追踪可疑源头。 Catalyst 集成的安全特性提供了基于身份的网络服务(IBNS)，以及DHCP监听、源IP防护、和动态ARP检测等功能。这些功能提供了用户的IP地址和MAC地址、物理端口的绑定信息，同时防范IP地址假冒。这点非常重要，如果不能防范IP地址假冒，那么Netflow搜集到的信息就没有意义了。 用户一旦登录网络，就可获得这些信息。结合ACS，还可以定位用户登录的用户名。在Netflow 收集器(Netflow Collector)上编写一个脚本文件，当发现可疑流量时，就能以email的方式，把相关信息发送给网络管理员。

　　在通知email里，报告了有不正常网络活动的用户CITG, 所属组是CITG-1(这是802.1x登录所用的)。接入层交换机的IP地址是10.252.240.10，物理接口是FastEthernet4/1，另外还有客户端IP地址和MAC地址 ，以及其在5分钟内(这个时间是脚本所定义的)发出的flow和packet数量。

　　掌握了这些信息后，网管员就可以马上采取以下行动了：

　　通过远程SPAN捕获可疑流量。Catalyst交换机上所支持的远程端口镜像功能可以将流量捕获镜像到一个远程交换机上，例如将接入层交换机上某个端口或VLAN的流量穿过中继镜像到分布层或核心层的某个端口，只需非常简单的几条命令即可完成。流量被捕获到网络分析或入侵检测设备(例如Cat6500集成的网络分析模块NAM或IDS模块)，作进一步的分析和做出相应的动作。

　　整个过程需要多长时间呢？对于一个有经验的网管员来说，在蠕虫发生的5分钟内就能完成，而且他不需要离开他的座位！