터페이스의 관리 링크 상태(인터페이스의 활성화 여부)입니다.

  참고: 모든 모듈(IDSM-2 NM-CIDS 및 AIP-SSM)의 모든 백플레인 센싱 인터페이스에서 admin-state는 enabled로 설정되고 보호됩니다(설정을 변경할 수 없음). admin-state는 명령 및 제어 인터페이스에 영향을 미치지 않으며 보호됩니다. 센싱 인터페이스에만 영향을 미칩니다. 명령 및 제어 인터페이스는 모니터링할 수 없으므로 활성화할 필요가 없습니다.

• default - 값을 시스템 기본 설정으로 다시 설정합니다.

• description - 인라인 인터페이스 쌍에 대한 설명입니다.

• duplex — 인터페이스의 듀플렉스 설정입니다.

  • auto - 듀플렉스를 자동 협상하도록 인터페이스를 설정합니다.

  • full — 인터페이스를 전이중으로 설정합니다.

  • half — 인터페이스를 반이중으로 설정합니다.

  참고: duplex 옵션은 모든 모듈에서 보호됩니다.

• no - 항목 또는 선택 설정을 제거합니다.

• speed - 인터페이스의 속도 설정입니다.

  • auto - 속도를 자동 협상하도록 인터페이스를 설정합니다.

  • 10 - 인터페이스를 10MB로 설정합니다(TX 인터페이스에만 해당).

  • 100 - 인터페이스를 100MB로 설정합니다(TX 인터페이스에만 해당).

  • 1000 — 인터페이스를 1GB로 설정합니다(기가비트 인터페이스용).

  참고: speed 옵션은 모든 모듈에서 보호됩니다.

• subinterface-type - 인터페이스가 하위 인터페이스이고 정의된 하위 인터페이스 유형을 지정합니다.

  • inline-vlan-pair - 하위 인터페이스를 인라인 VLAN 쌍으로 정의할 수 있습니다.

  • none - 하위 인터페이스가 정의되지 않았습니다.

• subinterface - 하위 인터페이스를 인라인 VLAN 쌍으로 정의합니다.

  • vlan1 - 인라인 VLAN 쌍의 첫 번째 VLAN입니다.

  • vlan2 - 인라인 VLAN 쌍의 두 번째 VLAN입니다.

CLI 컨피그레이션

CLI를 사용하여 센서에서 인라인 VLAN 쌍 설정을 구성하려면 다음 단계를 완료합니다.

1. 관리자 권한이 있는 계정을 사용하여 CLI에 로그인합니다.

2. 인터페이스 하위 모드로 들어갑니다.

   sensor#configure terminal
   sensor(config)#service interface 
   sensor(config-int)#

3. 인라인 인터페이스가 존재하는지 확인합니다(인라인 인터페이스가 구성되지 않은 경우 하위 인터페이스 유형은 "none"으로 읽어야 함).

