小草博客

A-A+

利用路由器的流量导出功能部署IPS的配置方法

2015年11月18日 站长资讯 暂无评论

在企业级路由器的很多并不常用的功能,其实用处是非常大的,常常被人忽略掉,比如利用流量到处功能来部署IPS就是一个很不错的方法。下面就采用三个路由器和以给IDS组成以给三叉式的链式网络,给大家讲解配置IPS的方法,下面会列出拓扑图、基本配置、IP Traffic Export简单配置和IPS配置的具体方法步骤。

1.拓扑图:

参考:http://blog.sina.com.cn/s/blog_52ddfea30100haof.html

过google搜索,https://supportforums.cisco.com/thread/2033247 sensor接口的MAC地址,可以用service帐号登录IPS,ifconfig -a获得,如下图所示:

2.基本配置:

  1. R1:  
  2. interface FastEthernet0/0  
  3.  ip address 10.1.13.1 255.255.255.0  
  4.  no shut  
  5. ip route 0.0.0.0 0.0.0.0 10.1.13.3  
  6. R2:  
  7. interface FastEthernet0/0  
  8.  ip address 10.1.23.2 255.255.255.0  
  9.  no shut  
  10. ip route 0.0.0.0 0.0.0.0 10.1.23.3  
  11. R3:  
  12. interface FastEthernet0/0  
  13.  ip address 10.1.13.3 255.255.255.0  
  14.  no shut  
  15. interface FastEthernet0/1  
  16.  ip address 10.1.23.3 255.255.255.0  
  17.  no shut  

3.路由器IP Traffic Export简单配置:

①创建流量导出配置文件:

ip traffic-export profile test

interface FastEthernet1/0

mac-address 000c.2920.d8d5 <这是IDS的MAC,一定是直连或者同一VLAN>

-------mac为接收流量的IPS的sensor接口的mac,可以通过service帐号登录IPS运行ifconfig -a命令获得。

②在需要导出流量的接口应用配置文件:

interface FastEthernet0/0

ip traffic-export apply test

4.IPS的配置:

A.确认g0/1接口已经enabled

B.将g0/1关联到virtual sensor:

C.大量的ping可以在IPS上看到事件:

  1. R1#ping 10.1.23.2 repeat 100  
  2.   
  3. Type escape sequence to abort.  
  4. Sending 100, 100-byte ICMP Echos to 10.1.23.2, timeout is 2 seconds:  
  5. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!  
  6. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!  
  7. Success rate is 100 percent (100/100), round-trip min/avg/max = 4/47/172 ms  
  8. R1# http://www.luyouqiwang.com/14313/   
  9.   
  10. vIdsAlert: eventId=1185793501059155079  vendor=Cisco  severity=informational    
  11.   originator:     
  12.     hostId: ips4215    
  13.     appName: sensorApp    
  14.     appInstanceId: 340    
  15.   time: 2012年8月19日 上午09时57分50秒  offset=0  timeZone=UTC    
  16.   signature:   description=ICMP Echo Request  id=2004  version=S1    
  17.     subsigId: 0    
  18.   interfaceGroup:     
  19.   vlan: 0    
  20.   participants:     
  21.     attacker:     
  22.       addr: 10.1.13.1  locality=OUT    
  23.     target:     
  24.       addr: 10.1.23.2  locality=OUT    
  25.   actions:     
  26.     denyAttackerServicePairRequestedNotPerformed: true    
  27.   riskRatingValue: 25    
  28.   interface: ge0_1    
  29.   protocol: icmp    
  30.   
  31. evIdsAlert: eventId=1185793501059155080  vendor=Cisco  severity=medium    
  32.   originator:     
  33.     hostId: ips4215    
  34.     appName: sensorApp    
  35.     appInstanceId: 340    
  36.   time: 2012年8月19日 上午09时57分51秒  offset=0  timeZone=UTC    
  37.   signature:   description=ICMP Flood  id=2152  version=S1    
  38.     subsigId: 0    
  39.   interfaceGroup:     
  40.   vlan: 0    
  41.   participants:     
  42.     attacker:     
  43.       addr: 10.1.13.1  locality=OUT    
  44.     target:     
  45.       addr: 10.1.23.2  locality=OUT    
  46.   riskRatingValue: 75    
  47.   interface: ge0_1    
  48.   protocol: icmp    

4.路由器IP Traffic Export其他配置:

A.导出双向流量:

ip traffic-export profile test

interface FastEthernet1/0

bidirectional

mac-address 000c.2920.d8d5

B.流量过滤:

ip traffic-export profile test

interface FastEthernet1/0

bidirectional

incoming access-list incoming.acl

outgoing access-list outgoing.acl

mac-address 000c.2920.d8d5

B.流量采样:

ip traffic-export profile test

interface FastEthernet1/0

bidirectional

incoming access-list incoming.acl

outgoing access-list outgoing.acl

mac-address 000c.2920.d8d5

incoming sample one-in-every 2

outgoing sample one-in-every 3

企业级网络产品,往往还有其功能一般都是被荒废的,大家可以慢慢的发掘,好好的利用起来。

标签:

给我留言