追踪搜集可疑源头
    识别出可疑流量后，同样重要的是追踪到源头(包括物理位置和用户ID)。在今天的移动的环境中，用户可以在整个园区网中随意漫游，仅仅知道源IP地址是很难快速定位用户的。而且我们还要防止IP地址假冒，否则检测出的源IP地址无助于我们追查可疑源头。另外我们不仅要定位到连接的端口，还要定位登录的用户名。 

    一旦可疑流量被监测到，我们需要捕获这些数据包来判断这个不正常的流量到底是不是发生了新的蠕虫攻击。管理软件并不对数据包做深层分析，我们需要网络分析工具或入侵检测设备来做进一步的判断。但是，如何能方便快捷地捕获可疑流量并导向网络分析工具呢？速度是很重要的，否则你就错过了把蠕虫扼杀在早期的机会。除了要很快定位可疑设备的物理位置，还要有手段能尽快搜集到证据。我们不可能在每个接入交换机旁放置网络分析或入侵检测设备，也不可能在发现可疑流量时扛着分析仪跑去配线间。 

    集成的安全特性提供了基于身份的网络服务(IBNS)，以及DHCP监听、源IP防护、和动态ARP检测等功能。这些功能提供了用户的IP地址和MAC地址、物理端口的绑定信息，同时防范IP地址假冒。这点非常重要，如果不能防范IP地址假冒，那么搜集到的信息就没有意义了。 用户一旦登录网络，就可获得这些信息。结合ACS，还可以定位用户登录的用户名。在收集器上编写一个脚本文件，当发现可疑流量时，就能以Email的方式，把相关信息发送给网络管理员。

    在通知Email里，报告了有不正常网络活动的用户CITG, 所属组是CITG-1(这是802.1x登录所用的)。接入层交换机的IP地址是10.1.40.44，物理接口是FastEthernet1/6，另外还有客户端IP地址和MAC地址 ，以及其在5分钟内(这个时间是脚本所定义的)发出的flow和packet数量。

    通过远程SPAN捕获可疑流量
    交换机上所支持的远程端口镜像功能可以将流量捕获镜像到一个远程交换机上，例如将接入层交换机上某个端口或VLAN的流量穿过中继镜像到分布层或核心层的某个端口，只需非常简单的几命令即可完成。流量被捕获到网络分析或入侵检测设备，作进一步的分析和做出相应的动作。 整个过程需要多长时间呢？对于一个有经验的网管员来说，在蠕虫发生的5分钟内就能完成，而且他不需要离开他的座位！

    我们可以看到，这个解决关键是结合了三层设备上所集成的多种安全特性功能，从扩展的802.1x，到DHCP 监听、动态ARP检测、源IP防护。面对当前病毒入侵，有些时候可以充分利用某些安全特性，为我们提供了一个在企业局域网上有效防范病毒入侵的很好的解决策略，虽然不需更多额外投资，而充分利用的是三层交换设备集成在上的IOS中的功能特性，同时也带给我们一个新的思考：如何充分利用现有网络资源来保护网络安全？这些和我们平时在选择网络设备时，有可能忽略的特性，往往会带给我们意想不到的却有行之有效的结果。