1、應客戶的反饋,需要搭建一個旁路IDS的環境。簡單瞭解下,是在交換機上做Monitor接口,使被監控的流量到IDS設備上進行分析。從客戶需求上看貌似應該不難。所以,利用手頭上的設備簡單搭建了一個環境。草圖如下:
交換機A(trunk接口)<=============>(trunk接口)交換機B
|| (monitor)
IDS旁路設備
2、從拓撲上看在交換機B上做monitor影像,使trunk接口的數據包能到達IDS設備上。現手頭上的設備是臺Cisco 3750。
3、交換機的配置都是比較正常的,詳細命令可在網上搜索,主要說一下過程。
1)配置交換機B與交換機A相連的接口爲Trunk模式,allow正常的vlan。
2)在交換機B上的某個空閒接口與IDS相連,該接口爲access模式。
3)配置monitor,source爲trunk接口(both),destination爲IDS相連的接口 。
4、但在IDS上抓包,發現到達IDS設備上的數據包沒有vlan的Tag標記。不是0x8100而是0x8000。
如圖所示
在IDS上抓取的數據包:
在數據端抓取的數據包:
5、不明所以,進行了排查。交換機B上的配置都是正常的。但在交換機B與IDS相連的接口模式爲Access,是否是這個原因,使tag標記被刪除了呢。
修改了該接口的模式爲Trunk,並且allow vlan 爲數據交換機vlanID。但在IDS上抓包,還是一樣沒有tag標記。查閱了相關文檔,對這部分沒有詳細的描述。
初步懷疑Cisco在轉發和在Monitor上,對Trunk vlan Tag標識有修改。Cisco上的Monitor不能將源接口的數據,完全影像至Monitor接口。
6、爲了驗證上述問題,使用華爲S9306,相同的拓撲下,在IDS上能夠抓取帶有vlan Tag標記的數據包。
對於這個問題,不太明白爲什麼Cisco沒有完全影像?還是另有配置可以使其完全影像?如果有哪位知道,請私信我。謝謝!
7、以上,是在工作中遇到的一些有趣的問題,僅供大家參考,謝謝!