1、应客户的反馈,需要搭建一个旁路IDS的环境。简单了解下,是在交换机上做Monitor接口,使被监控的流量到IDS设备上进行分析。从客户需求上看貌似应该不难。所以,利用手头上的设备简单搭建了一个环境。草图如下:
交换机A(trunk接口)<=============>(trunk接口)交换机B
|| (monitor)
IDS旁路设备
2、从拓扑上看在交换机B上做monitor影像,使trunk接口的数据包能到达IDS设备上。现手头上的设备是台Cisco 3750。
3、交换机的配置都是比较正常的,详细命令可在网上搜索,主要说一下过程。
1)配置交换机B与交换机A相连的接口为Trunk模式,allow正常的vlan。
2)在交换机B上的某个空闲接口与IDS相连,该接口为access模式。
3)配置monitor,source为trunk接口(both),destination为IDS相连的接口 。
4、但在IDS上抓包,发现到达IDS设备上的数据包没有vlan的Tag标记。不是0x8100而是0x8000。
如图所示
在IDS上抓取的数据包:
在数据端抓取的数据包:
5、不明所以,进行了排查。交换机B上的配置都是正常的。但在交换机B与IDS相连的接口模式为Access,是否是这个原因,使tag标记被删除了呢。
修改了该接口的模式为Trunk,并且allow vlan 为数据交换机vlanID。但在IDS上抓包,还是一样没有tag标记。查阅了相关文档,对这部分没有详细的描述。
初步怀疑Cisco在转发和在Monitor上,对Trunk vlan Tag标识有修改。Cisco上的Monitor不能将源接口的数据,完全影像至Monitor接口。
6、为了验证上述问题,使用华为S9306,相同的拓扑下,在IDS上能够抓取带有vlan Tag标记的数据包。
对于这个问题,不太明白为什么Cisco没有完全影像?还是另有配置可以使其完全影像?如果有哪位知道,请私信我。谢谢!
7、以上,是在工作中遇到的一些有趣的问题,仅供大家参考,谢谢!