超级会员免费看
配置 Cisco 设备向 CS - MARS 报告事件
1. CS - MARS 概述
CS - MARS 可以接收多种形式的事件,如 NetFlow 导出数据、系统日志(syslogs)、SNMP 陷阱、SDEE 以及其他安全厂商的协议。在支持网络准入控制(NAC)方面,CS - MARS 可从以下 NAC 组件接收事件:
- Cisco IOS 路由器
- Cisco 交换机
- Cisco 安全访问控制服务器(ACS)
- Cisco 安全代理管理中心(CSA - MC)
- Cisco VPN 3000 系列集中器
- Cisco 自适应安全设备和 PIX 安全设备
- QualysGuard 网络设备
2. 设置 Cisco IOS 路由器向 CS - MARS 报告事件
2.1 已配置基本事件转发的情况
在标准的 CS - MARS 部署中,Cisco IOS 路由器通常被配置为向 CS - MARS 转发系统日志和 NetFlow 事件。系统日志让 CS - MARS 了解路由器上发生的事件,NetFlow 事件则让其知晓流经路由器的所有会话,这有助于 CS - MARS 检测零日病毒和蠕虫等异常情况。
如果 NAC 路由器已经配置好向 CS - MARS 发送系统日志和 NetFlow 事件,那么只需添加以下命令来发送 NAC 特定的系统日志:
eou allow ip-station-id
eou logging
注意
:启用
eou allow ip-station-id
命令会使路由器在 RADIUS 访问请求数据包的
Calling - Station - Id
字段中发送客户端的 IP 地址(而非 MAC 地址),这样 CS - MARS 就能运行显示客户端 IP 的报告。但由于不再发送客户端的 MAC 地址,将无法在 ACS 上使用基于集中式 MAC 的例外(适用于无代理设备)。
2.2 未定义或未配置事件转发的情况
若 Cisco IOS 路由器之前未在 CS - MARS 中定义,也未配置向其转发事件,则需完成以下任务:
1. 在 CS - MARS 中将 Cisco IOS 路由器定义为报告设备。
2. 配置 Cisco IOS 路由器向 CS - MARS 转发事件。
以下是详细步骤:
2.2.1 在 CS - MARS 中将 Cisco IOS 路由器定义为报告设备
在将 Cisco IOS 路由器添加到 CS - MARS 之前,需要对路由器进行引导,以便 CS - MARS 能够发现并导入它。CS - MARS 可通过 SNMP、SSH、Telnet 或 FTP 服务器上保存的配置来发现 Cisco IOS 路由器。若路由器定义了 ACL 或配置了 NAT,建议通过 SSH 或 Telnet 发现路由器。此外,还需要提供 SNMP 只读(RO)社区字符串,该字符串允许 CS - MARS 查询路由表、接口 MIB 和资源利用率。
-
通过 SSH 访问的引导配置
:要使 CS - MARS 通过 SSH 访问路由器,路由器必须运行加密镜像(-k8 或 -k9),并且运行的版本必须具备 SSH 服务器功能。在配置模式下执行
ip ssh ?命令,若看到选项列表,则表示当前版本支持 SSH。此外,SSH 需要用户使用用户名/密码对进行身份验证,这意味着必须在路由器上启用 AAA 以查询本地数据库或远程 TACACS + 或 RADIUS 服务器。
示例如下:
7206 - D(config)# tacacs - server host 172.18.124.101 key c1scs3cr3tA
7206 - D(config)# aaa new - model
7206 - D(config)# aaa authentication login default group tacacs+
7206 - D(config)# aaa authentication enable default group tacacs+
7206 - D(config)# ip domain - name securemeinc.com
7206 - D(config)# crypto key generate rsa
The name for the keys will be: 7206 - D.securemeinc.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys ...[OK]
- 通过 Telnet 访问 :也可以让 CS - MARS 通过 Telnet 访问设备,但此方法不太安全,因为会话内容未加密。路由器只需未在 vty 线路下禁用 Telnet 访问并设置了密码即可。
- 通过 SNMP 访问的引导配置 :添加以下命令让 CS - MARS 通过 SNMP 访问路由器:
snmp - server community community - string ro optional - acl
完成路由器的引导后,按照以下步骤将其添加为 CS - MARS 中的受监控设备:
1. 登录 CS - MARS GUI 界面,选择“Admin”选项卡。
2. 在“Device Configuration and Discovery Information”部分,点击“Security and Monitor Devices”链接。
3. 点击屏幕最右侧的“Add”框。
4. 在“Device Type”下拉列表中,选择“Cisco IOS 12.2”(在 CS - MARS 中,所有 Cisco IOS 路由器都表示为“Cisco IOS 12.2”,无论其实际运行的 IOS 版本如何)。
