IPS 5.X及更高版本/IDSM2：使用CLI和IDM的内联VLAN对模式配置示例

下载选项

PDF (734.2 KB)
在各种设备上使用 Adobe Reader 查看
ePub (720.7 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (1.2 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2008 年 7 月 2 日

文档 ID:97214

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

物理接口上成对的VLAN关联称为内联VLAN对模式。对其中一个配对VLAN上收到的数据包进行分析，然后将其转发到对中的另一个VLAN。与入侵防御系统(IPS) 5.1兼容的所有传感器都支持内联VLAN对，但NM-CIDS、AIP-SSM-10和AIP-SSM-20除外。

内联VLAN对模式是一种主动感应模式，其中感应接口充当802.1q中继端口，传感器在中继上的一对VLAN之间执行VLAN桥接。这意味着连接到感应接口的交换机必须处于中继模式。

传感器会检查在每个对中的每个VLAN上接收的流量，如果检测到入侵尝试，可以转发对中其他VLAN上的数据包或丢弃数据包。可以配置IPS传感器，以同时桥接每个感应接口上的最多255个VLAN对。传感器将收到的每个数据包的802.1q报头中的VLAN ID字段替换为传感器转发数据包的出口VLAN的ID。传感器丢弃在所有VLAN上收到的未分配给内联VLAN对的所有数据包。

注意：对于IPS-4260，内联VLAN对不支持失效开放硬件旁路。有关详细信息，请参阅硬件旁路配置限制。

在服务接口子模式下使用physical-interfaces interface_name命令，以便使用CLI配置内联VLAN对。接口名称为FastEthernet或GigabitEthernet。

这些选项适用：

admin-state {enabled | disabled} — 接口的管理链路状态，启用或禁用接口。

注意：在所有模块（IDSM-2 NM-CIDS和AIP-SSM）的所有背板感应接口上，admin-state设置为enabled并且受到保护（您无法更改设置）。admin-state（处于保护状态）对于命令和控制接口没有影响。它只影响传感器接口。命令和控制接口无需启用，因为无法对其进行监控。
default -将值设置回系统默认设置。
description — 内联接口对的说明。
duplex -接口的双工设置。
- auto -将接口设置为自动协商双工。
- full -将接口设置为全双工。
- half -将接口设置为半双工。
注意：duplex选项在所有模块上都受保护。
no -删除条目或选择设置。
speed -接口的速度设置。
- auto -将接口设置为自动协商速度。
- 10 -将接口设置为10 MB（仅用于TX接口）。
- 100 -将接口设置为100 MB（仅用于TX接口）。
- 1000 -将接口设置为1 GB（用于千兆接口）
注意：速度选项在所有模块上均受到保护。
subinterface-type -指定接口是子接口且定义了子接口的类型。
- inline-vlan-pair -允许将子接口定义为内联VLAN对。
- none -未定义子接口。
subinterface -将子接口定义为内联VLAN对。
- vlan1 -内联VLAN对中的第一个VLAN。
- vlan2 -内联VLAN对中的第二个VLAN。

CLI 配置

要使用CLI在传感器上配置内联VLAN对设置，请完成以下步骤：

使用具有管理员权限的帐户登录 CLI。

输入接口子模式：

sensor#configure terminal
sensor(config)#service interface 
sensor(config-int)#

验证是否存在任何内联接口（如果尚未配置任何内联接口，子接口类型应显示“none”）：

sensor(config-int)#show settings
   physical-interfaces (min: 0, max: 999999999, current: 2)
   -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/0 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <protected>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
<protected entry>
      name: GigabitEthernet0/1 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/2 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/3 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: Management0/0 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <protected>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
   -----------------------------------------------
   command-control: Management0/0 <protected>
   inline-interfaces (min: 0, max: 999999999, current: 0)
   -----------------------------------------------
   -----------------------------------------------
   bypass-mode: auto <defaulted>
   interface-notifications
   -----------------------------------------------
      missed-percentage-threshold: 0 percent <defaulted>
      notification-interval: 30 seconds <defaulted>
      idle-interface-delay: 30 seconds <defaulted>
   -----------------------------------------------
sensor(config-int)#

