不，

但是你可以做的是设置一个带有 SNORT 的盒子。

或者，您可以将访问列表应用于您的 Span 会话端口，它只是“允许 ip 任何日志”，并将记录流量源和目标地址（以及 TCP/UDP 端口信息）。然后，如果您可以将这些日志消息重定向到系统日志服务器，您就可以将它们实时导出到 CSV 文件中，并使用 SNORT 之类的应用程序来分析流量。或者您可以将它们本地记录在设备上，然后手动提取/解析它们以查找异常流量。

我正在寻找一种使用 ISR G2 路由器的方法，例如 Snort [snip]

你的整个问题就在那里开始和停止。IOS 中的 IPS/IDS 不是为带外流量检查而设计的。路由器必须是行内检查它。

简单地说，IOS 不是 SNORT。如果您想要 SNORT，请运行 SNORT。

（此外，IOS 中的 IPS/IDS 非常慢——完全以路由器 CPU 供电的方式完成——而且通常不完整。您需要一份支持合同以使其远程保持最新状态。）

我认为约翰肯尼迪是对的，没有任何东西看起来符合你的问题；但无论如何我都会摇摆不定。

Cisco 路由器能否充当不通过它的 LAN 流量的 IDS？

不可以，尽管某些 Cisco 设备可以充当 IDS/IPS。思科拥有专门用于此的完整产品线。

不过，这些对于您的情况来说可能是巨大的矫枉过正。

具体来说，通过交换机的流量是否可以端口镜像到路由器上的接口，路由器充当 IDS？

这一直可以通过端口镜像（SPAN 端口）实现。它们在功能上完全符合您的要求。它们复制流入/流出接口/VLAN 的流量，并将其吐出到预定义的端口/VLAN。

我正在寻找一种方法来使用 ISR G2 路由器（如 Snort）来监控 LAN 上设备之间的流量。

我不太确定这个模型是否以您期望的方式支持自定义代码（如 snort）。

尽管不是那么优雅，但您始终可以设置一台独立的机器来运行您的 IDS 应用程序。