5. 在“Device Name”中填写路由器的主机名。
6. 填写“Access IP”和“Reporting IP”,二者应相同。“Access IP”是 CS - MARS 用于发现路由器的地址,“Reporting IP”是 CS - MARS 用于匹配接收到的事件以确定正确受监控设备的地址。
7. 在“Access Type”中,从下拉列表中选择“SSH”,并选择 3DES 或 DES 作为加密强度。
8. 在“Login”字段中添加用户名,在“Password”字段中添加密码,并填写“Enable Password”字段。
9. 在“SNMP RO Community”字段中填写之前引导路由器时设置的只读社区字符串。
10. 在“Monitor Resource Usage”中,建议从下拉列表中选择“Yes”,以便 CS - MARS 监控内存和 CPU 的异常活动。
11. 点击“Discover”按钮,几秒后会弹出消息提示发现完成,选择“OK”。
12. 选择“Submit”。
13. 点击右上角的“Activate”。
可以重复这些步骤将其他 Cisco IOS 网络接入设备(NAD)添加到 CS - MARS 中。
2.2.2 配置 Cisco IOS 路由器向 CS - MARS 转发事件
将 Cisco IOS 路由器添加到 CS - MARS GUI 界面后,需要配置其向 CS - MARS 转发事件:
-
配置系统日志转发
:添加以下命令让路由器向 CS - MARS 发送系统日志:
logging source - interface interface
logging trap level
logging CS - MARS - IP
logging on
注意
:为了使 CS - MARS 发挥最大效果,需要接收高级别的日志记录,这对应于路由器上的日志级别 6(信息性)。
-
配置 NetFlow 事件转发
:虽然向 CS - MARS 发送 NetFlow 事件不是监控 NAC 解决方案的必需条件,但这是一个高度推荐的最佳实践,可让 CS - MARS 检测网络中的攻击和其他异常事件。在路由器上添加以下配置以发送 NetFlow 事件:
ip flow - export version 5
ip flow - export destination CS - MARS - IP 2055
ip flow - export source source - interface
此外,需要在每个接口下启用
ip route - cache flow
,以便路由器跟踪流经该接口的流量:
interface interface
ip route - cache flow
注意
:在日志记录和流量导出命令中指定源接口不是必需的,但在多接口路由器上,由于数据包可能通过多个接口到达 CS - MARS 且源 IP 不同,建议使用源接口。CS - MARS 根据报告 IP 对从设备接收的事件进行分类,如果 IP 地址发生变化,CS - MARS 会认为事件来自未知的报告设备。作为安全最佳实践,应始终指定源接口并将其绑定到环回接口。
-
启用 NAC 特定事件生成
:添加以下命令启用 NAC 特定事件的生成,这些事件将通过现有的系统日志工具发送到 CS - MARS:
eou allow ip - station - id
eou logging
完成这些步骤后,Cisco IOS 路由器就配置好了向 CS - MARS 发送事件。可以对网络中其余的 NAD 重复这些步骤。
3. 设置 Cisco 交换机向 CS - MARS 报告事件
3.1 已配置基本事件转发的情况
如果已经在 CS - MARS 中定义了交换机,并且它们正在向 CS - MARS 转发系统日志消息,那么只需根据交换机是用于 L2 - IP 还是 L3 - IP 进行 NAC 特定配置,即配置交换机向 CS - MARS 发送基于 UDP 的 EAP 日志。
对于 Cisco IOS 交换机,添加以下命令:
eou allow ip - station - id
eou logging
对于 CatOS 交换机,添加以下命令:
set eou allow ip - station - id enable
set eou logging enable
注意
:启用
eou allow ip - station - id
命令会使交换机在 RADIUS 访问请求数据包的
Calling - Station - Id
字段中发送客户端的 IP 地址(而非 MAC 地址),这样 CS - MARS 就能运行显示客户端 IP 的报告。但由于不再发送客户端的 MAC 地址,将无法在 ACS 上使用基于集中式 MAC 的例外(适用于无代理设备)。
3.2 未定义或未配置事件转发的情况
若交换机之前未在 CS - MARS 中定义,也未配置向其转发事件,则需完成以下任务:
1. 在 CS - MARS 中将 Cisco 交换机定义为报告设备。
2. 配置 Cisco 交换机向 CS - MARS 转发事件。
以下是详细步骤:
3.2.1 在 CS - MARS 中将 Cisco 交换机定义为报告设备
CS - MARS 支持基于 Cisco IOS 的交换机和基于 CatOS 的 Cisco 交换机,将它们添加到 CS - MARS GUI 的过程相同,只是设备类型有所不同:基于 Cisco IOS 的交换机为“Cisco Switch - IOS 12.2”,基于 CatOS 的交换机为“Cisco Switch - CatOS ANY”。
