IPS 5.X e posterior/IDSM2: Exemplo de Configuração de Modo de Par de VLAN em Linha Usando CLI e IDM

Opções de download

  • PDF     (623.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (728.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:2 de julho de 2008
ID do documento:97214

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

A associação de VLANs em pares em uma interface física é conhecida como modo de par VLAN em linha. Os pacotes recebidos em uma das VLANs emparelhadas são analisados e encaminhados para a outra VLAN no par. Os pares de VLANs em linha são suportados em todos os sensores compatíveis com o Sistema de prevenção de intrusão (IPS - Intrusion Prevention System) 5.1, exceto NM-CIDS, AIP-SSM-10 e AIP-SSM-20.

O modo de par de VLAN em linha é um modo de detecção ativo em que uma interface de detecção atua como uma porta de tronco 802.1q e o sensor executa o bridging de VLAN entre pares de VLANs no tronco. Isso significa que o switch conectado à interface de detecção deve estar no modo trunk.

O sensor inspeciona o tráfego recebido em cada VLAN em cada par e pode encaminhar os pacotes na outra VLAN do par ou descartar o pacote se uma tentativa de invasão for detectada. Você pode configurar um sensor IPS para conectar simultaneamente até 255 pares de VLANs em cada interface de detecção. O sensor substitui o campo VLAN ID no cabeçalho 802.1q de cada pacote recebido pelo ID da VLAN de saída na qual o sensor encaminha o pacote. O sensor descarta todos os pacotes recebidos em qualquer VLAN que não esteja atribuída a pares de VLANs em linha.

Observação: para IPS-4260, o desvio de hardware fail-open não é suportado em pares de VLAN em linha. Consulte Restrições de Configuração de Desvio de Hardware para obter mais informações.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no Cisco Intrusion Prevention System Sensor que usa o 5.1 e posterior.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

As informações neste documento também se aplicam ao módulo de serviços do Sistema de detecção de intrusão (IDSM-2).

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração de Captura de VACL

Consulte a seção Configuração da Captura de VACL de Configuração de IDSM-2 para enviar tráfego ao IDSM no switch.

Configuração do modo de par VLAN em linha

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Use o comando physical-interfaces interface_name no submodo interface de serviço para configurar pares de VLAN inline usando a CLI. O nome da interface é FastEthernet ou GigabitEthernet.

As seguintes opções se aplicam:

  • admin-state {enabled | disabled} — O estado do link administrativo da interface, independentemente de ela estar ativada ou desativada.

    Observação: em todas as interfaces de detecção do painel traseiro em todos os módulos (IDSM-2 NM-CIDS e AIP-SSM), o estado de administração é definido como ativado e protegido (não é possível alterar a configuração). O estado admin não tem efeito (e é protegido) na interface de comando e controle. Ele afeta apenas interfaces de detecção. A interface de comando e controle não precisa ser habilitada porque não pode ser monitorada.

  • default — Define o valor de volta para a configuração padrão do sistema.

  • description — Sua descrição do par de interfaces em linha.

  • duplex — A configuração duplex da interface.

    • auto — Define a interface para negociar automaticamente duplex.

    • full — Define a interface para full duplex.

    • half — Define a interface para half duplex.

    Observação: a opção duplex está protegida em todos os módulos.

  • no — Remove uma entrada ou configuração de seleção.

  • speed — A configuração de velocidade da interface.

    • auto — Define a interface para negociar automaticamente a velocidade.

    • 10 — Define a interface para 10 MB (somente para interfaces TX).

    • 100 — Define a interface para 100 MB (somente para interfaces TX).

    • 1000 — Define a interface como 1 GB (para interfaces Gigabit)

    Observação: a opção de velocidade está protegida em todos os módulos.

  • subinterface-type — Especifica que a interface é uma subinterface e que tipo de subinterface é definido.

    • inline-vlan-pair — Permite que você defina a subinterface como um par de VLAN em linha.

    • none — nenhuma subinterface definida.

  • subinterface — Define a subinterface como um par de VLAN em linha.

    • vlan1 — A primeira VLAN no par de VLANs em linha.

    • vlan2 — A segunda VLAN no par de VLANs em linha.

Configuração de CLI

Conclua estes passos para configurar as definições do par VLAN em linha no sensor usando CLI:

  1. Faça logon na CLI usando uma conta com privilégios de administrador.

  2. Entre no submodo da interface:

    sensor#configure terminal
sensor(config)#service interface 
sensor(config-int)#

  3. Verifique se existe alguma interface em linha (o tipo de subinterface deve ler "none" se nenhuma interface em linha tiver sido configurada):

    sensor(config-int)#show settings
   physical-interfaces (min: 0, max: 999999999, current: 2)
   -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/0 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <protected>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
<protected entry>
      name: GigabitEthernet0/1 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/2 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/3 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: Management0/0 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <protected>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
   -----------------------------------------------
   command-control: Management0/0 <protected>
   inline-interfaces (min: 0, max: 999999999, current: 0)
   -----------------------------------------------
   -----------------------------------------------
   bypass-mode: auto <defaulted>
   interface-notifications
   -----------------------------------------------
      missed-percentage-threshold: 0 percent <defaulted>
      notification-interval: 30 seconds <defaulted>
      idle-interface-delay: 30 seconds <defaulted>
   -----------------------------------------------
sensor(config-int)#

