L ỜI NÓI ĐẦU
2.4 Các lỗi thường gặp khi cấu hình
Các vấn đề kết nối do lỗi cấu hình SPAN
Lỗi kết nối xảy ra vì việc cấu hình SPAN sai xảy ra thường xuyên trong các phiên bản CatOS trước 5.1. Với những phiên bản này, chỉ duy nhất một phiên SPAN diễn
ra. Phiên này lưu trong cấu hình, thậm chí khi bạn vô hiệu hóa SPAN. Với việc sử
dụng lệnh set span enable, người sử dụng kích hoạt lại phiên SPAN được lưu.
Những hành động thường xuyên xảy ra vì một lỗi in, ví dụ, nếu người dùng muốn kích hoạt STP. Lỗi kết nối trầm trọng có thể xảy ra nếu các cổng đích được sử dụng để chuyển tiếp lưu lượng truy cập người dùng.
Lưu ý: vấn đề này vẫn còn trong thực thi hiện tại của CatOS. Hãy rất cẩn thận các cổng mà bạn chọn làm một cổng đích SPAN.
Cổng đích SPAN Up/Down
Khi các cổng được triển khai SPAN cho công tác giám sát, trạng thái các cổng là UP / DOWN.
Khi bạn cấu hình một phiên SPAN để giám sát các cảng, giao diện cổng đích cho thấy trạng thái DOWN (giám sát), theo thiết kế. Giao diện hiển thị cổng trong trạng thái này để làm cho nó hiển nhiên rằng cổng hiện tại không khả thi như cổng sản xuất. Cổng trong trạng thái UP/DOWN giám sát là bình thường.
Tại sao phiên SPAN tạo ra lỗi lặp cầu
Lỗi lặp cầu thường xuyên xảy ra khi người quản trị cố mô phỏng các tính năng RSPAN. Tương tự, một cấu hình lỗi có thể dẫn đến lỗi
Hình 2.15 : Lỗi lặp cầu dữ liệu
Có hai Switch trung tâm được liên kết bởi một đường trunk. Trong dụ này, mỗi Switch có một số máy chủ, máy trạm, hoặc các cầu nối kết nối với nó. Người quản trị muốn giám sát VLAN 1, xuất hiện trên một số cầu nối với SPAN. Người quản trị tạo một phiên SPAN giám sát toàn bộ VLAN 1 trên Switch trung tâm, và, để hợp nhất hai phiên, nối cổng đích vào cùng một hub (hoặc cùng Switch, với việc sử dụng các phiên SPAN khác)
Người quản trị đạt được mục tiêu. Mỗi một gói tin mà một Switch trung tâm nhận trên VLAN 1 được nhân bản trên cổng SPAN và chuyển đi lên vào hub. Một máy phân tích cuối cùng bắt lưu lượng truy cập.
lưu lượng cũng đi lần nữa vào Switch 2 qua cổng đích SPAN. Lưu lượng này đi vào Switch 2 tạo ra một lặp cầu nối trong VLAN 1. Nên nhớ rằng một cổng đích SPAN không chạy STP và không có khả năng ngăn chặn lặp dữ liệu.
Hình 2.16 : Lặp cầu dữ liệu diễn ra
Lưu ý: Vì các giới thiệu về tùy chọn inpkts (đầu vào các gói) trên CatOS, một cổng đích SPAN ngắt bất kỳ các gói theo mặc định, nó ngăn lỗi này không xảy ra. Tuy nhiên, vẫn còn là vấn đề này là vẫn tông tại trên Catalyst 2900XL/3500XL Series Lưu ý: Thậm chí khi tuỳ chọn inpkts ngăn việc xảy ra lặp, cấu hình phần này cho thấy rằng có thể gây ra một số vấn đề trong mạng. Các lỗi có thể xảy ra bởi vì quá trinh học địa chỉ MAC được kết hợp với quá trình học đã kích hoạt trên cổng đích.
