详谈DHCP SNOOP等多方面的安全设置(1)(3)
目标端口
不能是源端口或反射端口
不参加二层协议:CDP VTP PAGP LACP DTP STP
在本地SPAN中,目标端口和源端口是同一交换机.一次只能参加一个SPAN会话,即不能在一个端口上配置两个SPAN会话.不能是EC成员.如果目标端口是一个源VLAN成员,则这个VLAN的流量不能被MONITOR,其他VLAN可以被MONITOR.802.1X与SWITCHPORT PORT-SECURITY必须在目标端口关闭.SPAN可以MONITOR二层协议信息,RSPAN则不能.IDS或IPS设备对流量唯一的影响是:根据IPS IDS策略,对可能的攻击行为做出处理,如RESET TCP连接等;并不去干涉正常流量的转发.SPAN交换机端口分析,简单的SPAN只需要两个命令即可
- monitor sess 1 sour int f1/4
- monitor sess 1 dest int f1/9
此例将F1/4的流量发送到F1/9被分析
- Switch(config)# no monitor session 2 删除语法
- Switch(config)# monitor session 2 source vlan 1 - 3 rx
- Switch(config)# monitor session 2 destination interface gigabitethernet0/7
- Switch(config)# monitor session 2 source vlan 10 rx
- Switch(config)# end
在所有的端口上监控VLAN1-3的收到的流量,发送到G0/7被分析,然后附加VLAN10的流量也被分析
- Switch(config)# monitor session 2 source interface gigabitethernet0/4 rx
- Switch(config)# monitor session 2 filter vlan 1 - 5 , 9
- Switch(config)# monitor session 2 destination interface gigabitethernet0/8
- Switch(config)# end
监控G0/4上收到的只包括VLAN1-5 VLAN9的流量,发送到G0/8端口被分析.注意与上例的区别:也就是说在定义源流量的时候是有两种方式的,一种是源端口的流量,一种是VLAN流量
评论暂时关闭