IPS 5.x والإصدارات الأحدث/IDSM2: وضع زوج شبكات VLAN المضمنة باستخدام مثال تكوين CLI و IDM

خيارات التنزيل

  • PDF     (631.1 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (725.5 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢ يوليو ٢٠٠٨
معرّف المستند:97214

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المقدمة

يعرف اقتران شبكات VLAN في أزواج على واجهة مادية باسم وضع زوج شبكات VLAN المضمنة. يتم تحليل الحزم المستلمة على أحد شبكات VLAN المقترنة وإعادة توجيهها إلى شبكة VLAN الأخرى في الزوج. يتم دعم أزواج الشبكات المحلية الظاهرية (VLAN) المضمنة على جميع أجهزة الاستشعار المتوافقة مع نظام منع التسلل (IPS) 5.1، باستثناء NM-CIDS و AIP-SSM-10 و AIP-SSM-20.

وضع زوج شبكة VLAN المضمنة هو وضع إستشعار نشط حيث تعمل واجهة الاستشعار كمنفذ خط اتصال 802.1Q، ويقوم المستشعر بتنفيذ ربط شبكة VLAN بين أزواج الشبكات المحلية الظاهرية (VLANs) على خط الاتصال. هذا يعني أن المفتاح يربط إلى الاستشعار قارن ينبغي كنت في شنطة أسلوب.

يقوم المستشعر بفحص حركة المرور التي تتلقاها على كل شبكة VLAN في كل زوج، ويمكن أن يقوم إما بإعادة توجيه الحزم على شبكة VLAN الأخرى في الزوج أو إسقاط الحزمة إذا تم اكتشاف محاولة إقتحام. يمكنك تكوين مستشعر IPS لإنشاء جسر حتى 255 زوج من شبكات VLAN في نفس الوقت على كل واجهة إستشعار. يستبدل المستشعر ال VLAN id مجال في ال 802.1q رأس من كل ربط يستلم مع ال id من مخرج VLAN على أي المستشعر يرسل الربط. يقوم المستشعر بإسقاط جميع الحزم المستلمة على أي شبكات VLAN لا يتم تعيينها إلى أزواج VLAN المضمنة.

ملاحظة: بالنسبة ل IPS-4260، لا يتم دعم تجاوز الأجهزة التي تفتح الأعطال على أزواج VLAN المضمنة. راجع تقييدات تكوين تجاوز الأجهزة للحصول على مزيد من المعلومات.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى مستشعر نظام منع الاقتحام من Cisco الذي يستخدم الإصدار 5.1 والإصدارات الأحدث.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

المنتجات ذات الصلة

تنطبق المعلومات الواردة في هذا المستند أيضا على وحدة خدمات نظام اكتشاف الاقتحام (IDSM-2).

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

تكوين التقاط VACL

أحلت ال يشكل VACL التقاط قسم من يشكل IDSM-2 in order to أرسلت حركة مرور إلى ال IDSM على المفتاح.

تكوين وضع زوج شبكات VLAN المضمنة

في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.

ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم.

أستخدم الأمر physical-interfaces interface_name في الوضع الفرعي لواجهة الخدمة لتكوين أزواج VLAN المضمنة باستخدام CLI (واجهة سطر الأوامر). اسم الواجهة هو FastEthernet أو GigabitEthernet.

يتم تطبيق هذه الخيارات:

  • تم تمكين الحالة admin {enabled | disabled}—حالة الارتباط الإداري للواجهة، سواء كانت الواجهة ممكنة أو معطلة.

    ملاحظة: في جميع واجهات إستشعار اللوحة الخلفية في جميع الوحدات النمطية (IDSM-2 NM-CIDS، و AIP-SSM)، يتم تعيين حالة المسؤول إلى تمكين وهي محمية (لا يمكنك تغيير الإعداد). لا يكون ل admin-state أي تأثير (ومحمي) على واجهة الأمر والتحكم. فهو يؤثر فقط على واجهات الاستشعار. لا يلزم تمكين واجهة الأمر والتحكم لأنه لا يمكن مراقبتها.

  • الافتراضي—يعيد القيمة إلى الإعداد الافتراضي للنظام.

  • الوصف — الوصف الخاص بك لزوج الواجهة المضمنة.

  • الإرسال ثنائي الإتجاه — إعداد الإرسال ثنائي الإتجاه للواجهة.

    • auto—يضبط الواجهة على التفاوض التلقائي على الإرسال ثنائي الإتجاه.

