日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

2 IDS的交換機(jī)局限問題的分析與對(duì)策

云知道


2.問題之二:虛擬局域網(wǎng)(VLAN)
一個(gè)基本的交換機(jī)只能支持一個(gè)邏輯子網(wǎng),為了使交換機(jī)更加靈活,發(fā)明了虛擬局域網(wǎng)技術(shù)(Virtual Local Area Network, 簡(jiǎn)稱VLAN),這答應(yīng)交換機(jī)配置成兩個(gè)網(wǎng)段,看上去像兩個(gè)交換機(jī) 。
假如交換機(jī)的被監(jiān)聽端口與SPAN端口在不同VLAN上,是不能做端口鏡像的 。因此,假如需要監(jiān)聽各個(gè)VLAN的數(shù)據(jù),就必須在各個(gè)VLAN上開一個(gè)鏡像端口 。造成端口資源的浪費(fèi) 。
3.應(yīng)用環(huán)境分析:
1.在電信的網(wǎng)絡(luò)環(huán)境中,數(shù)據(jù)量一般比較大,假如采用交換機(jī)的鏡像方法,必然會(huì)使交換機(jī)丟包 。在千兆環(huán)境下更是如此 。
2.在一般的網(wǎng)絡(luò)中,有的較低端交換機(jī)不支持端口鏡像,有的交換機(jī)對(duì)端口鏡像功能支持的較弱(例如只能鏡像一個(gè)網(wǎng)口,Cisco的交換機(jī)較好一些,鏡像的越多,交換機(jī)數(shù)據(jù)包丟失越厲害),這時(shí)IDS就需要使用Tap或者在某個(gè)網(wǎng)口上串接一個(gè)集線器 。
3.在某些千兆骨干網(wǎng)上,交換機(jī)的千兆端口是相對(duì)稀缺的資源 。
4.劃分VLAN的情況,在一些大一點(diǎn)的企業(yè)比比皆是,假如使用端口鏡像,必然會(huì)使企業(yè)端口不夠用,從而修改原先的網(wǎng)絡(luò)配置,而這種情況是很多的 。
三、問題的對(duì)策
當(dāng)前的選擇是串聯(lián)一個(gè)集線器或者接入TAP分流器 。
1.共享式集線器
在需要監(jiān)聽的網(wǎng)線中連接一個(gè)共享式HUB,從而實(shí)現(xiàn)監(jiān)聽的功能 。對(duì)于小公司而言,在公司與Internet之間放置一個(gè)NIDS,是一個(gè)相對(duì)廉價(jià)并且比較輕易實(shí)現(xiàn)的方案 。
使用集線器和TAP是比較相近的方案,集線器和TAP放置在被監(jiān)控的連接之間,這通常是在兩個(gè)交換機(jī)之間、交換機(jī)和路由器之間、服務(wù)器和交換機(jī)之間等 。在圖2中,集線器放置在資源主機(jī)和交換機(jī)之間 。這答應(yīng)集線器在將數(shù)據(jù)復(fù)制到IDS時(shí),依然能夠保障交換機(jī)和資源主機(jī)之間的數(shù)據(jù)流動(dòng) 。這種方法就像僅適合一臺(tái)機(jī)器的SPAN端口,多臺(tái)機(jī)器接在集線器上會(huì)引起網(wǎng)絡(luò)錯(cuò)誤,并消除了交換的好處 。而且集線器的容錯(cuò)性不好 。
圖2:串接集線器監(jiān)聽
由于共享媒介的局限,假如交換機(jī)和路由器是全雙工的連接,將導(dǎo)致主機(jī)的網(wǎng)絡(luò)連接由全雙工變?yōu)榘腚p工,數(shù)據(jù)碰撞會(huì)降低系統(tǒng)的吞吐量 。
由于共享媒介的局限,假如NIDS發(fā)送的數(shù)據(jù)通過此HUB的話,更增加沖突的可能 。
而且低檔的集線器導(dǎo)致故障的可能性也很高 。

    推薦閱讀