IPS 5.X及更高版本/IDSM2：使用CLI和IDM的內聯VLAN對模式配置示例

下載選項

PDF (747.3 KB)
在多種裝置上使用 Adobe Reader 檢視
ePub (720.7 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (1.2 MB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2008 年 7 月 2 日

文件 ID:97214

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

在物理介面上成對關聯VLAN稱為內聯VLAN對模式。對其中一個配對VLAN上接收的資料包進行分析並轉發到對中的另一個VLAN。除了NM-CIDS、AIP-SSM-10和AIP-SSM-20外，與入侵防禦系統(IPS) 5.1相容的所有感測器都支援內聯VLAN對。

內聯VLAN對模式是一種主動檢測模式，其中檢測介面用作802.1q中繼埠，感測器在中繼上的一對VLAN之間執行VLAN橋接。這意味著連線到感應介面的交換機必須處於中繼模式。

感測器會檢查它在每對中的每個VLAN上接收的流量，如果檢測到入侵嘗試，可以轉發該對中另一個VLAN上的資料包或丟棄該資料包。您可以配置IPS感測器同時橋接每個感應介面上多達255個VLAN對。感測器將每個接收資料包的802.1q報頭中的VLAN ID欄位替換為感測器轉發該資料包的出口VLAN的ID。感測器丟棄在任何VLAN上收到的未分配給內聯VLAN對的所有資料包。

注意：對於IPS-4260，內聯VLAN對不支援失效開放硬體旁路。有關詳細資訊，請參閱硬體旁路配置限制。

在服務介面子模式下使用physical-interfaces interface_name命令，以便使用CLI配置內聯VLAN對。介面名稱為FastEthernet或GigabitEthernet。

這些選項適用：

admin-state {enabled | disabled} —介面的管理鏈路狀態，啟用或停用介面。

註：在所有模組（IDSM-2 NM-CIDS和AIP-SSM）上的所有背板感應介面上，admin-state均設定為已啟用且受到保護（您無法更改設定）。管理狀態對命令和控制介面沒有作用（並且受到保護）。它只影響感應介面。由於無法監控命令和控制介面，因此不需要啟用該介面。
default -將值設定回系統預設設定。
description — 內聯介面對的說明。
duplex -介面的雙工設定。
- auto -將介面設定為自動協商雙工。
- full -將介面設定為全雙工。
- half -將介面設定為半雙工。
註：所有模組上的雙工選項都受到保護。
no -刪除條目或選擇設定。
speed -介面的速度設定。
- auto -將介面設定為自動協商速度。
- 10 -將介面設定為10 MB（僅用於TX介面）。
- 100 -將介面設定為100 MB（僅適用於TX介面）。
- 1000 -將介面設定為1 GB（用於千兆介面）
註：速度選項在所有模組上都受到保護。
subinterface-type -指定介面為子介面以及定義子介面的型別。
- inline-vlan-pair -用於將子介面定義為內聯VLAN對。
- none -未定義子介面。
subinterface -將子介面定義為內聯VLAN對。
- vlan1 -內聯VLAN對中的第一個VLAN。
- vlan2 -內聯VLAN對中的第二個VLAN。

CLI配置

要使用CLI配置感測器上的內聯VLAN對設定，請完成以下步驟：

使用具有管理員許可權的帳戶登入到CLI。

進入介面子模式：

sensor#configure terminal
sensor(config)#service interface 
sensor(config-int)#

驗證是否存在任何內聯介面（如果未配置內聯介面，子介面型別應顯示「none」）：

sensor(config-int)#show settings
   physical-interfaces (min: 0, max: 999999999, current: 2)
   -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/0 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <protected>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
<protected entry>
      name: GigabitEthernet0/1 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/2 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/3 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: Management0/0 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <protected>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
   -----------------------------------------------
   command-control: Management0/0 <protected>
   inline-interfaces (min: 0, max: 999999999, current: 0)
   -----------------------------------------------
   -----------------------------------------------
   bypass-mode: auto <defaulted>
   interface-notifications
   -----------------------------------------------
      missed-percentage-threshold: 0 percent <defaulted>
      notification-interval: 30 seconds <defaulted>
      idle-interface-delay: 30 seconds <defaulted>
   -----------------------------------------------
sensor(config-int)#