    • full—يضبط الواجهة إلى الإرسال ثنائي الإتجاه الكامل.

    • half—يضبط الواجهة إلى half-duplex.

    ملاحظة: خيار الإرسال ثنائي الإتجاه محمي على جميع الوحدات النمطية.

  • لا — يزيل إعداد إدخال أو تحديد.

  • السرعة—إعداد سرعة الواجهة.

    • تلقائي—يضبط الواجهة إلى سرعة التفاوض التلقائي.

    • 10—يضبط الواجهة إلى 10 ميغابايت (لواجهات TX فقط).

    • 100—يضبط الواجهة إلى 100 ميغابايت (لواجهات TX فقط).

    • 1000—يضبط الواجهة إلى 1 غيغابايت (لواجهات جيجابت)

    ملاحظة: خيار السرعة محمي على جميع الوحدات النمطية.

  • subinterface-type— يحدد أن الواجهة هي واجهة فرعية وما هو نوع الواجهة الفرعية المحدد.

    • inline-vlan-pair— يتيح لك تعريف الواجهة الفرعية كزوج شبكات VLAN داخلي.

    • none— لم يتم تعريف واجهات فرعية.

  • الواجهة الفرعية— يحدد الواجهة الفرعية كزوج شبكات VLAN داخلي.

    • VLAN1— شبكة VLAN الأولى في زوج شبكات VLAN الداخلي.

    • VLAN2— الشبكة المحلية الظاهرية (VLAN) الثانية في زوج شبكات VLAN الداخلي.

تكوين واجهة سطر الأوامر (CLI)

أتمت هذا steps in order to شكلت ال VLAN زوج عملية إعداد على المستشعر يستعمل CLI:

  1. قم بتسجيل الدخول إلى CLI باستخدام حساب له امتيازات المسؤول.

  2. دخلت القارن submode:

    sensor#configure terminal
sensor(config)#service interface 
sensor(config-int)#

  3. تحقق من وجود أي واجهات داخل السطر (يجب أن يكون نوع الواجهة الفرعية "بلا" إذا لم يتم تكوين واجهات داخل السطر):

    sensor(config-int)#show settings
   physical-interfaces (min: 0, max: 999999999, current: 2)
   -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/0 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <protected>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
<protected entry>
      name: GigabitEthernet0/1 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/2 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/3 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: Management0/0 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <protected>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
   -----------------------------------------------
   command-control: Management0/0 <protected>
   inline-interfaces (min: 0, max: 999999999, current: 0)
   -----------------------------------------------
   -----------------------------------------------
   bypass-mode: auto <defaulted>
   interface-notifications
   -----------------------------------------------
      missed-percentage-threshold: 0 percent <defaulted>
      notification-interval: 30 seconds <defaulted>
      idle-interface-delay: 30 seconds <defaulted>
   -----------------------------------------------
sensor(config-int)#

  4. أزلت أي قارن داخل أن يستعمل هذا قارن طبيعي:

    sensor(config-int)#no inline-interfaces interface_name

  5. عرض قائمة الواجهات المتاحة:

    sensor(config-int)#physical-interfaces ?
GigabitEthernet0/0     GigabitEthernet0/0 physical interface.
GigabitEthernet0/1     GigabitEthernet0/1 physical interface.
GigabitEthernet0/2     GigabitEthernet0/2 physical interface.
GigabitEthernet0/3     GigabitEthernet0/3 physical interface.
Management0/0          Management0/0 physical interface.
sensor(config-int)#physical-interfaces

  6. تحديد واجهة:

    sensor(config-int)#physical-interfaces GigabitEthernet0/2

  7. مكنت ال admin-دولة من القارن:

    sensor(config-int-phy)#admin-state enabled

    يجب تعيين الواجهة للمستشعر الظاهري وتمكينها لمراقبة حركة المرور.

  8. إضافة وصف لهذه الواجهة:

    sensor(config-int-phy)#description INT1

  9. تكوين إعدادات الإرسال ثنائي الإتجاه:

    sensor(config-int-phy)#duplex full

    هذا الخيار غير متوفر على الوحدات النمطية.

  10. قم بتكوين السرعة:

    sensor(config-int-phy)#speed 1000

    هذا الخيار غير متوفر على الوحدات النمطية.

