使用穿越模式的IPS会对流量性能造成一定的影响,特别是一些要超低延迟的数据包(IP语音包),最大的优点是可以阻止初始化攻击,下面开始演示如何部署Inline Interface Mode。
演示背景:在图5.16的环境中,思科的IPS工作于在线模式,交机S1和S2中分别存在两个VLAN,VLAN2和VLAN3,交换机S1存放VLAN的数据库,并作为VTP域的服务端,通过VTP域的干道,将VLAN的数据库自动传送到交换机S2,交换机S2是VTP域的客户端,然后在交换机S1和S2中间,存在一个工作于在线模式的IPS设备,事实上这个IPS设备对交换机S1和S2而言,是透明存在的(交换机S1和S2感知不到IPS的存在,也就是通常所说的透明桥接),然后当通信配置成功后,在VLAN3的主机上发起基于X_scan的扫描行为,然后测试IPS的检测报警情况,并阻截扫描行为。
演示步骤:
第一步:首先对交换机S1完成基础配置,其中包括建立Vlan、VTP域、将交换机的接口规划到相应的VLAN中,实施相关接口的干道技术,具体配置过程如下所示:
交换机S1的基础配置:
S1#vlan database*进入vlan数据库配置模式。
S1(vlan)#vtp domainips*建立一个名为ips的VTP域名
Changing VTP domainname from NULL to ips*系统提示VTP域从空转为ips的状诚信息
S1(vlan)#vtp server*指示s1为VTP的服务端。
Device mode alreadyVTP SERVER.*系统提示VTP模式转为服务端模式。
S1(vlan)#vlan 2 namev2*建立一个VLAN 2并命名为v2
S1(vlan)#vlan 3 namev3*建立一个VLAN 3并命名为v3
S1(vlan)#exit* 退出Vlan数据库配置式
S1(config)#interfacefastEthernet 0/1*进入fa0/1接口配置模式
S1(config-if)#switchportaccess vlan 2*将该接口规划到VLAN2
S1(config-if)#noshutdown
S1(config-if)#exit
S1(config)#interfacefastEthernet 0/2
S1(config-if)#switchportaccess vlan 3
S1(config-if)#noshutdown
S1(config-if)#exit
S1(config)#interfacefastEthernet 0/3
S1(config-if)#switchportmode trunk*将fa0/3配置为干道。
S1(config-if)#noshutdown
S1(config-if)#exit
注意:完成上述配置后,按照一般的配置逻辑,当然是配置交换机S2为VTP的客户端模式,那么vlan2和3的信息就会被自动传递到交换机S2上,然后把相应的交换机接口规划到相应VLAN中,但是在这个环境中不行,你必须把IPS配置工作于在线模式后,交换机S1的VTP信息才会传送交换机S2,否则,交换机S2根本就学不到关于VLAN2和3的信息,那么在接口执行VLAN规划时会报错,出现这种现象的原因:交换机S1和S2的干道中间存在于一个IPS,就即便是该IPS设备是透明方式存在,但是,默认情况下IPS设备的接口是没有被激活的,那么交换机S1的VLAN数据库信息就无法传递到S2,所以在该演示环境中我们必须打破规划的配置逻辑,第二步就来完成IPS在线模式的配置。
第二步:对思科的IPS设备进行初始化配置,使其支持IDM管理,关于这一点在本书项目四中有详细描述,这里不再重复,在这一步中主要描述使用IDM图形化界面来实现思科IPS系统在线模式的配置。实现思科IPS在线模式的配置可以包含如下内容:
ü将物理接口启动。
ü将工作在线模式的两个物理接口加入到一个接口对。
ü将接口对关联到virtual Sensors和signature。
首先完成将将物理接口启动的配置,当启动如下图5.17所示的IDM配置界面时,选择configuration\ interface configuration\ interface出现如下图5.18所示,选中G1和G2接口并将其Enable,将两个物理接口激活。记住配置完成后一定要Apply Change,如下图5.19所示。
将工作在线模式的两个物理接口加入到一个接口对,如下图5.20所示,选择configuration\Interface configuration\Interface Pairs\add出现图5.21所示的对话框,在该对话框中建立接口对,为接口对命名为inlineIPSlab,然后选择G1和G2接口,再单击OK。出现如图5.22的界面,完成在线模式中接口对的添加。
将接口对关联到virtual Sensors和signature。如图5.23所示,选择configuration\ AnalysisEngine\virtual Sensors,然后点击Edit,出现如图5.24所示的对话框,在其中选中刚才建立的接口对,点击Assign,然后点击OK,完成在virtualSensors中指派接口对。出现图5.25所示的界面。
完成上述配置后,可以在图5.26的界面中通过configuration\Interfaceconfiguration\ Summary中可以看到,接口对的名称,接口对里面的两个物理接口以及关联的virtualSensors,至此完成整个inline模式的配置。
第三步:现在可以配置交换机S2,因为交换机S1和S2中间的IPS在线模式已经成功配置完成,此时交换机S1上的VLAN信息就可以成功的传递到S2上,关于交换机S2的配置如下所示:
交换机S2的基础配置:
S2#vlan database*进入交换机S2的VLAN数据库配置模式。
S2(vlan)#vtp domainips*必须建立一个与交换机S1相同的VTP域名,此处为ips
Changing VTP domainname from NULL to ips *系统提示VTP域名成功转为ips
S2(vlan)#vtp client* 配置VTP的模式为客户端模式。
Setting device toVTP CLIENT mode.*系统提示VTP模式转为客户端模式。
S2(vlan)#exit* 退出VLAN配置模式。
提问:现在为什么不在交换机上建立VLAN2和3,交换机S1上都建立了?
