以下信息是本人刚涉足IDC圈,整理的文档,三年过去….觉得当时写的不太好。但还是把它黏贴出来,一些理解错或者看不懂的,大家可以交流.现在关于流量,有了更全面的监控平台.对于实时捉交换机端口流量,solarwinds绝对是个首选。一些arp 或者要分析协议,还是要靠抓包软件去实现的.
相对我们公司涉及到一些交换机,如何做端口镜像,通过辅助抓包软件解析流量!我做个简单介绍,以下是IDC机房交换机的部分品牌:
D-Link 3226s
DES-3026
H3C-S3100-26TP-SI
H3C-S2126-E0001P01
H3C-S5024P-E0102P01
TL-SL3226P
Cisco-3560
D-Link 3226s 和 DES-3026
登陆交换机主配置菜单------选择下面的Advanced setup------Mirroring Configurations(镜像配置)---- 把mirror Status选项设为Enabled,然后将Target Port 选项设置为Port24即为镜像端口,Port1端口监听模式点选为Both(即发送与接收的数据都同时监控),这样交换机就把1号端口(即2号端口至23端口,因为2-23的端口都是从1号进出流量)的数据随时随地都COPY了一份给Port 1,然后我们在Port 24上进行监听,Sniffer等抓包软件也就有了用武之地。
H3C-S3100-26TP-SI
H3C-S2126-E0001P01
H3C-S5024P-E0102P01
A.
web
登陆
登陆到交换机界面---端口管理----端口镜像
镜像端口设置为24,被镜像口选为1号端口,其他不用管!
因为真如机房有个千兆H3C-S5024P
设备,1-4
端口接了4
个百兆交换机!直接把1-4号设置为被镜像端口.这样利用sniffer就可以监听到底下哪台服务器流量跑高了,比如4号端口的交换机,碰巧客户没设置ip或者这个交换机不支持网管功能,抓不了包!我们把1-4号设置为被镜像端口,利用sniffer监听,看到哪台流量跑高了.知道他的ip后,就可以知道MAC地址,用dis mac-address 0046-e68c-7c2f
就可以发现该MAC地址是从哪个端口出来,然后进入该端口后,输入mac-address blackhole 0046-e68c-7c2f vlan 1.限制这个MAC在这个端口通信,取消的话,输入undo mac-address blackhole 0046-e68c-7c2f vlan 1.如果知道哪个柜子有问题,为了更清晰分析,那么我们只把那个端口做为被镜像端口.就OK
判断华为中低端交换机是二层还是三层的简单方法
看型号的第二位数字,0-4是二层交换机,5-9是三层交换机,如3026/5012因为第二位是0,所以只带二层功能,3526/3924/2952/5648因第二位是5/9/9/6,所以都是带三层功能的
B.
命令行登陆
就拿H3CS5024P举个例子,其他型号我就不依依介绍了,大致一样!只是写千兆跟百兆注意下
要把GigabitEthernet 0/1端口上的报文复制到制定镜像端口GigabitEthernet 0/24上.
进入视图模式
Monitor-port GigabitEthernet 0/24
Mirroring-port GigabitEthernet 0/1
如果是1-4端口作为被镜像点
Monitor-port GigabitEthernet 0/24
Mirroring-port GigabitEthernet 0/1 to GigabitEthernet 0/4
删除镜像端口
Undo monitor-port
删除被镜像端口
Undo Mirroring-port GigabitEthernet 0/1
显示被镜像端口配置信息
Show mirror
提示
:
TL-SL3226P
进入登陆界面-----端口管理----方向模式监控
监控模式选择为:输入输出监控
监控端口选:24号端口
被监控端口选1号端口
当然,你也可以把2-23设为被监控端口,24号端口为镜像端口。效果一样的!后面我会做个截图对照一下
Cisco-3560
要把1号端口的报文镜像到24号端口
monitor session 1 source interface Fa0/24
monitor session 1 destination remote interface F0/1
有些会涉及在vlan上做个端口镜像点
monitor session 1 source interface Fa0/24
monitor session 1 destination remote vlan 11
关于屏蔽流量高的服务器
执行conf t,
mac-address static 0046-e68c-7c2f vlan 1 drop;限制通信
no mac-address static 0046-e68c-7c2f vlan 1 drop,取消限制
小技巧:
机房备份好每个网段的
MAC
与
ip
对应表!经常更新。这对于我们找
arp
和
ddos
的机器有很大的帮助!我个人是用科来网络这个软件自带
MAC
扫描工具,然后把数据备份到它自带的数据库。以方便网络故障分析
关于用什么软件抓包?我平时用的就以下三种
Sniffer
这个软件名字应该很熟悉了,对于不是很熟悉操作!可以到网上找个wolf培训视频教程
OmniPeek 功能非常非常强大!
科来网络
(推荐)相对不怎么熟悉一些协议,或者软件操作来说!这个很实用!易上手
现在用科来软件,对TL-SL3226P 做端口镜像做个介绍
打开 立即开始采集----选个网络适配器,然后确定!进入界面点“端点”,就可以看到详细信息。首先我把1号做为被控镜像点,24号为镜像点!如下图(因为我是远程抓的包,服务器一般会连不上,会很卡在那里,抓一会,我就把镜像关了,所以截的图,有些可能没显示那么全面)
下面这个图是2-23口做为被镜像口,24号口为镜像口
提示:因为科来这个软件是受限制,抓的ip只到50个,不限制是需要授权收费的,如果是捉真如那个s5024p的交换机,估计要用到sniffer或者OmniPeek,但也可以这样做,先用solarwinds抓,看到哪个端口流量跑高,再对那个端口做镜像!利用科来软件抓!
下面这个图是用OmniPeek 捉的图,因为我对这个软件不是很熟悉,还在学当中!供看一下,做个比较吧!
只是一些表面描述,需要对大家还是有点帮助.