CISCO2950+ISA2004监控部署用例

4.0

作者:
笨驴技术
主页:
http://www.imfirewall.com

1 监控部署

某公司电信光纤接入,采用ISA2004做为上网服务器,CISCO2950做为中心交换机。网络拓扑图如下:



图 1

如上图所示,针对这种网络结构,有两种解决方案:

请注意:对于通过内部代理服务器上网的环境,要把代理服务器IP添加到超级嗅探狗监控软件的“监听配置”的“本地服务器”中。

2 CISCO2950如何配置端口镜像来实现网络监控?

如上图所示,代理服务器连接到交换机的23端口,监控主机连接到交换机的22端口。由于超级嗅探狗只需要监控互联网数据, 所以只要把23端口的数据镜像到22端口即可。

2.1 CISCO2950端口镜像配置语法:

monitor session session_number {destination {interface interface-id [, | -] [encapsulation {dot1q}] [ingress vlan vlan id] | remote vlan vlan-id reflector-port interface-id} | {source {interface interface-id [, | -] [both | rx | tx] | remote vlan vlan-id}}

2.2 CISCO2950端口镜像配置步骤

  1. 把23设置为源端口
  2. monitor session 1 source interface Fa0/23

  3. 把22端口设置为镜像的目的端口
  4. monitor session 1 destination interface Fa0/22 ingress vlan 1

注意事项

默认情况下,cisco的镜像口是只能接收数据不能发送数据的,而超级嗅探狗需要发送数据来实现封堵功能。 所以需要“ingress vlan 1”的参数。

2.3 不支持ingress语法的cisco交换机配置步骤

有些cisco交换机不能支持ingress语法(镜像口不能通讯),如果您的cisco交换机镜像口不支持ingress, 那么需要在超级嗅探狗的“监听配置”中设置通讯网卡。具体步骤如下:

  1. 把23设置为源端口。
  2. monitor session 1 source interface Fa0/23

  3. 把22端口设置为镜像的目的端口,如下语法使镜像口只能接收不能发送。
  4. monitor session 1 destination interface Fa0/22

  5. 在监控主机上增加一块网卡,接上网线并且连接到交换机。
  6. 到超级嗅探狗的“监听配置”中,把“通讯网卡”修改为您新增的这块网卡。

注意

  1. 判断镜像是否成功请参考:如何判断镜像是否成功?
  2. 镜像的源端口和目的端口只需和实际连接相一致即可,不一定是端口23和端口22。

更多部署用例,请参考:超级嗅探狗部署用例