1、應客戶的回報,需要搭建一個旁路IDS的環境。簡單了解下,是在交換機上做Monitor接口,使被監控的流量到IDS裝置上進行分析。從客戶需求上看貌似應該不難。是以,利用手頭上的裝置簡單搭建了一個環境。草圖如下:
交換機A(trunk接口)<=============>(trunk接口)交換機B
|| (monitor)
IDS旁路裝置
2、從拓撲上看在交換機B上做monitor影像,使trunk接口的資料包能到達IDS裝置上。現手頭上的裝置是台Cisco 3750。
3、交換機的配置都是比較正常的,詳細指令可在網上搜尋,主要說一下過程。
1)配置交換機B與交換機A相連的接口為Trunk模式,allow正常的vlan。
2)在交換機B上的某個空閑接口與IDS相連,該接口為access模式。
3)配置monitor,source為trunk接口(both),destination為IDS相連的接口 。
4、但在IDS上抓包,發現到達IDS裝置上的資料包沒有vlan的Tag标記。不是0x8100而是0x8000。
如圖所示
在IDS上抓取的資料包:
在資料端抓取的資料包:
5、不明是以,進行了排查。交換機B上的配置都是正常的。但在交換機B與IDS相連的接口模式為Access,是否是這個原因,使tag标記被删除了呢。
修改了該接口的模式為Trunk,并且allow vlan 為資料交換機vlanID。但在IDS上抓包,還是一樣沒有tag标記。查閱了相關文檔,對這部分沒有詳細的描述。
初步懷疑Cisco在轉發和在Monitor上,對Trunk vlan Tag辨別有修改。Cisco上的Monitor不能将源接口的資料,完全影像至Monitor接口。
6、為了驗證上述問題,使用華為S9306,相同的拓撲下,在IDS上能夠抓取帶有vlan Tag标記的資料包。
對于這個問題,不太明白為什麼Cisco沒有完全影像?還是另有配置可以使其完全影像?如果有哪位知道,請私信我。謝謝!
7、以上,是在工作中遇到的一些有趣的問題,僅供大家參考,謝謝!