在将交换机添加到 CS - MARS 之前,需要对其进行引导,以便 CS - MARS 能够发现并导入它。CS - MARS 可通过 SNMP、SSH、Telnet 或 FTP 服务器上保存的配置来发现交换机。若交换机定义了 ACL 或配置了 NAT,建议通过 SSH 或 Telnet 发现交换机。此外,还需要提供 SNMP 只读社区字符串,该字符串允许 CS - MARS 查询内容可寻址内存(CAM)表、生成树表、接口 MIB 和资源利用率。
注意 :如果希望 CS - MARS 向交换机推送 L2 缓解策略,必须在交换机上定义读写 SNMP 社区字符串,并在推送 L2 缓解策略时将其提供给 CS - MARS。
-
通过 SSH 访问的引导配置
:要使 CS - MARS 通过 SSH 访问交换机,交换机必须运行加密镜像(-k8 或 -k9),并且运行的版本必须具备 SSH 服务器功能。对于 Cisco IOS 交换机,在配置模式下执行
ip ssh ?命令;对于 CatOS 交换机,在启用模式下执行set ssh mode ?命令。若看到选项列表,则表示当前版本支持 SSH。此外,SSH 需要用户使用用户名/密码对进行身份验证,这意味着必须在交换机上启用 AAA 以查询本地数据库或远程 TACACS + 或 RADIUS 服务器。
对于 Cisco IOS 交换机,示例如下:
6503 - A(config)# tacacs - server host 172.18.124.101 key c1scs3cr3tA
6503 - A(config)# aaa new - model
6503 - A(config)# aaa authentication login default group tacacs+
6503 - A(config)# aaa authentication enable default group tacacs+
6503 - A(config)# ip domain - name securemeinc.com
6503 - A(config)# crypto key generate rsa
The name for the keys will be: 6503 - A.securemeinc.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys ...[OK]
对于 CatOS 交换机,示例如下:
6503 - B (enable) set tacacs server 172.18.124.101 primary
6503 - B (enable) set tacacs key c1sc0s3cr3t
6503 - B (enable) set authentication login tacacs enable primary
6503 - B (enable) set authentication enable tacacs enable primary
6503 - B (enable) set ip permit 10.10.20.0 255.255.255.0
6503 - B (enable) set crypto key rsa 2048
Generating RSA keys............................ [OK]
- 通过 Telnet 访问 :也可以让 CS - MARS 通过 Telnet 访问设备,但此方法不太安全,因为会话内容未加密。
-
通过 SNMP 访问的引导配置
:
对于 Cisco IOS 交换机,添加以下命令:
snmp - server community community - string {ro | rw} optional - acl
对于 CatOS 交换机,添加以下命令:
set snmp community {read - only | read - write} community - string
完成交换机的引导后,按照以下步骤将其添加为 CS - MARS 中的受监控设备:
1. 登录 CS - MARS GUI 界面,选择“Admin”选项卡。
2. 在“Device Configuration and Discovery Information”部分,点击“Security and Monitor Devices”链接。
3. 点击屏幕最右侧的“Add”框。
4. 在“Device Type”下拉列表中,对于基于 Cisco IOS 的交换机选择“Cisco Switch - IOS 12.2”,对于运行 CAT - OS 的交换机选择“Cisco Switch - CatOS ANY”。
5. 在“Device Name”中填写交换机的主机名。
6. 填写“Access IP”和“Reporting IP”,二者应相同。“Access IP”是 CS - MARS 用于发现交换机的地址,“Reporting IP”是 CS - MARS 用于匹配接收到的事件以确定正确受监控设备的地址。
7. 在“Access Type”中,从下拉列表中选择“SSH”,并选择 3DES 或 DES 作为加密强度。
8. 在“Login”字段中添加用户名,在“Password”字段中添加密码,并填写“Enable Password”字段。
9. 在“SNMP RO Community”字段中填写之前引导交换机时设置的只读社区字符串。
