用戶一旦登錄網(wǎng)絡���,就可獲得這些信息。結合ACS���,還可以定位用戶登錄的用戶名����。在Netflow 收集器(Netflow Collector)上編寫一個腳本文件,當發(fā)現(xiàn)可疑流量時�,就能以email的方式。
把相關信息發(fā)送給網(wǎng)絡管理員��。在通知email里��,報告了有不正常網(wǎng)絡活動的用戶CITG, 所屬組是CITG-1(這是802.1x登錄所用的)�。接入層交換機的IP地址是10.252.240.10,物理接口是FastEthernet4/1.
另外還有客戶端IP地址和MAC地址 ���,以及其在5分鐘內(nèi)(這個時間是腳本所定義的)發(fā)出的flow和packet數(shù)量���。掌握了這些信息后,網(wǎng)管員就可以馬上采取以下行動了:通過遠程SPAN捕獲可疑流量�。Catalyst接入層交換機系統(tǒng)上所支持的遠程端口鏡像功能可以將流量捕獲鏡像到一個遠程交換機上。
例如將接入層交換機系統(tǒng)上某個端口或VLAN的流量穿過中繼鏡像到分布層或核心層的某個端口����,只需非常簡單的幾條命令即可完成����。流量被捕獲到網(wǎng)絡分析或入侵檢測設備(例如Cat6500集成的網(wǎng)絡分析模塊NAM或IDS模塊)���,作進一步的分析和做出相應的動作����。 |