回答:在交换机S2上不需要再去建立VLAN2和3,是因为VLAN数据库信息将从交换机S1学到,因为交换机S1和S2具备相同的VTP域名,并且S1是VTP的服务端,S2是VTP的客户端,所以交换机S1会将VLAN数据库的信息自动的传递给S2,所以在S2上不需要再为建立Vlan2和3。
S2(config)#interfacefastEthernet 0/3*进入fa0/3接口配置模式。
S2(config-if)#switchportmode trunk*将该接口配置为干道。
S2(config-if)#noshutdown
S2(config-if)#exit
S2(config)#interfacefastEthernet 0/1*进入fa0/1接口配置模式。
S2(config-if)#switchportaccess vlan 2 *规划该接口到VLAN2。
S2(config-if)#noshutdown
S2(config-if)#exit
S2(config)#interfacefastEthernet 0/2
S2(config-if)#switchportaccess vlan 3
S2(config-if)#noshutdown
S2(config-if)#exit
第四步:现在可以测试在线模式下IPS的工作状态,事实上就是观察它是否能成功的分析穿越它的数据流量,可行的一种方案是使用ping来测试IPS的分析能力,分别为VLAN3的服务器与客户机填写IP地址,并测试连通性。注意在思科专业级传感器上为了减少不必要的信息报警,在signature中关于ICMP的请求与应答的签名ID2000和2004默认是被disable掉的,所以你需要在signature中找到ID为2000和2004的签名并enable它们,如下图5.27所示。
然后在主机192.168.4.2上ping 192.168.4.1,如下图5.28所示,当完成这个测试后,可以在IPS系统的monitoring/events查看最后一分钟产生的事件,具体查看的方法如下图5.29所示,图5.30是在Eventviewer中显示当前的ICMP事件。如果您需要查看详细信息请选中某个事件,然后点击details,出现图5.31所示的事件详细信息,其中包括了产生该事件的VLAN,在该演示环境中是VLAN3。
然后为VLAN2中的两台路由器配置接口地址并激活它们,具体配置如下所示:
R1(config)#interfacee1/0*进入R1的E1/0接口
R1(config-if)#ipaddress 192.168.3.1 255.255.255.0*为该接口配置IP地址。
R1(config-if)#noshutdown*激活该接口
R1(config-if)#exit
R2(config)#interface e1/0
R2(config-if)#ipaddress 192.168.3.2 255.255.255.0
R2(config-if)#noshutdown
R2(config-if)#exit
然后在路由器R1上pingR2(192.168.3.2)如下所示,当路由器R1成功ping通R2后,会触发IPS上关于ICMP信息的报警,关于该报警的详细信息如下图5.32所示。
R1#ping 192.168.3.2
Type escape sequenceto abort.
Sending 5, 100-byteICMP Echos to 192.168.3.2, timeout is 2 seconds:
.!!!!
Success rate is 80percent (4/5), round-trip min/avg/max = 20/26/40 ms
至此为止,上述已经完成整个在线模式IPS的部署,并且确认IPS能够正常的检测流量,请保持这个TOP环境不变,下一篇博文将开始演示在攻击环境中,在线模式的IPS将如何保护网络安全。
本文转自 kingsir827 51CTO博客,原文链接:http://blog.51cto.com/7658423/1299899,如需转载请自行联系原作者
![HMI-23-[增加模式]增加地图模式](https://ucc.alicdn.com/pic/developer-ecology/09f7f0dca582457fb8c9426502885a5c.png?x-oss-process=image/resize,h_160,m_lfit)