IPS6.X和以后带IME的虚拟传感器配置示例-先决条件.PDFVIP

目录 简介 先决条件 要求 使用的组件 相关产品 规则 背景信息 关于分析引擎 关于虚拟传感器 虚拟化的优点和限制 虚拟化优点 虚拟化的限制 虚拟化需求 配置 添加虚拟传感器 添加与IME的虚拟传感器 编辑虚拟传感器 编辑与IME的虚拟传感器 删除虚拟传感器 删除与IME的虚拟传感器 故障排除 IPS管理器Express不启动 相关信息 简介 本文解释分析引擎的功能和如何创建，编辑和删除在Cisco Secure入侵防御系统(IPS)的虚拟传感器 与Cisco IPS Manager Express (IME)。它也解释分配如何建立接口到一个虚拟传感器。 注意：?AIM-IPS和NME-IPS不支持虚拟化。 先决条件 要求 本文档没有任何特定的前提条件。 使用的组件 本文档中的信息基于以下软件和硬件版本： ● 运行软件版本6.0及以后的Cisco 4200系列IPS设备 ● Cisco IPS Manager Express (IME)版本6.1.1和以上注意：?当IME可以用于监控运行思科IPS 5.0及以上版本的传感器设备时，传送的运行思科IPS 6.1或以上的传感器只支持某些新特性在 IME和功能。注意：?Cisco Secure入侵防御系统(IPS) 5.x支持仅默认虚拟传感器vs0。IPS 6.x支 持除默认vs0之外的虚拟传感器和以后。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 相关产品 此配置可能也与这些传感器一起使用： ● IPS-4240 ● IPS-4255 ● IPS-4260 ● IPS-4270-20 ● AIP-SSM 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 关于分析引擎 分析引擎进行数据包分析和警报检测。它监控流经指定的接口的流量。您在分析引擎方面创建虚拟 传感器。每个虚拟传感器有与接口列表、轴向接口对、轴向VLAN对和VLAN组的一唯一的名称关联 与它。为了避免定义排序问题，冲突或交叠在分配没有允许。您分配接口、轴向接口对、轴向 VLAN对和VLAN组到一个特定虚拟传感器，以便数据包没有由超过一个虚拟传感器处理。每个虚拟 传感器也关联与一个特别地已命名签名定义、事件操作规则和异常情况检测配置。从接口、轴向接 口对、轴向VLAN没有分配到任何虚拟传感器的对和VLAN组的数据包被处理根据轴向旁路配置。 关于虚拟传感器 传感器能接收从一个或许多受监视数据流的数据输入。这些受监视数据流可以是物理接口端口或虚 拟接口端口。例如，单个传感器能监控从在防火墙前面的流量，从防火墙的后面，或者从在和在防 火墙后同時前面。并且单个传感器能监控一个或更多数据流。在这种情况下，单个传感器策略或配 置应用对所有受监视数据流。一个虚拟传感器是由一套配置策略定义的搜集数据。虚拟传感器应用 对一套数据包如定义由接口组件。一个虚拟传感器能监控多个网段，并且您能申请一不同的策略或 配置在单个物理传感器内的每个虚拟传感器。您能设置一项不同的策略每受监视分段在分析下。您 能也适用于同一个策略实例，例如， sig0、rules0或者ad0，不同的虚拟传感器。您能分配接口、轴 向接口对、轴向VLAN对和VLAN组到一个虚拟传感器。 注意：?Cisco Secure入侵防御系统(IPS)不支持超过四个虚拟传感器。默认虚拟传感器是vs0。您不 能删除默认虚拟传感器。接口列表、异常情况检测操作模式、轴向TCP会话跟踪模式和虚拟传感器 说明是您能为默认虚拟传感器更改的唯一的配置功能。您不能更改签名定义、事件操作规则或者异 常情况检测策略。 虚拟化的优点和限制 虚拟化优点 虚拟化有这些优点： ● 您能运用不同的配置到不同的套流量。 ● 您能监控两网络以交迭IP空间与一个传感器。 ● 您能监控在防火墙或NAT设备内外。 虚拟化的限制 虚拟化有这些限制： ● 您必须分配不对称流量两边到同一个虚拟传感器。 ● 使用VACL捕获或SPAN (混乱监听)是不一致关于VLAN标记，引起问题由于VLAN组。当您使用 Cisco IOS软件时， VACL捕获端口或SPAN目标总是不收到标记信息包，即使为中继配置。当 您使用MSFC时，获取的路由快速路径交换更改VACL捕获和SPAN行为。 ● 不变存储被限制。 虚拟化需求 虚拟化有这些流量捕获需求： ● 虚