インラインインタフェースペアと trunk インタフェース接続の注意点
インラインインタフェースペアに trunk インタフェースを接続した場合の
注意点をご紹介いたします。
インラインインタフェースペアーにトランクインタフェースを接続することは
可能です。しかし IPS では VLAN tag を認識しないでパケットをチェック
いたします。VLAN tag を識別しないとは実際には、以下のようにパケットを
扱います。
<topology>
Router -----trunk---- (G0/0)IPS(G0/1) ------trunk----- Router
###パケットAが VLAN100 を通って左から右へ IPS を通っていく。
<packetA-VLAN100> -----> IPS -----> <packetA-VLAN100> router
※ここで IPS は packetA をチェックします。
※VLAN がどの値をもっているかはチェックしません。
###パケットAが VLAN101 を通って右からへ左へ IPS を通っていく。(ルータなどの戻り)
<packetA><VLAN101> <----- IPS <----- <packetA><VLAN101> router
※ここで IPS は packetA が再度きたと認識します。
※同じパケットが再度来たと判断 IPS では再送パケットを受け取った
としてインタフェースの対向インタフェースに送信します。
このような状況はトランクにでルーティングに依存して発生するもので
必ずしもトランクインタフェースと接続したからといって発生するもの
ではございませんが発生する可能性があることを頭の片隅に置いといて
ください。
その場合に問題となるのは、Normalizer 用の signature が各 VLAN における
パケットのやり取りのなかでタイムラグなどにより各 VLAN のパケットが通過
する際に Normalizer signature が検知する可能性があるということです。
その場合には、以下の設定をすることにより VLAN 毎に別の通信として認識して
パケットの調査を実施することが可能となります。
※ VLAN 毎にパケットをチェックする為、負荷は最大2倍となります。
※ Normalizer の signature 検知の可能性が VLAN 毎となりタイムラグなどによる
検知はなくなり通常の Nomarlizer signature の検知するパケットのみ検知いたします。
---
IDS4240# conf t
IDS4240(config)# service analysis-engine
IDS4240(config-ana)# virtual-sensor vs0
IDS4240(config-ana-vir)# inline-TCP-session-tracking-mode interface-and-vlan
IDS4240(config-ana-vir)# exit
IDS4240(config-ana)# exit
Apply Changes?[yes]:
Warning: Change of TCP session tracking mode will not take effect until restart.
本設定は、機器の reset が必須となっており、reset を実施していない場合には有効には
なりません。