   sensor(config-int)#show settings
      physical-interfaces (min: 0, max: 999999999, current: 2)
      -----------------------------------------------
         <protected entry>
         name: GigabitEthernet0/0 <defaulted>
         -----------------------------------------------
            media-type: tx <protected>
            description: <defaulted>
            admin-state: disabled <protected>
            duplex: auto <defaulted>
            speed: auto <defaulted>
            alt-tcp-reset-interface
            -----------------------------------------------
               none
               -----------------------------------------------
               -----------------------------------------------
            -----------------------------------------------
            subinterface-type
            -----------------------------------------------
               none
               -----------------------------------------------
               -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
   <protected entry>
         name: GigabitEthernet0/1 <defaulted>
         -----------------------------------------------
            media-type: tx <protected>
            description: <defaulted>
            admin-state: disabled <defaulted>
            duplex: auto <defaulted>
            speed: auto <defaulted>
            alt-tcp-reset-interface
            -----------------------------------------------
               none
               -----------------------------------------------
               -----------------------------------------------
            -----------------------------------------------
            subinterface-type
            -----------------------------------------------
               none
               -----------------------------------------------
               -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         <protected entry>
         name: GigabitEthernet0/2 <defaulted>
         -----------------------------------------------
            media-type: tx <protected>
            description: <defaulted>
            admin-state: disabled <defaulted>
            duplex: auto <defaulted>
            speed: auto <defaulted>
            alt-tcp-reset-interface
            -----------------------------------------------
               none
               -----------------------------------------------
               -----------------------------------------------
            -----------------------------------------------
            subinterface-type
            -----------------------------------------------
               none
               -----------------------------------------------
               -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         <protected entry>
         name: GigabitEthernet0/3 <defaulted>
         -----------------------------------------------
            media-type: tx <protected>
            description: <defaulted>
            admin-state: disabled <defaulted>
            duplex: auto <defaulted>
            speed: auto <defaulted>
            alt-tcp-reset-interface
            -----------------------------------------------
               none
               -----------------------------------------------
               -----------------------------------------------
            -----------------------------------------------
            subinterface-type
            -----------------------------------------------
               none
               -----------------------------------------------
               -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         <protected entry>
         name: Management0/0 <defaulted>
         -----------------------------------------------
            media-type: tx <protected>
            description: <defaulted>
            admin-state: disabled <protected>
            duplex: auto <defaulted>
            speed: auto <defaulted>
            alt-tcp-reset-interface
            -----------------------------------------------
               none
               -----------------------------------------------
               -----------------------------------------------
            -----------------------------------------------
            subinterface-type
            -----------------------------------------------
               none
               -----------------------------------------------
               -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      command-control: Management0/0 <protected>
      inline-interfaces (min: 0, max: 999999999, current: 0)
      -----------------------------------------------
      -----------------------------------------------
      bypass-mode: auto <defaulted>
      interface-notifications
      -----------------------------------------------
         missed-percentage-threshold: 0 percent <defaulted>
         notification-interval: 30 seconds <defaulted>
         idle-interface-delay: 30 seconds <defaulted>
      -----------------------------------------------
   sensor(config-int)#

4. 이 물리적 인터페이스를 사용하는 인라인 인터페이스를 제거합니다.

   sensor(config-int)#no inline-interfaces interface_name
   

5. 사용 가능한 인터페이스 목록을 표시합니다.

   sensor(config-int)#physical-interfaces ?
   GigabitEthernet0/0     GigabitEthernet0/0 physical interface.
   GigabitEthernet0/1     GigabitEthernet0/1 physical interface.
   GigabitEthernet0/2     GigabitEthernet0/2 physical interface.
   GigabitEthernet0/3     GigabitEthernet0/3 physical interface.
   Management0/0          Management0/0 physical interface.
   sensor(config-int)#physical-interfaces
   

6. 인터페이스 지정:

   sensor(config-int)#physical-interfaces GigabitEthernet0/2
   

7. 인터페이스의 admin-state를 활성화합니다.

   sensor(config-int-phy)#admin-state enabled
   

   트래픽을 모니터링하려면 인터페이스를 가상 센서에 할당하고 활성화해야 합니다.

8. 이 인터페이스에 대한 설명을 추가합니다.

   sensor(config-int-phy)#description INT1
   

9. 듀플렉스 설정을 구성합니다.

   sensor(config-int-phy)#duplex full
   

   모듈에서는 이 옵션을 사용할 수 없습니다.

10. 속도를 구성합니다.

    sensor(config-int-phy)#speed 1000
    

    모듈에서는 이 옵션을 사용할 수 없습니다.