Bạn có thể cấu hình SPAN trên một cổng EherChannel?
Một EtherChannel không hoạt động chuẩn nếu một trong số các cổng trong đó là một cổng đích SPAN. Nếu bạn cố gắng cấu hình SPAN trong tình huống này , Switch sẽ cảnh báo :
Channel port cannot be a Monitor Destination Port Failed to configure span feature
Bạn có thể sử dụng một cổng trong một cụm EtherChannel như một cổng nguồn SPAN.
Bạn có thể có một vài phiên SPAN chạy cùng một thời điểm?
Trên Catalyst 2900XL/3500XL Series, số lượng các cổng đích có trên Switch là giới hạn số lượng các phiên SPAN.
Trên Catalyst 2950 Series, bạn chỉ có thể khai báo một cổng giám sát bất kỳ lúc nào. Nếu bạn chọn một cổng khác như cổng giám sát, cổng giám sát trước bị vô hiệu hóa, và cổng mới được lựa chọn trở thành cổng giám sát.
Trên Catalyst 4500/4000, 5500/5000, 6500/6000 với CatOS 5.1 về sau, bạn có thể có một số phiên SPAN tồn tại đồng thời.
Lỗi "% Local Session Limit Has Been Exceeded"
Engine: Thông báo đưa ra khi phiên SPAN thực thi quá giới hạn của thành phần giám sát
% Local Session limit has been exceeded
Không thể xoá một phiên SPAN trên module VPN dịch vụ, với lỗi “%Session
[Session No:] Used by Service Module”
Với vấn đề này, các mạng riêng ảo (VPN), môđun đưa vào trong một khuung, nơi một môđun cơ cấu chuyển mạch đã được đưa vào. Cisco IOS tự động tạo ra một phiên Span cho các mô-đun dịch vụ VPN để xử lý các lưu lượng truy cập multicast Sử dụng lệnh sau để xoá phiên SPAN mà IOS tạo ra cho modul VPN dịch vụ : Switch(config)# no monitor session session_number service-module
Lưu ý: Nếu bạn xoá phiên này, modul VPN dịch vụ ngắt lưu lượng multicast
Bạn không thể bắt các gói tin lỗi với SPAN, vì cách mà Switch thực hiện chung. Khi một gói đi qua một Switch, có những vấn đề sau:
1. Các gói tới được cổng ingress.
2. Các gói được lưu trong ít nhất một bộđệm. 3. Các gói cuối cùng được truyền trên cổng egress.
Hình 2.17 : Hàng đợi bộđệm trong
Nếu Switch nhận được một gói hỏng, các cổng ingress xoá gói tin đó. Vì thế, bạn không nhìn thấy trên gói tin đó trên cổng egress. Một Switch không hoàn toàn đứng sau đối với việc bắt lưu lượng truy cập. Tương tự, khi bạn thấy một gói hỏng trên máy phân tíchcủa bạn trong ví dụ trong phần này, bạn biết rằng các lỗi đã được tạo ra tại bước 3, trên phân đoạn đi ra.
Nếu bạn cho rằng một thiết bị gửi các gói tin lỗi, bạn có thểđặt máy gửi tin và thiết bị phân tích trên một hub. Hub đó không tiến hành kiểm tra bất kỳ lỗi nào. Bởi vậy, không như Switch, hub không ngắt các gói tin, bằng cách này bạn có thể hiển thị các gói tin.