10. 在“Monitor Resource Usage”中,建议从下拉列表中选择“Yes”,以便 CS - MARS 监控内存和 CPU 的异常活动。
11. 点击“Discover”按钮,几秒后会弹出消息提示发现完成,选择“OK”。
12. 选择“Submit”。
13. 点击右上角的“Activate”。
可以重复这些步骤将其他 Cisco 交换机添加到 CS - MARS 中。
3.2.2 配置 Cisco 交换机向 CS - MARS 转发事件
将交换机添加到 CS - MARS 后,需要配置其向 CS - MARS 转发事件:
-
配置系统日志转发
:
对于 Cisco IOS 交换机,添加以下命令:
logging source - interface interface
logging trap level
logging CS - MARS - IP
logging on
对于 CatOS 交换机,添加以下命令:
set logging server severity level
set logging server CS - MARS - IP
set logging server enable
set snmp rmon enable
注意
:为了使 CS - MARS 发挥最大效果,需要接收高级别的日志记录,这对应于交换机上的日志级别 6(信息性)。
-
启用 NAC L2 - IP 和 L3 - IP 特定事件生成
:
对于 Cisco IOS 交换机,添加以下命令:
eou allow ip - station - id
eou logging
对于 CatOS 交换机,添加以下命令:
set eou allow ip - station - id enable
set eou logging enable
如果进行 L2 - 802.1x 配置,还需添加:
set dot1x radius - accounting enable
注意
:启用
eou allow ip - station - id
命令会使交换机在 RADIUS 访问请求数据包的
Calling - Station - Id
字段中发送客户端的 IP 地址(而非 MAC 地址),这样 CS - MARS 就能运行显示客户端 IP 的报告。但由于不再发送客户端的 MAC 地址,将无法在 ACS 上使用基于集中式 MAC 的例外(适用于无代理设备)。
完成这些步骤后,交换机就配置好了向 CS - MARS 发送事件。可以对网络中其余的 NAD 重复这些步骤。
总结
通过以上详细的步骤,我们可以将 Cisco IOS 路由器和 Cisco 交换机配置为向 CS - MARS 报告事件,从而实现对 NAC 解决方案的有效监控。在配置过程中,需要注意不同设备的配置差异以及一些关键命令的使用,如
eou allow ip - station - id
命令对客户端 IP 和 MAC 地址报告的影响。同时,为了保证系统的安全性和稳定性,建议遵循安全最佳实践,如指定源接口和使用 SSH 进行设备访问等。
配置 Cisco 设备向 CS - MARS 报告事件
4. 配置流程总结与对比
为了更清晰地了解配置 Cisco IOS 路由器和 Cisco 交换机向 CS - MARS 报告事件的流程,我们将两者的关键步骤进行对比总结,如下表所示:
| 设备类型 | 已配置基本事件转发时的额外配置 | 未定义或未配置时的引导方式 | 定义为报告设备步骤 | 配置事件转发步骤 |
| — | — | — | — | — |
| Cisco IOS 路由器 |
plaintext<br>eou allow ip - station - id<br>eou logging<br>
| SNMP、SSH、Telnet 或 FTP 服务器配置,若有 ACL 或 NAT 建议 SSH 或 Telnet,需 SNMP RO 社区字符串 | 1. 登录 CS - MARS GUI 选“Admin”
2. 点击“Security and Monitor Devices”
3. 点击“Add”
4. 选“Cisco IOS 12.2”
5. 填设备名
6. 填 Access IP 和 Reporting IP
7. 选 SSH 及加密强度
8. 填用户名、密码和 Enable Password
9. 填 SNMP RO 社区字符串
10. 选“Monitor Resource Usage”为“Yes”
11. 点击“Discover”后选“OK”
12. 选“Submit”
13. 点击“Activate” | 1. 配置系统日志:
plaintext<br>logging source - interface interface<br>logging trap level<br>logging CS - MARS - IP<br>logging on<br>
2. 配置 NetFlow:
plaintext<br>ip flow - export version 5<br>ip flow - export destination CS - MARS - IP 2055<br>ip flow - export source source - interface<br>
每个接口:
plaintext<br>interface interface<br> ip route - cache flow<br>
3. 启用 NAC 特定事件:
plaintext<br>eou allow ip - station - id<br>eou logging<br>
|
| Cisco 交换机 |