  4. Remova todas as interfaces em linha que usam esta interface física:

    sensor(config-int)#no inline-interfaces interface_name

  5. Exiba a lista de interfaces disponíveis:

    sensor(config-int)#physical-interfaces ?
GigabitEthernet0/0     GigabitEthernet0/0 physical interface.
GigabitEthernet0/1     GigabitEthernet0/1 physical interface.
GigabitEthernet0/2     GigabitEthernet0/2 physical interface.
GigabitEthernet0/3     GigabitEthernet0/3 physical interface.
Management0/0          Management0/0 physical interface.
sensor(config-int)#physical-interfaces

  6. Especifique uma interface:

    sensor(config-int)#physical-interfaces GigabitEthernet0/2

  7. Ative o estado admin da interface:

    sensor(config-int-phy)#admin-state enabled

    A interface deve ser atribuída ao sensor virtual e habilitada para monitorar o tráfego.

  8. Adicione uma descrição para esta interface:

    sensor(config-int-phy)#description INT1

  9. Defina as configurações de duplex:

    sensor(config-int-phy)#duplex full

    Esta opção não está disponível em módulos.

  10. Configure a velocidade:

    sensor(config-int-phy)#speed 1000

    Esta opção não está disponível em módulos.

  11. Configure o par de VLANs em linha:

    sensor(config-int-phy)#subinterface-type inline-vlan-pair
sensor(config-int-phy-inl)#subinterface 1
sensor(config-int-phy-inl-sub)#vlan1 52
sensor(config-int-phy-inl-sub)#vlan2 53

  12. Adicione uma descrição para o par de VLANs em linha:

    sensor(config-int-phy-inl-sub)#description pairs vlans 52 and 53

  13. Verifique as configurações do par de VLANs em linha:

    sensor(config-int-phy-inl-sub)#show settings
   subinterface-number: 1
   -----------------------------------------------
      description: VLANpair1 default:
      vlan1: 52
      vlan2: 53
   -----------------------------------------------
sensor(config-int-phy-inl-sub)#

  14. Saia do submodo da interface:

    sensor(config-int-phy-inl-sub)#exit
sensor(config-int-phy-inl)#exit
sensor(config-int-phy)#exit
sensor(config-int)#exit
Apply Changes:?[yes]:

  15. Pressione Enter para aplicar as alterações ou digite no para descartá-las.

  16. Entre no modo de configuração do sensor virtual:

    sensor(config)#service analysis-engine
        sensor(config-ana)#virtual-sensor vs0

  17. Adicione a interface ao sensor virtual:

    sensor(config-ana-vir)#physical-interface GigabitEthernet0/2
subinterface-number 1

  18. Saia do submodo do sensor virtual: 

    sensor(config-ana-vir)#exit
        sensor(config-ana)#exit
        Apply Changes:?[yes]:

  19. Pressione Enter para aplicar as alterações ou digite no para descartá-las.

Configuração do IDM

Conclua estes passos para configurar o par VLAN em linha no sensor usando o IDS Device Manager (IDM):

  1. Abra o navegador e digite https://<Management_IP_Address_of_IPS> para acessar o IDM no IPS.

  2. Clique em Download IDM Launcher and Start IDM para fazer o download do instalador do aplicativo.

  3. Vá para a página inicial para exibir as informações do dispositivo, como Nome do host, Endereço IP, versão e modelo. etc.

    ips5x-vlan-mode-config1.gif

  4. Vá para Configuration > Sensor Setup e clique em Network. Aqui você pode especificar o nome de host, o endereço IP e a rota padrão.

    ips5x-vlan-mode-config2.gif

  5. Vá para Configuration > Interface Configuration e clique em Summary.

    Esta página mostra o resumo da configuração da interface de detecção.

    ips5x-vlan-mode-config3.gif

  6. Vá para Configuration > Interface Configuration > Interfaces e selecione o nome da interface.Em seguida, clique em Enable para habilitar a interface de detecção. Além disso, configure as informações de Duplex, Velocidade e VLAN.

    ips5x-vlan-mode-config4.gif

  7. Vá para Configuration > Interface Configuration > VLAN Pairs e clique em Add para criar os Pares de VLAN em linha.

    ips5x-vlan-mode-config5.gif

  8. Insira o Número da subinterface, VLAN A e VLAN B para a interface de detecção (GigabitEthernet0/0).

    ips5x-vlan-mode-config6.gif

    Você pode ver o resumo da Configuração de Par de VLAN em Linha.

    ips5x-vlan-mode-config7.gif

  9. Vá para Configuration > Analysis Engine > Virtual Sensor e clique em Edit para criar o novo sensor virtual.

    ips5x-vlan-mode-config8.gif

  10. Atribua o par de VLANs em linha 52 e 53 ao Virtual Sensor vs0.

    ips5x-vlan-mode-config9.gif

    Exiba o resumo das informações do sensor virtual atribuído.

    ips5x-vlan-mode-config10.gif

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
27-Jun-2007
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco