在旁路模式中，数据包并不通过传感器，传感器分析的只是镜像流量的一个拷贝，并不是实际转发的数据包，旁路模式的优点是传感器并不影响数据包的流量转发，它的缺点是传感器无法阻止恶意流量，比如：单包***。如果要阻止这样的***需要其它设备（比如：路由器、交换机、防火墙）来协助。它是一种“知而不决”的行为。

实训演示：

演示目标：部署思科IDS/IPS的旁路模式

演示环境：如下图5.7所示,

演示背景：在如图5.7所示的环境中，将IPS192.168.101.2部署为旁路模式，配置它可以被IDM主机192.168.101.3进行图型化配置与管理，IPS的G0为网管接口（也就是通常所说的command接口，G1为监控接口也就是sensor接口，配置交换机S1的网络管理地址为192.168.101.1，要求IPS的sensor接口处于旁路模式中，监控VLAN2主机A和B的流量。

演示步骤：

第一步：配置交换机，按照演示环境图5.7为交换机规划VLAN，为交换机配置管理接口VLAN1的ip地址是192.168.101.1/24。因为演示环境中思科的***检测设备采用的是旁路模式，所以必须为交换机配置端口镜像以协同传感器工作，端口镜像要求将交换机fa0/1和fa0/2接口流量镜像到fa0/3（连接IPS设备sensor）的接口。交换机上的具体配置如下所示：

s1#vlan database   * 进入Vlan数据库配置模式

s1(vlan)#vlan 2 namev2 * 建立Vlan2并命名为V2

VLAN 2 added:      * 系统提示Vlan2添加成功，名称为v2。

   Name: v2

s1(config)#interfacefastEthernet 0/1  * 进入交换机的fa0/1接口配置模式。

s1(config-if)#switchportaccess vlan 2 * 将该接口规划到VLAN2中

s1(config-if)#noshutdown

s1(config)#interfacefastEthernet 0/2

s1(config-if)#switchportaccess vlan 2

s1(config-if)#noshutdown

s1(config-if)#exit

s1(config)#interfacefastEthernet 0/3

s1(config-if)#switchportaccess vlan 2

s1(config-if)#noshutdown

s1(config-if)#exit

s1(config)#interfacevlan 1   * 进入交换机的管理接口，默认为vlan1

s1(config-if)#ipaddress 192.168.101.1 255.255.255.0 * 为管理接口配置IP地址。

s1(config-if)#noshutdown

s1(config-if)#exit

s1(config)#monitorsession 1 source interface fastEthernet 0/1

s1(config)#monitorsession 1 source interface fastEthernet 0/2

* 配置交换机端口镜像技术的镜像来源端口，在该实验中是fa0/1和fa0/2。

s1(config)#monitorsession 1 destination interface fastEthernet 0/3

* 配置交换机端口镜像技术的镜像目标端口，在该实验中是fa0/3（连接IPS的接口）。

第二步：使用IDM配置思科的IPS传感器为旁路模式，在使用IDM配置传感器之前，必须保证已经完成了传感器的初始化配置，关于传感器的初始配置请参看项目四的任务三，在这里就不再重复描述，在初始配置完成后，现在可以正式配置IPS的G1接口为旁路模式，首先是在IDM中的interface下启动G1接口，如下图5.8所示。

　　　然后在virtualSensor (VS0)中将G1接口关联到Virtual Sensor 0并Assign该接口，具体如下图5.9所示，完成配置后，可以在如下图5.10中看到旁路接口与VS关联后的显示，最后在interface configuration选项卡下的Summary可以查看到IPS的G1接口的配置状态，可看到该接口与Virtual Sensor 0关联并处于旁路模式，如下图5.11所示。

　　　

第三步：完成上述的配置后，您当前IPS的旁路模式就配置完成，此时需要检测IPS是否开始检查流量、是否能成功的触发signature。你可以在VLAN2主机A ping主机B，但是在ping之前，你必须在signature中enable signature ID 2000和2004这两个签名分别指示ICMP的请求与应答，在思科专业级的IPS系统上，为了减少不必要的告警信息，在默认情况下它是被disable的，所以你必须enable它们，这与项目三中基于IOS或者PIX防火墙的签名不一样，在IOS和PIX防火墙上这两个签名默认是被启动的。启动它的方法如下图5.12所示，通过搜索sigID的方式，找到2000和2004的签名，然后分别点击enable，并应用配置。

在正确完成上述的配置后，主机A到B的ping应该能够被旁路模式下的IPS所记录，然后，可以通过查看最近一小时或者最近一分钟的events看到主机A到B触发的签名事件，这表示旁路模式中的IPS成功的开始检查数据流量。