OpenForum RSS: Нужна помощь! Анализ трафика на Catalyst 3560 https://www.opennet.ru/openforum/vsluhforumID6/17860.html Приветиствую Вас, коллеги! <br>Имеется Cisco Catalyst 3560.<br><br>Switch Ports Model SW Version SW Image<br>------ ----- ----- ---------- ----------<br>* 1 26 WS-C3560-24TS 12.2(46)SE C3560-ADVIPSERVICESK9-M<br><br>Коммутатор выполняет роль центрального маршрутизатора в сети. <br>Он связывает всю сеть с основными серверами + обеспечивает резервирование каналов связи (ip sla) .<br><br>Подскажите, как лучше организовать мониторинг трафика? <br>На данном этапе есть один vlan, куда подключено всё железо.<br><br>Прочёл вот эту статейку http://www.opennet.ru/openforum/vsluhforumID6/14998.html и, думаю, надо двигаться в этом направлении. Но тут непонятно, надо под каждый сервер выделять отдельный vlan или как то ещё?<br>Статистику будет собирать машинка под FreeBsd. <br> <br><br> Нужна помощь! Анализ трафика на Catalyst 3560 (Domas) https://www.opennet.ru/openforum/vsluhforumID6/17860.html#6 Sat, 20 Dec 2008 06:13:28 GMT Спасибо! Помогло!<br>на Cisco просто прописал<br>source vlan 1<br>dest int fa0/15<br>Поставил ntop - то что нужно!<br> Нужна помощь! Анализ трафика на Catalyst 3560 (AB) https://www.opennet.ru/openforum/vsluhforumID6/17860.html#5 Wed, 17 Dec 2008 15:04:20 GMT &gt;interface FastEthernet0/15 <br>&gt; descr <br>&gt; <br>&gt; ######Суда подключена машинка с поднятым vlan91 <br><br>no sh<br>Нужно убрать все и просто сделать порт активным <br><br><br>Куда зеркалить:<br>monitor session 1 destination interface Fa0/15 <br><br>Можешь отключить на интерфейсе FreeBSD vlan<br><br>&gt;В итоге tcpdump на машинке , воткнутой в fa0/15 попадает не только <br>&gt;инфа о том, что кто то лезет на модем, но и <br>&gt;что то левое из сетки. <br>&gt;Такого же быть не должно? Или я ошибаюсь? <br><br>Так должно быть исходя из твоей конфигурации. Советую прочитать матчасть, очень многое прояснишь для себя.<br> <br>&gt;<br>&gt;По-моему cisco 3560 не поддерживает netflow :( <br><br>Да, не умеет, но если ты реализуешь схему, что выше, то можешь обработать отзеркаленный трафик во FreeBSD, как тебе угодно (если не слишком серьезные потребности). <br>Вот так коллега реализовал в свое время: www.lissyara.su/?id=1459<br> Нужна помощь! Анализ трафика на Catalyst 3560 (Domas) https://www.opennet.ru/openforum/vsluhforumID6/17860.html#4 Wed, 17 Dec 2008 09:52:53 GMT &gt;Ну, не обязательно VLAN в VLAN. Можно и просто с порта отправлять <br>&gt;на анализ, особенно, если порт не транковый. ИМХО, отправлять в простой <br>&gt;порт, а не влан даже правильнее. <br><br>Эм.... а можно поподробнее?<br>Просто похоже я совсем запутался с этими vlan - ами...<br>Сейчас на тестовой циске пытаюст всё наладить<br>Вот конфиг:<br><br>Building configuration...<br><br>hostname SPANTEST<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>enable secret 5 $1$gCGu$5Mali8uldXKKPS0blaVCW/<br>!<br>no aaa new-model<br>clock timezone UTC 3<br>system mtu routing 1500<br>ip subnet-zero<br>ip routing<br><br>!<br>spanning-tree mode pvst<br>spanning-tree extend system-id<br>!<br>vlan internal allocation policy ascending<br>!<br>interface FastEthernet0/1<br>descr ######Отсюда надо зеркалить, воткнул сюда модем для тестов.<br> switchport access vlan 90<br> switchport mode access<br>!<br>interface FastEthernet0/15 <br> descr ######Суда подключена машинка с поднятым vlan91 <br> switchport trunk encapsulation dot1q<br> switchport trunk allow Нужна помощь! Анализ трафика на Catalyst 3560 (AB) https://www.opennet.ru/openforum/vsluhforumID6/17860.html#3 Wed, 17 Dec 2008 09:24:29 GMT &gt;[оверквотинг удален]<br>&gt;&gt;и там анализировать трафик сколько душе угодно. <br>&gt;<br>&gt;Да, в теории я так всё и представляю.... Получается достаточно прописать: <br>&gt;<br>&gt;monitor session 1 source vlan 1 <br>&gt;monitor session 1 destination remote vlan 91 <br>&gt;<br>&gt;? <br>&gt;<br>&gt;И на FreeBsd tcpdump-ом ловить вообще всё? <br><br>Ну, не обязательно VLAN в VLAN. Можно и просто с порта отправлять на анализ, особенно, если порт не транковый. ИМХО, отправлять в простой порт, а не влан даже правильнее.<br><br>На FreeBSD:<br>Можно trafshow использовать для примитивного оперативного контроля.<br>А можно и netflow сделать, что лишним не будет.<br> Нужна помощь! Анализ трафика на Catalyst 3560 (Domas) https://www.opennet.ru/openforum/vsluhforumID6/17860.html#2 Wed, 17 Dec 2008 08:32:37 GMT &gt;Можно просто зеркалить трафик в один интерфейс, к нему подцепить Ваш FreeBSD <br>&gt;и там анализировать трафик сколько душе угодно. <br><br>Да, в теории я так всё и представляю.... Получается достаточно прописать:<br><br>monitor session 1 source vlan 1<br>monitor session 1 destination remote vlan 91<br><br>?<br><br>И на FreeBsd tcpdump-ом ловить вообще всё?<br> Нужна помощь! Анализ трафика на Catalyst 3560 (AB) https://www.opennet.ru/openforum/vsluhforumID6/17860.html#1 Wed, 17 Dec 2008 08:29:38 GMT Можно просто зеркалить трафик в один интерфейс, к нему подцепить Ваш FreeBSD и там анализировать трафик сколько душе угодно.<br><br><br>