用户一旦登录网络,就可获得这些信息。结合ACS,还可以定位用户登录的用户名。在Netflow 收集器(Netflow Collector)上编写一个脚本文件,当发现可疑流量时,就能以email的方式。
把相关信息发送给网络管理员。在通知email里,报告了有不正常网络活动的用户CITG, 所属组是CITG-1(这是802.1x登录所用的)。接入层交换机的IP地址是10.252.240.10,物理接口是FastEthernet4/1.
另外还有客户端IP地址和MAC地址 ,以及其在5分钟内(这个时间是脚本所定义的)发出的flow和packet数量。掌握了这些信息后,网管员就可以马上采取以下行动了:通过远程SPAN捕获可疑流量。Catalyst接入层交换机系统上所支持的远程端口镜像功能可以将流量捕获镜像到一个远程交换机上。
例如将接入层交换机系统上某个端口或VLAN的流量穿过中继镜像到分布层或核心层的某个端口,只需非常简单的几条命令即可完成。流量被捕获到网络分析或入侵检测设备(例如Cat6500集成的网络分析模块NAM或IDS模块),作进一步的分析和做出相应的动作。 |
