据我所知,您可以使用交换机端口监控由于 ASA 的背面实际上是一个交换机,因此在 ASA 5505 上使用命令设置 Span 端口。
在我的 5520 上,我没有看到交换机端口通过 CLI 发出 ? 时列出的命令。人们如何监控非 5505 上的流量?我的目标是将运行混杂模式的 IDS/IPS 设备连接到 5520 上的以太网端口,以监控 WAN 流量。
我不想让 WAN 流量通过交换机,因为这需要我购买两台(用于冗余)支持 STP/交换机端口的交换机。此外,我们在设备上安装了用于光纤 WAN 连接的 4GE SSM 模块,因此添加 IPS 模块不是一种选择。
我们的 IPS 系统是 Cisco IPS 4240。另一个选择是将 Netflow 或详细的系统日志消息发送到 IPS 设备吗?
在 5505 上设置交换机端口访问的指南:http://www.wr-mem.com/?p=66
答案1
在 5505 型号上可以实现,但在 5510 或更高版本上则不行,因为它们没有集成开关:
http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html
(参见“集成端口”部分)
要在 5505 上进行设置:
思科 ASA> en
思科 ASA# conf t
思科 ASA(config)# int eth0/0
思科 ASA(config-if)# switchport monitor eth0/1
其中 eth0/0 是您的 IDS 端口,eth0/1 是您想要监控的接口。
要使用 5510 或更高版本监控接口,您需要一个具有 SPAN 功能的单独交换机。
答案2
正如您所发现的,使用更高型号的 ASA 无法做到这一点。大多数人要么使用可以放入 ASA 扩展槽的 IPS 模块,要么在防火墙之前的交换机上(或任何其他方便的地方)跨越流量。