Cisco IOS 交换机
:
plaintext<br>eou allow ip - station - id<br>eou logging<br>
CatOS 交换机
:
plaintext<br>set eou allow ip - station - id enable<br>set eou logging enable<br>
| SNMP、SSH、Telnet 或 FTP 服务器配置,若有 ACL 或 NAT 建议 SSH 或 Telnet,需 SNMP RO 社区字符串,若推 L2 策略需读写 SNMP 社区字符串 | 1. 登录 CS - MARS GUI 选“Admin”
2. 点击“Security and Monitor Devices”
3. 点击“Add”
4. 选对应设备类型(Cisco Switch - IOS 12.2 或 Cisco Switch - CatOS ANY)
5. 填设备名
6. 填 Access IP 和 Reporting IP
7. 选 SSH 及加密强度
8. 填用户名、密码和 Enable Password
9. 填 SNMP RO 社区字符串
10. 选“Monitor Resource Usage”为“Yes”
11. 点击“Discover”后选“OK”
12. 选“Submit”
13. 点击“Activate” | 1. 配置系统日志:
Cisco IOS 交换机
:
plaintext<br>logging source - interface interface<br>logging trap level<br>logging CS - MARS - IP<br>logging on<br>
CatOS 交换机
:
plaintext<br>set logging server severity level<br>set logging server CS - MARS - IP<br>set logging server enable<br>set snmp rmon enable<br>
2. 启用 NAC 特定事件:
Cisco IOS 交换机
:
plaintext<br>eou allow ip - station - id<br>eou logging<br>
CatOS 交换机
:
plaintext<br>set eou allow ip - station - id enable<br>set eou logging enable<br>
若 L2 - 802.1x 配置:
plaintext<br>set dot1x radius - accounting enable<br>
|
5. 配置过程中的注意事项
-
安全方面
- SSH 访问相对 Telnet 更安全,建议优先使用。在使用 SSH 时,要确保路由器或交换机运行加密镜像且具备 SSH 服务器功能,同时启用 AAA 认证。
- 对于多接口设备,指定源接口并绑定到环回接口是安全最佳实践,可避免因 IP 地址变化导致 CS - MARS 无法正确识别事件来源。
-
功能影响方面
-
启用
eou allow ip - station - id命令虽然能让 CS - MARS 显示客户端 IP 报告,但会导致无法在 ACS 上使用基于集中式 MAC 的例外(适用于无代理设备),需根据实际需求谨慎使用。
-
启用
-
日志级别方面
- 为使 CS - MARS 发挥最大效果,路由器和交换机都应设置较高的日志级别(如 6 - 信息性)。
6. 配置流程的 mermaid 流程图
graph LR
classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px
classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px
A([开始配置]):::startend --> B{设备类型}:::decision
B -->|Cisco IOS 路由器| C{是否已配置基本事件转发}:::decision
B -->|Cisco 交换机| D{是否已配置基本事件转发}:::decision
C -->|是| E(添加 NAC 特定日志命令):::process
C -->|否| F(引导路由器):::process
D -->|是| G(添加 NAC 特定日志命令):::process
D -->|否| H(引导交换机):::process
E --> I(定义为报告设备):::process
F --> I
G --> J(定义为报告设备):::process
H --> J
I --> K(配置事件转发):::process
J --> L(配置事件转发):::process
K --> M([配置完成]):::startend
L --> M
总结与拓展思考
通过以上详细的配置步骤和注意事项,我们可以顺利地将 Cisco IOS 路由器和 Cisco 交换机配置为向 CS - MARS 报告事件,从而实现对 NAC 解决方案的有效监控。在实际应用中,还可以考虑以下拓展:
- 对于大量设备的配置,可以利用 CS - MARS 提供的逗号分隔种子文件导入机制,提高配置效率。
- 持续关注 CS - MARS 的更新和新功能,根据业务需求进一步优化监控策略和报告内容。
- 建立定期的设备检查和维护机制,确保设备配置的稳定性和安全性,及时发现并解决潜在问题。
扫一扫
41
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
