форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Нужна помощь! Анализ трафика на Catalyst 3560"

Сообщение от Domas (ok) on 17-Дек-08, 11:25

Приветиствую Вас, коллеги! Имеется Cisco Catalyst 3560. Switch Ports Model              SW Version            SW Image ------ ----- -----              ----------            ---------- *    1 26    WS-C3560-24TS      12.2(46)SE            C3560-ADVIPSERVICESK9-M Коммутатор выполняет роль центрального маршрутизатора в сети. Он связывает всю сеть с основными серверами + обеспечивает резервирование каналов связи (ip sla) . Подскажите, как лучше организовать мониторинг трафика? На данном этапе есть один vlan, куда подключено всё железо. Прочёл вот эту статейку https://www.opennet.ru/openforum/vsluhforumID6/14998.html и, думаю, надо двигаться в этом направлении. Но тут непонятно, надо под каждый сервер выделять отдельный vlan или как то ещё? Статистику будет собирать машинка под FreeBsd.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Нужна помощь! Анализ трафика на Catalyst 3560"

Сообщение от AB (??) on 17-Дек-08, 11:29

Можно просто зеркалить трафик в один интерфейс, к нему подцепить Ваш FreeBSD и там анализировать трафик сколько душе угодно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Нужна помощь! Анализ трафика на Catalyst 3560"
	Сообщение от Domas (ok) on 17-Дек-08, 11:32
	>Можно просто зеркалить трафик в один интерфейс, к нему подцепить Ваш FreeBSD >и там анализировать трафик сколько душе угодно. Да, в теории я так всё и представляю.... Получается достаточно прописать: monitor session 1 source vlan 1 monitor session 1 destination remote vlan 91 ? И на FreeBsd tcpdump-ом ловить вообще всё?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Нужна помощь! Анализ трафика на Catalyst 3560"
	Сообщение от AB (??) on 17-Дек-08, 12:24
	>[оверквотинг удален] >>и там анализировать трафик сколько душе угодно. > >Да, в теории я так всё и представляю.... Получается достаточно прописать: > >monitor session 1 source vlan 1 >monitor session 1 destination remote vlan 91 > >? > >И на FreeBsd tcpdump-ом ловить вообще всё? Ну, не обязательно VLAN в VLAN. Можно и просто с порта отправлять на анализ, особенно, если порт не транковый. ИМХО, отправлять в простой порт, а не влан даже правильнее. На FreeBSD: Можно trafshow использовать для примитивного оперативного контроля. А можно и netflow сделать, что лишним не будет.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Нужна помощь! Анализ трафика на Catalyst 3560"
	Сообщение от Domas (ok) on 17-Дек-08, 12:52
	>Ну, не обязательно VLAN в VLAN. Можно и просто с порта отправлять >на анализ, особенно, если порт не транковый. ИМХО, отправлять в простой >порт, а не влан даже правильнее. Эм.... а можно поподробнее? Просто похоже я совсем запутался с этими vlan - ами... Сейчас на тестовой циске пытаюст всё наладить Вот конфиг: Building configuration... hostname SPANTEST ! boot-start-marker boot-end-marker ! enable secret 5 $1$gCGu$5Mali8uldXKKPS0blaVCW/ ! no aaa new-model clock timezone UTC 3 system mtu routing 1500 ip subnet-zero ip routing ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! interface FastEthernet0/1 descr                          ######Отсюда надо зеркалить, воткнул сюда модем для тестов. switchport access vlan 90 switchport mode access ! interface FastEthernet0/15     descr                         ######Суда подключена машинка с поднятым vlan91 switchport trunk encapsulation dot1q switchport trunk allowed vlan 1,90,91 switchport mode trunk ! interface Vlan1 ip address 192.168.0.49 255.255.254.0 ! interface Vlan90 ip address 192.168.88.87 255.255.255.0 ! interface Vlan91 no ip address ! ip classless ip http server ip http secure-server ! ! ! control-plane ! ! monitor session 1 source interface Fa0/1 monitor session 1 destination remote vlan 91 end В порт fa0/20 воткнут центральный свитч. В порт fa0/10 воткнул ещё один комп, с него захожу на web интерфейс модема. В итоге tcpdump на машинке , воткнутой в fa0/15 попадает не только инфа о том, что кто то лезет на модем, но и что то левое из сетки. Такого же быть не должно? Или я ошибаюсь? > >На FreeBSD: >Можно trafshow использовать для примитивного оперативного контроля. >А можно и netflow сделать, что лишним не будет. По-моему cisco 3560 не поддерживает netflow :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Нужна помощь! Анализ трафика на Catalyst 3560"
	Сообщение от AB (??) on 17-Дек-08, 18:04
	>interface FastEthernet0/15 > descr           >           >   ######Суда подключена машинка с поднятым vlan91 no sh Нужно убрать все и просто сделать порт активным Куда зеркалить: monitor session 1 destination interface Fa0/15 Можешь отключить на интерфейсе FreeBSD vlan >В итоге tcpdump на машинке , воткнутой в fa0/15 попадает не только >инфа о том, что кто то лезет на модем, но и >что то левое из сетки. >Такого же быть не должно? Или я ошибаюсь? Так должно быть исходя из твоей конфигурации. Советую прочитать матчасть, очень многое прояснишь для себя. > >По-моему cisco 3560 не поддерживает netflow :( Да, не умеет, но если ты реализуешь схему, что выше, то можешь обработать отзеркаленный трафик во FreeBSD, как тебе угодно (если не слишком серьезные потребности). Вот так коллега реализовал в свое время: www.lissyara.su/?id=1459
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Нужна помощь! Анализ трафика на Catalyst 3560"
	Сообщение от Domas (ok) on 20-Дек-08, 09:13
	Спасибо! Помогло! на Cisco просто прописал source vlan 1 dest int fa0/15 Поставил ntop - то что нужно!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]