Назад | Перейти на главную страницу

Возможен ли мониторинг диапазона на Cisco ASA 5520?

Из того, что я прочитал, вы можете использовать монитор коммутатора на ASA 5505, чтобы настроить Span-порт, поскольку задняя часть ASA фактически является коммутатором.

На моем 5520 я не вижу переключатель команда, указанная при выдаче? через интерфейс командной строки. Как люди отслеживают трафик на не-5505? Моя цель - подключить наше устройство IDS / IPS, которое работает в беспорядочном режиме, к порту Ethernet на 5520 для мониторинга трафика WAN.

Я не хочу пропускать WAN-трафик через коммутатор, поскольку для этого мне потребовалось бы получить два (для избыточности) коммутатора с поддержкой STP / switchport. Кроме того, на устройстве установлен модуль 4GE SSM для оптоволоконного подключения к глобальной сети, поэтому добавление модуля IPS не является вариантом.

Наша система IPS - это Cisco IPS 4240. Будет ли другой вариант иметь Netflow или подробные сообщения системного журнала, отправленные на устройство IPS?

Руководство по настройке доступа к коммутатору на 5505: http://www.wr-mem.com/?p=66

Это возможно на модели 5505, но не на модели 5510 или выше, поскольку нет встроенного переключателя:
http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html
(См. Раздел «интегрированные порты»)

Чтобы установить его на 5505:

ciscoasa> ru
ciscoasa # conf t
ciscoasa (конфигурация) # int eth0 / 0
ciscoasa (config-if) # монитор коммутатора eth0 / 1

Где eth0 / 0 - ваш порт IDS, а eth0 / 1 - интерфейс, который вы хотите отслеживать.

Для мониторинга интерфейса с 5510 или выше вам понадобится отдельный коммутатор с возможностями SPAN.

Как вы выяснили, вы не можете сделать это с более высокой моделью ASA. Большинство людей либо будут использовать модули IPS, которые можно вставить в слоты расширения ASA, либо распределить трафик на коммутаторе перед межсетевым экраном (или в любом другом удобном месте).