IDS的交換機局限問題的分析與對策（2）

2019-11-05 01:32:56

字體：大中小

來源：轉載

供稿：網友

　　2．問題之二：虛擬局域網（VLAN）
　　
　　一個基本的交換機只能支持一個邏輯子網，為了使交換機更加靈活，發明了虛擬局域網技術（Virtual Local Area Network, 簡稱VLAN），這答應交換機配置成兩個網段，看上去像兩個交換機。
　　
　　假如交換機的被監聽端口與SPAN端口在不同VLAN上，是不能做端口鏡像的。因此，假如需要監聽各個VLAN的數據，就必須在各個VLAN上開一個鏡像端口。造成端口資源的浪費。
　　
　　3．應用環境分析：
　　
　　1．在電信的網絡環境中，數據量一般比較大，假如采用交換機的鏡像方法，必然會使交換機丟包。在千兆環境下更是如此。
　　
　　2．在一般的網絡中，有的較低端交換機不支持端口鏡像，有的交換機對端口鏡像功能支持的較弱（例如只能鏡像一個網口，Cisco的交換機較好一些，鏡像的越多，交換機數據包丟失越厲害），這時IDS就需要使用Tap或者在某個網口上串接一個集線器。
　　
　　3．在某些千兆骨干網上，交換機的千兆端口是相對稀缺的資源。
　　
　　4．劃分VLAN的情況，在一些大一點的企業比比皆是，假如使用端口鏡像，必然會使企業端口不夠用，從而修改原先的網絡配置，而這種情況是很多的。
　　
　　三、問題的對策
　　當前的選擇是串聯一個集線器或者接入TAP分流器。
　　
　　1．共享式集線器
　　
　　在需要監聽的網線中連接一個共享式HUB，從而實現監聽的功能。對于小公司而言，在公司與Internet之間放置一個NIDS，是一個相對廉價并且比較輕易實現的方案。
　　
　　使用集線器和TAP是比較相近的方案，集線器和TAP放置在被監控的連接之間，這通常是在兩個交換機之間、交換機和路由器之間、服務器和交換機之間等。在圖２中，集線器放置在資源主機和交換機之間。這答應集線器在將數據復制到IDS時，依然能夠保障交換機和資源主機之間的數據流動。這種方法就像僅適合一臺機器的SPAN端口，多臺機器接在集線器上會引起網絡錯誤，并消除了交換的好處。而且集線器的容錯性不好。
　　