删除使用此物理接口的所有内联接口：

sensor(config-int)#no inline-interfaces interface_name

显示可用接口列表：

sensor(config-int)#physical-interfaces ?
GigabitEthernet0/0     GigabitEthernet0/0 physical interface.
GigabitEthernet0/1     GigabitEthernet0/1 physical interface.
GigabitEthernet0/2     GigabitEthernet0/2 physical interface.
GigabitEthernet0/3     GigabitEthernet0/3 physical interface.
Management0/0          Management0/0 physical interface.
sensor(config-int)#physical-interfaces

指定接口：

sensor(config-int)#physical-interfaces GigabitEthernet0/2

启用接口的管理状态：
```
sensor(config-int-phy)#admin-state enabled
```
接口必须分配给虚拟传感器并启用，才能监控通信量。

添加此接口的说明：

sensor(config-int-phy)#description INT1

配置双工设置：
```
sensor(config-int-phy)#duplex full
```
此选项在模块上不可用。
配置速度：
```
sensor(config-int-phy)#speed 1000
```
此选项在模块上不可用。

设置内联VLAN对：

sensor(config-int-phy)#subinterface-type inline-vlan-pair
sensor(config-int-phy-inl)#subinterface 1
sensor(config-int-phy-inl-sub)#vlan1 52
sensor(config-int-phy-inl-sub)#vlan2 53

为内联VLAN对添加说明：

sensor(config-int-phy-inl-sub)#description pairs vlans 52 and 53

验证内联VLAN对设置：

sensor(config-int-phy-inl-sub)#show settings
   subinterface-number: 1
   -----------------------------------------------
      description: VLANpair1 default:
      vlan1: 52
      vlan2: 53
   -----------------------------------------------
sensor(config-int-phy-inl-sub)#

退出接口子模式：

sensor(config-int-phy-inl-sub)#exit
sensor(config-int-phy-inl)#exit
sensor(config-int-phy)#exit
sensor(config-int)#exit
Apply Changes:?[yes]:

按Enter 以应用更改，或输入no 以放弃更改。

进入虚拟传感器配置模式：

sensor(config)#service analysis-engine
        sensor(config-ana)#virtual-sensor vs0

将接口添加到虚拟传感器：

sensor(config-ana-vir)#physical-interface GigabitEthernet0/2
subinterface-number 1

退出虚拟传感器子模式：

sensor(config-ana-vir)#exit
        sensor(config-ana)#exit
        Apply Changes:?[yes]:

按Enter 以应用更改，或输入no 以放弃更改。

IDM 配置

要使用IDS设备管理器(IDM)配置传感器上的内联VLAN对设置，请完成以下步骤：

打开浏览器并输入 https://<Management_IP_Address_of_IPS> 以访问 IPS 上的 IDM。
单击 Download IDM Launcher 和“Start IDM”以下载应用程序的安装程序。
转到主页以查看设备信息，例如主机名、IP地址、版本和型号等。
转到 Configuration > Sensor Setup 并单击“Network”。在这里可以指定“Hostname”、“IP Address”和“Default Route”。
转到 Configuration > Interface Configuration 并单击“Summary”。

此页显示感应接口的配置摘要。
转到Configuration > Interface Configuration > Interfaces并选择接口名称。然后，单击Enable以启用感应接口。此外还要配置 Duplex、Speed 和 VLAN 信息。
转到Configuration > Interface Configuration > VLAN Pairs 并单击Add以创建内联VLAN对。
输入子接口号、VLAN A和VLAN B作为感应接口(GigabitEthernet0/0)。

您可以查看内联VLAN对配置的摘要。
转到 Configuration > Analysis Engine > Virtual Sensor 并单击“Edit”以创建新的虚拟传感器。
将内联VLAN对52和53分配给虚拟传感器vs0。

查看所分配的虚拟传感器信息的摘要。