移除使用此實體介面的所有內嵌介面：

sensor(config-int)#no inline-interfaces interface_name

顯示可用介面的清單：

sensor(config-int)#physical-interfaces ?
GigabitEthernet0/0     GigabitEthernet0/0 physical interface.
GigabitEthernet0/1     GigabitEthernet0/1 physical interface.
GigabitEthernet0/2     GigabitEthernet0/2 physical interface.
GigabitEthernet0/3     GigabitEthernet0/3 physical interface.
Management0/0          Management0/0 physical interface.
sensor(config-int)#physical-interfaces

指定介面：

sensor(config-int)#physical-interfaces GigabitEthernet0/2

啟用介面的管理狀態：
```
sensor(config-int-phy)#admin-state enabled
```
必須將該介面分配給虛擬感測器並啟用該介面才能監視通訊量。

增加此介面的說明：

sensor(config-int-phy)#description INT1

設定雙工設定：
```
sensor(config-int-phy)#duplex full
```
此選項不適用於模組。
配置速度：
```
sensor(config-int-phy)#speed 1000
```
此選項不適用於模組。

設定內嵌VLAN配對：

sensor(config-int-phy)#subinterface-type inline-vlan-pair
sensor(config-int-phy-inl)#subinterface 1
sensor(config-int-phy-inl-sub)#vlan1 52
sensor(config-int-phy-inl-sub)#vlan2 53

新增內嵌VLAN配對的說明：

sensor(config-int-phy-inl-sub)#description pairs vlans 52 and 53

驗證內嵌VLAN配對設定：

sensor(config-int-phy-inl-sub)#show settings
   subinterface-number: 1
   -----------------------------------------------
      description: VLANpair1 default:
      vlan1: 52
      vlan2: 53
   -----------------------------------------------
sensor(config-int-phy-inl-sub)#

退出介面子模式：

sensor(config-int-phy-inl-sub)#exit
sensor(config-int-phy-inl)#exit
sensor(config-int-phy)#exit
sensor(config-int)#exit
Apply Changes:?[yes]:

按Enter 鍵以應用更改，或輸入no 以放棄更改。

進入虛擬感測器配置模式：

sensor(config)#service analysis-engine
        sensor(config-ana)#virtual-sensor vs0

將介面增加到虛擬感測器：

sensor(config-ana-vir)#physical-interface GigabitEthernet0/2
subinterface-number 1

退出虛擬感測器子模式：

sensor(config-ana-vir)#exit
        sensor(config-ana)#exit
        Apply Changes:?[yes]:

按Enter 鍵以應用更改，或輸入no 以放棄更改。

IDM配置

完成以下步驟，使用IDS裝置管理器(IDM)配置感測器上的內聯VLAN對設定：

打開瀏覽器並輸入https:// <Management_IP_Address_of_IPS>以訪問IPS上的IDM。
按一下Download IDM Launcher and Start IDM以下載應用程式的安裝程式。
移至[首頁]以檢視裝置資訊，例如主機名稱、IP位址、版本和型號等。
轉到Configuration > Sensor Setup，然後按一下Network。您可以在此處指定主機名、IP地址和預設路由。
轉到Configuration > Interface Configuration，然後按一下Summary。

本頁顯示感應介面的組態摘要。
轉到Configuration > Interface Configuration > Interfaces，然後選擇介面名稱。然後，按一下Enable以啟用感應介面。此外，配置雙工、速度和VLAN資訊。
轉到Configuration > Interface Configuration > VLAN Pairs，然後按一下Add以建立內聯VLAN對。
輸入子介面號、VLAN A和VLAN B作為感應介面(GigabitEthernet0/0)。

您可以檢視內嵌VLAN配對組態的摘要。
轉到Configuration > Analysis Engine > Virtual Sensor 並按一下Edit 以建立新的虛擬感測器。
將內聯VLAN對52和53分配給虛擬感測器vs0。

檢視分配的虛擬感測器資訊的摘要。