Lỗi : %Session 2 used by service module
Nếu một modul dịch vụ Firewall (FWSM) đã được cài đặt, ví dụ, đã cài đặt và gỡ bỏ sau đó, trong CAT6500, nó tựđộng kích hoạt các tính năng SPAN phản hồi. Các tính năng SPAN phản hồi sử dụng một phiên SPAN trong Switch. Nếu bạn không
sử dụng nữa, bạn phải nhập lệnh no monitor session service module từ chếđộ cấu
Cổng phản hồi xoá các gói tin
Một cổng phản hồi nhận các bản sao lưu lượng gửi và nhận của tất cả các cổng cổng giám sát nguồn. Nếu một cổng phản hồi quá tải, nó có khả năng dẫn đến xung đột. Điều này có thể ảnh hưởng đến lưu lượng chuyển tiếp trên một hoặc nhiều cổng nguồn. Nếu băng thông của cổng phản hồi không đủ cho khối lượng lưu lượng truy cập tương ứng từ cổng nguồn, các gói đi ra bị huỷ bỏ. Một cổng 10/100 phản hồi ở mức 100 Mbps. Một cổng Gigabit phản hồi từ 1 Gbps.
Phiên SPAN luôn sử dụng Với một FWSM trong Catalyst 6500 Chassis
Khi bạn sử dụng Supervisor Engine 720 với một FWSM trong cấu trúc chạy Native Cisco IOS, theo mặc định một phiên SPAN được sử dụng. Nếu bạn kiểm tra các phiên không sử dụng với show monitor ,phiên 1 được sử dụng:
Cat6K#show monitor
Session 1 ---
Type : Service Module Session
Khi một phần tường lửa có trong Catalyst 6500 chassis, phiên này tự động cài đặt để hỗ trợ nhân bản multicast phần cứng vì một FWSM không thể nhân bản dòng multicast . Nếu dòng dữ liệu nguồn multicast đằng sau FWSM phải được nhân bản tại lớp 3 đến nhiều dòng mạch, các phiên tựđộng nhân bản lưu lượng truy cập đến máy phân tích thông qua một cơ cấu kênh.
Nếu bạn có một nguồn multicast tạo ra một dòng multicast từ phía sau FWSM, bạn cần phải có bộ phản hồi SPAN. Nếu bạn đặt nguồn multicast bên ngoài VLAN, bộ phản hồi SPAN là không cần thiết. Bộ phản hồi SPAN không tương thích với cấu nối BPDUs thông qua FWSM. Bạn có thể sử dụng lệnh no monitor session service
Một phiên Span và một RSPAN có thể có cùng ID trong cùng một Switch?
Không, không thể sử dụng cùng một ID phiên cho một phiên SPAN thông thường và phiên đích RSPAN. Mỗi phiên RSPAN và SPAN phải có ID phiên khác nhau.
Một phiên RSPAN có thể hoạt động qua tên miền VTP khác?
Có. một phiên RSPAN có thể hoạt động qua tên miền VTP khác. Nhưng chắc chắn rằng các RSPAN VLAN tồn tại trong cơ sở dữ liệu của các tên miền VTP này. Ngoài ra, hãy chắc chắn rằng không có thiết bị Lớp 3 hiện diện trong đường dẫn của phiên nguồn đến phiên đích.
RSPAN có thể là một phiên làm việc qua WAN hoặc các mạng khác?
Không, phiên RSPAN không thể xuyên qua bất kỳ thiết bị Lớp 3 như RSPAN là một LAN (lớp 2) tính năng. Để giám sát lưu lượng truy cập qua WAN hoặc mạng khác, sử dụng Encapsulated Remote SwitchPort Analyser (ERSPAN). Các tính năng ERSPAN hỗ trợ các cổng nguồn, nguồn VLANs, và các cổng đích trên các Switch khác nhau, hỗ trợ giám sát từ xa của nhiều Switch qua mạng của bạn.
ERSPAN bao gồm một phiên nguồn ERSPAN , bảng định tuyến lưu lượng ERSPAN GRE-encapsulated , và một phiên đích ERSPAN . Bạn cấu hình riêng rẽ phiên nguồn ERSPAN và phiên đích trên các Switch khác nhau.
Hiện tại, các tính năng ERSPAN được hỗ trợ trong:
• Supervisor 720 với PFC3B hay PFC3BXL chạy Cisco IOS 12.2(18) SXE trở lên.
