一、場景說明
日誌監控監測模塊,通過收集網絡設備發送的syslog中關於deny日誌信息,來溯源到發出大量deny訪問日誌的設備所連接的二層設備的接口,通過自動化產品平臺有效對大量非法訪問或***行爲通過shutdown接入層接口的方式來阻斷***蔓延,有效的保護內網安全。
二、已調研的產品支持範圍
網絡環境主要存在以下廠家的產品:
隨着網絡規模越來越大,網絡設備種類繁多,並且各自的配置錯綜複雜,對網絡管理能力的要求也越來越高。傳統網絡管理系統多數只能分析到三層網絡拓撲結構,無法確定網絡設備的詳細拓撲信息、是否存在配置衝突等。因此需要有一個標準的二層信息交流協議。
LLDP提供了一種標準的鏈路層發現方式。通過LLDP獲取的設備二層信息能夠快速獲取相連設備的拓撲狀態;顯示出客戶端、交換機、路由器、應用服務器以及網絡服務器之間的路徑;檢測設備間的配置衝突、查詢網絡失敗的原因。企業網用戶可以通過使用網管系統,對支持運行LLDP協議的設備進行鏈路狀態監控,在網絡發生故障的時候快速進行故障定位。
思科發現協議(Cisco Discovery Protocol,簡稱:CDP)基本上是用來獲取相鄰設備的協議地址以及發現這些設備的平臺。CDP 也可爲路由器的使 用提供相關接口信息。CDP 是一種獨立媒體協議,運行在所有思科本身製造的設備上,包括路由器、網橋、接入服務器和交換機。需要注意的是,CDP是工作在Layer2的協議,默認情況下,每60秒以01-00-0c-cc-cc-cc爲目的地址發送一次組播通告,當達到180秒的holdtime上限後仍未獲得鄰居設備的通告時,將清除鄰居設備信息。
三、拓撲展示
場景一:2個跳躍點
場景一主要描述了客戶環境爲二層架構的時候體現,用戶的核心層與接入層交換數據.
場景二:3個跳躍點
場景三主要描述了客戶網絡環境爲三層結構,主要體現爲多樓層及網絡分層的場景。
四、溯源接口流程
實現方式
以下以目前降雲環境爲例;
第一步:平臺收到一條deny 日誌告警;
Sep 15 18:43:49.322 beijing: %SEC-6-IPACCESSLOGDP: list logtsh-test denied icmp 100.7.101.100 (Vlan3 28d2.4412.d722) -> 0.91.218.99 (8/0), 1 packet
第二步:通過日誌獲取到源設備的mac地址爲28d2.4412.d722
第三步:平臺登錄到核心交換機查詢該mac地址 
注意cisco與h3c MAC地址表現形式不一樣,Cisco:28d2.4412.d722
H3C: 28d2-4412-d722
第四步:通過查詢發現該mac地址是通過核心交換機的G1/0/4口學習到,繼續執行網絡鄰接協議(LLDP)
<S5120-48P-EI-HX>display lldp neighbor-information
找到G1/0/4的領接關係:
找到核心交換機個G1/0/4的鄰居爲cisco 3750,管理地址爲100.7.101.3
第五步:登錄到查詢到的領接二層設備,執行Mac地址查詢
登錄到二層設備執行 WS-C3750v2-48TS#show mac address-table | in 28d2.4412.d722
確認該MAC地址爲二層設備的Fa1/0/26口
六、命令集整合
華爲設備開啓lldp命令:
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] lldp enable
華爲兼容CDP命令:
執行命令system-view,進入系統視圖。
執行命令interface interface-type interface-number,進入接口視圖。
執行命令lldp compliance cdp receive,使能LLDP兼容CDP協議的功能。
缺省情況下,LLDP兼容CDP的功能未使能。
CISCO LLDP 協議開啓命令:
Switch# configure terminal
Switch(config)# lldp run
Switch(config)# end
CISCO cdp 默認開啓