11. 인라인 VLAN 쌍을 설정합니다.

    sensor(config-int-phy)#subinterface-type inline-vlan-pair
    sensor(config-int-phy-inl)#subinterface 1
    sensor(config-int-phy-inl-sub)#vlan1 52
    sensor(config-int-phy-inl-sub)#vlan2 53
    

12. 인라인 VLAN 쌍에 대한 설명을 추가합니다.

    sensor(config-int-phy-inl-sub)#description pairs vlans 52 and 53
    

13. 인라인 VLAN 쌍 설정을 확인합니다.

    sensor(config-int-phy-inl-sub)#show settings
       subinterface-number: 1
       -----------------------------------------------
          description: VLANpair1 default:
          vlan1: 52
          vlan2: 53
       -----------------------------------------------
    sensor(config-int-phy-inl-sub)#

14. 인터페이스 하위 모드를 종료합니다.

    sensor(config-int-phy-inl-sub)#exit
    sensor(config-int-phy-inl)#exit
    sensor(config-int-phy)#exit
    sensor(config-int)#exit
    Apply Changes:?[yes]:

15. 변경 사항을 적용하려면 Enter를 누르고, 무시하려면 no를 입력합니다.

16. 가상 센서 컨피그레이션 모드로 들어갑니다.

    sensor(config)#service analysis-engine
            sensor(config-ana)#virtual-sensor vs0
    

17. 가상 센서에 인터페이스를 추가합니다.

    sensor(config-ana-vir)#physical-interface GigabitEthernet0/2
    subinterface-number 1
    

18. 가상 센서 하위 모드를 종료합니다.

    sensor(config-ana-vir)#exit
            sensor(config-ana)#exit
            Apply Changes:?[yes]:

19. 변경 사항을 적용하려면 Enter를 누르고, 무시하려면 no를 입력합니다.

IDM 컨피그레이션

IDS IDM(Device Manager)을 사용하여 센서에서 인라인 VLAN 쌍 설정을 구성하려면 다음 단계를 완료합니다.

1. 브라우저를 열고 https://<Management_IP_Address_of_IPS>를 입력하여 IPS의 IDM에 액세스합니다.

2. Download IDM Launcher and Start IDM(IDM 시작 및 IDM 다운로드)을 클릭하여 애플리케이션의 설치 프로그램을 다운로드합니다.

3. 호스트 이름, IP 주소, 버전, 모델 등의 디바이스 정보를 보려면 홈 페이지로 이동합니다.

   

4. Configuration(컨피그레이션) > Sensor Setup(센서 설정)으로 이동하고 Network(네트워크)를 클릭합니다. 여기서 호스트 이름, IP 주소 및 기본 경로를 지정할 수 있습니다.

   

5. Configuration(컨피그레이션) > Interface Configuration(인터페이스 컨피그레이션)으로 이동하고 Summary(요약)를 클릭합니다.

   이 페이지에는 센싱 인터페이스의 컨피그레이션 요약이 표시됩니다.

   

6. Configuration(컨피그레이션) > Interface Configuration(인터페이스 컨피그레이션) > Interfaces(인터페이스)로 이동하여 인터페이스 이름을 선택한 다음 Enable(활성화)을 클릭하여 센싱 인터페이스를 활성화합니다. 또한 Duplex(듀플렉스), Speed(속도) 및 VLAN 정보도 구성합니다.

   

7. Configuration(컨피그레이션) > Interface Configuration(인터페이스 컨피그레이션) > VLAN Pairs(VLAN 쌍)로 이동하고 Add(추가)를 클릭하여 인라인 VLAN 쌍을 생성합니다.

   

8. 센싱 인터페이스의 하위 인터페이스 번호, VLAN A 및 VLAN B를 입력합니다(GigabitEthernet0/0).

   

   인라인 VLAN 쌍 컨피그레이션의 요약을 볼 수 있습니다.

   

9. 새 가상 센서를 생성하려면 Configuration(컨피그레이션) > Analysis Engine(분석 엔진) > Virtual Sensor(가상 센서)로 이동하여 Edit(편집)를 클릭합니다.

   

10. 인라인 VLAN 쌍 52 및 53을 가상 센서 vs0에 할당합니다.

    

    할당된 가상 센서 정보의 요약을 봅니다.

    

문제 해결

현재 이 설정에 사용할 수 있는 특정 문제 해결 정보가 없습니다.

관련 정보

• Cisco ASA 5500 Series Adaptive Security Appliance
• Cisco 침입 방지 시스템
• Cisco IPS 4200 Series Sensor
• 기술 지원 및 문서 − Cisco Systems