• Supervisor PFC3A với 720 có phần cứng phiên bản 3.2 trở lên và chạy Cisco IOS 12.2(18)SXE trở lên.
Một phiên nguồn RSPAN và phiên đích có thể tồn tại trên cùng Catalyst
Không, RSPAN không hoạt động khi phiên nguồn RSPANvà phiên đích RSPAN trên cùng một Switch.
Nếu một phiên nguồn RSPAN được cấu hình với một RSPAN VLAN và một phiên đích RSPAN cho RSPAN VLAN đó được cấu hình trên cùng một Switch, thì cổng đích của phiên đích RSPAN đó cổng sẽ không truyền các gói bắt nguồn từ phiên nguồn RSPAN do hạn chế phần cứng. Vấn đề này không hỗ trợ trên 4500 Series và 3750 Series. Vấn đề này được lưu trong tài liệu Cisco bug ID CSCeg08870
Đây là một ví dụ :
monitor session 1 source interface Gi6/44 monitor session 1 destination remote vlan 666 monitor session 2 destination interface Gi6/2 monitor session 2 source remote vlan 666
Máy phân tích/thiết bị bảo mật nối với cổng đích SPAN không tới được
Các đặc tính cơ bản của một cổng đích SPAN là nó không truyền tải bất kỳ lưu lượng truy cập nào, ngoại trừ các lưu lượng truy cập cần thiết cho phiên SPAN. Nếu bạn cần truy nhập (IP reachability) máy phân tich / thiết bị bảo mật qua cổng đích SPAN, bạn cần kích hoạt lưu lượng ingress chuyển tiếp.
Khi ingress được kích hoạt, cổng đích span chấp nhận các gói đi vào, nó là khả năng dán nhãn phụ thuộc chế độ đóng gói chỉ rõ, và các Switch hoạt động bình thường. Khi bạn cấu hình một cổng đích SPAN, bạn có thể chỉ rõ có hoặc không tính năng ingress được kích hoạt và VLAN gì để sử dụng để Switch xoá nhãn gói ingress. Các đặc điểm kỹ thuật của một ingress VLAN là không cần thiết khi đóng gói được cấu hình, khi mọi gói đóng gói ISL có thẻ VLAN. Mặc dù cổng là chuyển tiếp STP, nó không tham gia trong STP, nên sử dụng thận trọng khi bạn cấu hình tính năng này vì có thể xảy ra spanning-tree loop đã được giới thiệu. Khi cả hai
ingress và một trunk encapsulation được chỉ rõ trên một cổng đích SPAN, cổng chuyển tiếp tất cả các VLANs hoạt động. Cấu hình của một VLAN không tồn tại như một ingress VLAN là không được phép.
monitor session session_number destination interface interface [encapsulation
{isl | dot1q}] ingress [vlan vlan_IDs]
Ví dụ này cho biết làm thể nào để cấu hình một cổng đích với giao thức đóng gói 802.1q và các gói đi vào bằng việc sử dụng native Vlan 7
Switch(config)#monitor session 1 destination interface fastethernet 5/48
encapsulation dot1q ingress vlan 7
Với cấu hình này, lưu lượng truy cập từ phiên nguồn span liên kết với phiên 1 được sao chép ra các giao diện Fast Ethernet 5/48 với chuẩn 802.1q. Lưu lượng đi vào được chấp nhận và chuyển mạch, với các gói không nhãn được phân loại vào VLAN 7.
CHƯƠNG III – TRIỂN KHAI TÍCH HỢP HỆ THỐNG IDS MỀM -
SNORT VÀO HỆ THỐNG
Trong chương này chúng ta sẽ cài đặt sử dụng hệ IDS mềm có tên là SNORT. Hệ thống Snort được chọn với lý do chính đây là phần mềm Open Source , tài liệu cài đặt đầy đủ , yêu cầu hệ thống không quá cao và đã qua một thời gian phát triển.