IDSIDSIDSIDSIDSIDSIDS
id,
,,,,,,,,,,,,,, <李> 1
李>
() () id
<李> 2
李>
AgentSyslogSNMPIDS
id
<李>
…
李> <李>IP
李> <李>李> <李>
李> <李>
李> <李>
李>
强>与<强> 强>。
FTPHttpTelnetSNMP
()
SELECTUPDATA
,
HttpSMTPFTPQQMSNBT
, SkypeMSN
<强> 强>控制台
<强> 强> RDPSSL + 强> (RDP)
<强> 强>
id >强的方式部署,而且关心的网络链路大多也是相同的,所以当客户分别部署监控与审计安全产品时,经常出现的一个现象是:一个端口要镜像给两个目标端口,分别到不同数据收集引擎,而且这两个引擎的前期工作原理还非常接近。
id
首先创建一个用于广播镜像流量的vlan,分别在lsw1与lsw2上创建vlan2, lsw1将镜像端口G0/0/1的流量镜像到G0/0/2口,通过G0/0/2口广播到镜像vlan2中被处于vlan2的Server1收到。
[lsw1] vlan 2
[lsw1-vlan2] mac-address learning 禁用
[lsw1] observe-port1接口G0/0/2 vlan 2,
[lsw1] interfaceg0/0/1
[lsw1-GigabitEthernet0/0/1] port-mirroringto observe-port 1两,,
[lsw2] vlan 2
<强>三层远程端口镜像配置:强>
,端口的三层远程镜像的原理是,通过在ip层建立一条GRE的隧道隧道将镜像端口的流量复制到观察端口,观察端口在通过GRE-tunnel隧道将流量发送到监控设备所在的端口上,进行流量的分析。在下面拓扑中LSW1上的镜像端口将流量复制到观察端口,由观察端口通过GRE-tunle发送至server2监控服务器连接的lsw2的E0/0/2接口,供server2对镜像端口的流量进行分析。