注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

天边云E家 shaoruisky

IT博文共享,知识的海洋

 
 
 

日志

 
 

利用交换机镜像点抓流量与分析协议  

2012-06-30 10:41:59|  分类: 网络技术 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
以下信息是本人刚涉足IDC圈,整理的文档,三年过去….觉得当时写的不太好。但还是把它黏贴出来,一些理解错或者看不懂的,大家可以交流.现在关于流量,有了更全面的监控平台.对于实时捉交换机端口流量,solarwinds绝对是个首选。一些arp 或者要分析协议,还是要靠抓包软件去实现的.
 
相对我们公司涉及到一些交换机,如何做端口镜像,通过辅助抓包软件解析流量!我做个简单介绍,以下是IDC机房交换机的部分品牌:
D-Link 3226s
DES-3026
H3C-S3100-26TP-SI 
H3C-S2126-E0001P01  
H3C-S5024P-E0102P01 
TL-SL3226P
Cisco-3560
D-Link 3226s 和 DES-3026
登陆交换机主配置菜单------选择下面的Advanced setup------Mirroring Configurations(镜像配置)---- 把mirror Status选项设为Enabled,然后将Target Port 选项设置为Port24即为镜像端口,Port1端口监听模式点选为Both(即发送与接收的数据都同时监控),这样交换机就把1号端口(即2号端口至23端口,因为2-23的端口都是从1号进出流量)的数据随时随地都COPY了一份给Port 1,然后我们在Port 24上进行监听,Sniffer等抓包软件也就有了用武之地。< XMLNAMESPACE PREFIX ="V" />

H3C-S3100-26TP-SI
H3C-S2126-E0001P01  
H3C-S5024P-E0102P01
 
A.web登陆
 登陆到交换机界面---端口管理----端口镜像
 镜像端口设置为24,被镜像口选为1号端口,其他不用管!

 
 因为真如机房有个千兆H3C-S5024P设备,1-4端口接了4个百兆交换机!直接把1-4号设置为被镜像端口.这样利用sniffer就可以监听到底下哪台服务器流量跑高了,比如4号端口的交换机,碰巧客户没设置ip或者这个交换机不支持网管功能,抓不了包!我们把1-4号设置为被镜像端口,利用sniffer监听,看到哪台流量跑高了.知道他的ip后,就可以知道MAC地址,用dis mac-address 0046-e68c-7c2f   就可以发现该MAC地址是从哪个端口出来,然后进入该端口后,输入mac-address blackhole 0046-e68c-7c2f vlan 1.限制这个MAC在这个端口通信,取消的话,输入undo mac-address blackhole 0046-e68c-7c2f vlan 1.如果知道哪个柜子有问题,为了更清晰分析,那么我们只把那个端口做为被镜像端口.就OK
 
判断华为中低端交换机是二层还是三层的简单方法
看型号的第二位数字,0-4是二层交换机,5-9是三层交换机,如3026/5012因为第二位是0,所以只带二层功能,3526/3924/2952/5648因第二位是5/9/9/6,所以都是带三层功能的
 
 
B.命令行登陆
就拿H3CS5024P举个例子,其他型号我就不依依介绍了,大致一样!只是写千兆跟百兆注意下
 
要把GigabitEthernet 0/1端口上的报文复制到制定镜像端口GigabitEthernet 0/24上.
进入视图模式
Monitor-port GigabitEthernet 0/24
Mirroring-port GigabitEthernet 0/1
如果是1-4端口作为被镜像点
 
Monitor-port GigabitEthernet 0/24
Mirroring-port GigabitEthernet 0/1 to GigabitEthernet 0/4
 
删除镜像端口
Undo monitor-port
删除被镜像端口
Undo Mirroring-port GigabitEthernet 0/1
显示被镜像端口配置信息
Show mirror
 
提示

 
TL-SL3226P
进入登陆界面-----端口管理----方向模式监控
监控模式选择为:输入输出监控   监控端口选:24号端口
被监控端口选1号端口

当然,你也可以把2-23设为被监控端口,24号端口为镜像端口。效果一样的!后面我会做个截图对照一下

Cisco-3560
要把1号端口的报文镜像到24号端口
 
monitor session 1 source interface Fa0/24
monitor session 1 destination remote interface F0/1
 
有些会涉及在vlan上做个端口镜像点
 
monitor session 1 source interface Fa0/24
monitor session 1 destination remote vlan 11
 
关于屏蔽流量高的服务器
执行conf t,
mac-address static 0046-e68c-7c2f vlan 1 drop;限制通信
no mac-address static 0046-e68c-7c2f vlan 1 drop,取消限制
 
 
小技巧:机房备份好每个网段的MACip对应表!经常更新。这对于我们找arpddos   的机器有很大的帮助!我个人是用科来网络这个软件自带MAC扫描工具,然后把数据备份到它自带的数据库。以方便网络故障分析
 
关于用什么软件抓包?我平时用的就以下三种
 
Sniffer     这个软件名字应该很熟悉了,对于不是很熟悉操作!可以到网上找个wolf培训视频教程
 
OmniPeek 功能非常非常强大!
 
科来网络   (推荐)相对不怎么熟悉一些协议,或者软件操作来说!这个很实用!易上手
 
现在用科来软件,对TL-SL3226P 做端口镜像做个介绍
 
打开 立即开始采集----选个网络适配器,然后确定!进入界面点“端点”,就可以看到详细信息。首先我把1号做为被控镜像点,24号为镜像点!如下图(因为我是远程抓的包,服务器一般会连不上,会很卡在那里,抓一会,我就把镜像关了,所以截的图,有些可能没显示那么全面)

下面这个图是2-23口做为被镜像口,24号口为镜像口

 

提示:因为科来这个软件是受限制,抓的ip只到50个,不限制是需要授权收费的,如果是捉真如那个s5024p的交换机,估计要用到sniffer或者OmniPeek,但也可以这样做,先用solarwinds抓,看到哪个端口流量跑高,再对那个端口做镜像!利用科来软件抓!
 
下面这个图是用OmniPeek 捉的图,因为我对这个软件不是很熟悉,还在学当中!供看一下,做个比较吧!

  评论这张
 
阅读(731)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016