6.2 监控网络系统安全

单元2网络综合布线系统设计目录单元3网络工程设计单元4网络系统安全设计单元1网络安全系统集成概述单元6网络系统安全管理单元5网络工程的实施与测试验收

如图6-10所示的网络拓扑结构，将路由器R1和路由器R2的日志信息记录到日志服务器上；为了确保记录信息的有序，网络中部署了NTP服务器。日志信息和NTP服务的安全性主要由服务器自身来保障。在时间同步过程中，R1和R2与NTP服务之间交互的信息通过协议认证来加强。另外，在网络中的R1上部署了NetFlow，将R1的Fa0/0接口下的流量（ICMP、Telnet）统计到报告系统，并用流量分析器进行监‍控。

任务场景学习系统日志和网络时间协议。回顾简单网络管理协议。探究端口分析器的作用及操作。研究NetFlow流量监控工具。

任务布置6.2.1系统日志与网络时间协议简介日志记录是发现网络事件和执行排错的一项重要工具。正确的日志记录，能够反映多台设备事件之间的关联，是建立安全网络的重要一环。如果没有合适的时间戳，系统日志消息就无法在排除故障中发挥作用。

1．系统日志和网络时间协议系统日志用于记录来自网络设备和终端的事件消息，有助于使安全监控切实可行，运行日志的服务器通常侦听UDP的514端口。系统日志消息通常带有时间戳，这使得不同来源的消息能够按时间组织，以提供网络通信过程的视图，实现此目的的一种方法是在设备上使用NTP。6.2.1系统日志与网络时间协议简介

2．系统日志信息格式简介日志信息通常是指IOS中系统所产生的报警信息，其中每一条信息都分配了一个告警级别，并携带一些说明问题或事件严重性的描述信息。日志信息格式IOS规定，日志信息分为7个级别，每个级别都和一个严重等级相关，级别0最高，级别6最低。6.2.1系统日志与网络时间协议简介

3．系统日志和NTP的配置

（1）配置NTP服务‍器

（2）配置日志服务‍器

（3）配置NTP客户‍端

（4）配置日志服‍务

（5）验证测‍试日志服务器的配置界面NTP服务器的配置界面6.2.2简单的网络管理协议

1．SNMP简介SNMP（SimpleNetworkManagementProtocol，简单网络管理协议）的前身是简单网关监控协议（SGMP），用来对通信线路进行管理。SNMP将不同种类的设备、不同厂家生产的设备、不同型号的设备，定义为一个统一的接口和协议，使得管理员可以使用统一的界面对这些需要管理的网络设备进行管理。SNMPv2 认证是由简单的文本字符串组成的，并且在设备之间以明文且未加密的形式进行通信。Read-Only（只读）字符串能满足多数案例的需求。R1(config)#snmp-servercommunitycrnet@aia!nf0RW10R1(config)#snmp-servercommunitybjcrnetRO10//设置SNMP只读或读写串口令，10

为Access-list

号R1(config)#access-list10permit210.82.8.650.0.0.0R1(config)#access-list10permit210.82.8.690.0.0.0//只让

210.82.8.65

和

210.82.8.69

两台主机可以通过SNMP采集路由器数据认证执行命令6.2.2简单的网络管理协议

2．SNMP的操作

（1）配置读写共同体

（2）配置终端管理程序

（3）查询路由器接口的MAC地址

（4）关闭路由器接口SNMP配置网络拓扑结构路由器接口MAC地址配置界面路由器接口状态查询6.2.3使用端口镜像来监控网络流量

1．端口分析器的概念

（1）数据包分析器：使用软件（如Wireshark）捕获和分析流量，以便进行故障排‍除。

（2）入侵防御系统：侧重于流量安全，实施后可在发生网络攻击时检测网络攻‍击。作为网络管理员，需要借助网络协议分析仪监控网络流量，从而完成故障排除或流量分析任‍务。交换机总是尽可能地将数据帧直接转发至目的地，除非目的MAC地址不明确，或是广播或组播MAC地址时，数据帧才会被交换机泛洪至VLAN内的所有交换机的端口，由此可见，并不能简单地把网络协议分析仪连接到交换机来监控感兴趣的数据‍流。交换机端口分析器原理6.2.3使用端口镜像来监控网络流量

2．端口分析器的分类

（1）本地SPAN。配置SPAN时需考虑以下三个重要事项：①目的端口不能是源端口，源端口也不能是目的端‍口。②目的端口的数量取决于平‍台。③目的端口不再是普通的交换机端口，仅被监控的流量会通过该端‍口。

（2）远程SPAN（简称RSPAN）。SPAN的源端口和目的端口位于不同的交换机上。被镜像的数据流需要通过一个专用的VLAN在不同交换机的Trunk 链路上传输，并最终到达镜像目的端本地SPAN工作原理RSPAN工作原理6.2.3使用端口镜像来监控网络流量

3．SPAN的配置实践

（1）网络基本配‍置。

（2）配置本地SPAN。（3）配置RSPANSPAN配置网络拓扑图SPAN配置结果验证6.2.4使用NetFlow监控网络流量

1．NetFlow简介NetFlow 是思科开发的一种协议，为IP应用提供一系列高效的重要服务，包括网络流量统计、基于利用率的网络账单、网络规划、安全、拒绝服务监控、网络监控，可提供有关网络用户、应用程序、高峰使用时间以及流量路由的重要信‍息NetFlow 不像完整的数据包捕获一样捕获数据包的全部内容，而是记录有关数据包流的信息。NetFlow 使用的IP数据包的 7 个关键属性为：（1）源IP地‍址。（2）目的IP地‍址。（3）源端‍口。（4）目的端‍口。（5）第 3 层协议类‍型。（6）服务类‍别。（7）路由器或交换机接‍口。NetFlow 网络流量统计图形6.2.4使用NetFlow监控网络流量

2．NetFlow配置（1）在R2上开启Telnet服‍务。（2）在R1上配置NetFlow。NetFlow的配置也很简单，首先NetFlow可以从入站或出站数据包中捕获流量，因此在R1的Fa0/0端口下，执行ipflowegress、ipflowingress命令指定需要捕获出入该接口的流量；执行ipflow-exportdestination192.168.3.2549996命令，指定NetFlow报告收集器的IP地址和侦听的端口号，将