インラインインタフェースペアと trunk インタフェース接続の注意点

インラインインタフェースペアに trunk インタフェースを接続した場合の

注意点をご紹介いたします。

インラインインタフェースペアーにトランクインタフェースを接続することは

可能です。しかし IPS では VLAN tag を認識しないでパケットをチェック

いたします。VLAN tag を識別しないとは実際には、以下のようにパケットを

扱います。

<topology>

Router -----trunk---- (G0/0)IPS(G0/1)  ------trunk----- Router

###パケットAが VLAN100 を通って左から右へ IPS を通っていく。

<packetA-VLAN100> -----> IPS  -----> <packetA-VLAN100> router

※ここで IPS は packetA をチェックします。

※VLAN がどの値をもっているかはチェックしません。

###パケットAが VLAN101 を通って右からへ左へ IPS を通っていく。(ルータなどの戻り)

<packetA><VLAN101> <----- IPS  <----- <packetA><VLAN101> router

※ここで IPS は packetA が再度きたと認識します。

※同じパケットが再度来たと判断 IPS では再送パケットを受け取った

としてインタフェースの対向インタフェースに送信します。

このような状況はトランクにでルーティングに依存して発生するもので

必ずしもトランクインタフェースと接続したからといって発生するもの

ではございませんが発生する可能性があることを頭の片隅に置いといて

ください。

その場合に問題となるのは、Normalizer 用の signature が各 VLAN における

パケットのやり取りのなかでタイムラグなどにより各 VLAN のパケットが通過

する際に Normalizer signature が検知する可能性があるということです。

その場合には、以下の設定をすることにより VLAN 毎に別の通信として認識して

パケットの調査を実施することが可能となります。

※ VLAN 毎にパケットをチェックする為、負荷は最大2倍となります。

※ Normalizer の signature 検知の可能性が VLAN 毎となりタイムラグなどによる

検知はなくなり通常の Nomarlizer signature の検知するパケットのみ検知いたします。

---

IDS4240# conf t

IDS4240(config)# service analysis-engine

IDS4240(config-ana)# virtual-sensor vs0

IDS4240(config-ana-vir)# inline-TCP-session-tracking-mode interface-and-vlan

IDS4240(config-ana-vir)# exit

IDS4240(config-ana)# exit

Apply Changes?[yes]:

Warning: Change of TCP session tracking mode will not take effect until restart.

本設定は、機器の reset が必須となっており、reset を実施していない場合には有効には

なりません。