  11. قم بإعداد زوج شبكات VLAN الداخلي:

    sensor(config-int-phy)#subinterface-type inline-vlan-pair
sensor(config-int-phy-inl)#subinterface 1
sensor(config-int-phy-inl-sub)#vlan1 52
sensor(config-int-phy-inl-sub)#vlan2 53

  12. إضافة وصف لزوج شبكات VLAN الداخلي:

    sensor(config-int-phy-inl-sub)#description pairs vlans 52 and 53

  13. دققت ال VLAN زوج عملية إعداد:

    sensor(config-int-phy-inl-sub)#show settings
   subinterface-number: 1
   -----------------------------------------------
      description: VLANpair1 default:
      vlan1: 52
      vlan2: 53
   -----------------------------------------------
sensor(config-int-phy-inl-sub)#

  14. خرجت القارن submode:

    sensor(config-int-phy-inl-sub)#exit
sensor(config-int-phy-inl)#exit
sensor(config-int-phy)#exit
sensor(config-int)#exit
Apply Changes:?[yes]:

  15. اضغط على Enter لتطبيق التغييرات، أو أدخل no لتجاهلها.

  16. دخلت الفعلي مستشعر تشكيل أسلوب:

    sensor(config)#service analysis-engine
        sensor(config-ana)#virtual-sensor vs0

  17. إضافة الواجهة إلى المستشعر الظاهري:

    sensor(config-ana-vir)#physical-interface GigabitEthernet0/2
subinterface-number 1

  18. قم بالخروج من الوضع الفرعي للمستشعر الظاهري: 

    sensor(config-ana-vir)#exit
        sensor(config-ana)#exit
        Apply Changes:?[yes]:

  19. اضغط على Enter لتطبيق التغييرات، أو أدخل no لتجاهلها.

تكوين IDM

أكمل الخطوات التالية لتكوين إعدادات زوج شبكات VLAN المضمنة على المستشعر باستخدام مدير أجهزة IDS (IDM):

  1. افتح المستعرض وأدخل https://<management_ip_address_of_ips> للوصول إلى IDM على IPS.

  2. انقر فوق تنزيل مشغل IDM وابدأ IDM لتنزيل المثبت الخاص بالتطبيق.

  3. انتقل إلى الصفحة الرئيسية لعرض معلومات الجهاز مثل اسم المضيف وعنوان IP والإصدار والنموذج، وما إلى ذلك.

    ips5x-vlan-mode-config1.gif

  4. انتقل إلى التكوين > إعداد المستشعر وانقر فوق الشبكة. هنا أنت يستطيع عينت ال hostname، عنوان وقصير طريق.

    ips5x-vlan-mode-config2.gif

  5. انتقل إلى التكوين > تكوين الواجهة وانقر فوق ملخص.

    تعرض هذه الصفحة ملخص تكوين واجهة الاستشعار.

    ips5x-vlan-mode-config3.gif

  6. انتقل إلى التكوين > تكوين الواجهة > الواجهات وحدد اسم الواجهة.ثم انقر فوق تمكين لتمكين واجهة الاستشعار. قم أيضا بتكوين معلومات الإرسال ثنائي الإتجاه والسرعة وشبكة VLAN.

    ips5x-vlan-mode-config4.gif

  7. انتقل إلى التكوين > واجهة التكوين > أزواج شبكات VLAN وانقر فوق إضافة لإنشاء أزواج شبكات VLAN المضمنة.

    ips5x-vlan-mode-config5.gif

  8. دخلت ال subinterface رقم، VLAN A و VLAN B ل الاستشعار قارن (GigabitEthernet0/0).

    ips5x-vlan-mode-config6.gif

    يمكنك عرض ملخص تكوين زوج شبكات VLAN المضمنة.

    ips5x-vlan-mode-config7.gif

  9. انتقل إلى Configuration (التكوين) > Analysis Engine (محرك التحليل) > Virtual Sensor (المستشعر الظاهري) وانقر فوق Edit (تحرير) لإنشاء المستشعر الظاهري الجديد.

    ips5x-vlan-mode-config8.gif

  10. قم بتخصيص زوج شبكة VLAN المضمنة 52 و 53 للمستشعر الظاهري مقابل0.

    ips5x-vlan-mode-config9.gif

    عرض ملخص معلومات المستشعر الظاهري المعينة.

    ips5x-vlan-mode-config10.gif

استكشاف الأخطاء وإصلاحها

لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.

معلومات ذات صلة

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
1.0
27-Jun-2007
الإصدار الأولي

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا