IPS的VLAN Group

   IPS VLAN group是IPS6.0之後才有的功能，其中VLAN Group雜合模式需要配置鏡像時打上VLAN标簽，在GNS預設不了，VLAN Group線上模式其實就是線上模式和VLAN Group的一個疊加，先配置線上接口對，接着在線上接口對上配置VLAN Group，告訴IPS上面跑了哪些VLAN,同時支援把不同的VLAN資料送到不同虛拟sensor上。

一.VLAN Group 雜合模式：

  需要交換機做鏡像時能夠打上vlan标簽，IPS可以設定多個虛拟sensor，每個sensor處理特定VLAN的流量。

<a target="_blank" href="http://blog.51cto.com/attachment/201206/132621819.jpg"></a>

二.VLAN Group 線上模式：

 VLNA group線上模式，需要交換機連接配接IPS sersor口為trunk接口，并且在IPS上需要配置VLAN group接口對。

A.測試拓撲：

<a target="_blank" href="http://blog.51cto.com/attachment/201305/210024908.jpg"></a>

B.基本步驟：

①R1：

interface f0/0

ip add 10.1.1.1 255.255.255.0

no shut

ip route 0.0.0.0 0.0.0.0 10.1.1.253

②SW1：

vlan database

 vlan 2

 vlan 3

 exit

interface f0/2

sw mo ac

sw ac vlan 2

interface f0/3

sw ac vlan 3

interface f0/15

sw tr en dot1q

sw mode trunk

int vlan 2

ip add 10.1.1.253 255.255.255.0

int vlan 3

ip add 20.1.1.253 255.255.255.0

③R2：

ip add 20.1.1.2 255.255.255.0

ip route 0.0.0.0 0.0.0.0 20.1.1.253

④R3：

ip add 10.1.1.3 255.255.255.0

ip route 0.0.0.0 0.0.0.0 10.1.1.254

⑤SW2：

ip add 10.1.1.254 255.255.255.0

ip add 20.1.1.254 255.255.255.0

⑥R4：

ip add 20.1.1.4 255.255.255.0

ip route 0.0.0.0 0.0.0.0 20.1.1.254

C.IPS6配置：

①建立接口對：

<a target="_blank" href="http://blog.51cto.com/attachment/201305/210057626.jpg"></a>

②建立VLAN Groups：

<a target="_blank" href="http://blog.51cto.com/attachment/201305/210242805.jpg"></a>

③指派sensor：

<a target="_blank" href="http://blog.51cto.com/attachment/201305/210305386.jpg"></a>

④調整簽名庫：

<a target="_blank" href="http://blog.51cto.com/attachment/201305/210628612.jpg"></a>

⑤效果測試

R1#ping 10.1.1.3  repeat 1000

Type escape sequence to abort.

Sending 1000, 100-byte ICMP Echos to 10.1.1.3, timeout is 2 seconds:

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!

Success rate is 100 percent (1000/1000), round-trip min/avg/max = 1/21/316 ms

R1#

有如下告警：

evIdsAlert: eventId=1299862434698387899  vendor=Cisco  severity=informational  

 originator:   

   hostId: sensor  

   appName: sensorApp  

   appInstanceId: 397  

 time: 2013年5月28日 下午01時05分04秒  offset=0  timeZone=UTC  

 signature:   description=ICMP Echo Reply  id=2000  version=S1  type=other  created=20001127  

   subsigId: 0  

   marsCategory: Info/AllSession  

 interfaceGroup: vs0  

 vlan: 2  

 participants:   

   attacker:   

     addr: 10.1.1.3  locality=OUT  

   target:   

     addr: 10.1.1.1  locality=OUT  

     os:   idSource=unknown  type=unknown  relevance=relevant  

 riskRatingValue: 35  targetValueRating=medium  attackRelevanceRating=relevant  

 threatRatingValue: 35  

 interface: ge0_1  

 protocol: icmp

R1#ping 20.1.1.4 repeat 100 

Sending 100, 100-byte ICMP Echos to 20.1.1.4, timeout is 2 seconds:

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Success rate is 100 percent (100/100), round-trip min/avg/max = 12/25/112 ms

evIdsAlert: eventId=1299862434698387966  vendor=Cisco  severity=informational  

 time: 2013年5月28日 下午01時06分37秒  offset=0  timeZone=UTC  

     addr: 20.1.1.4  locality=OUT  

 protocol: icmp  

本文轉自 碧雲天 51CTO部落格，原文連結：http://blog.51cto.com/333234/892612，如需轉載請自行聯系原作者