Приветиствую Вас, коллеги!
Имеется Cisco Catalyst 3560.Switch Ports Model SW Version SW Image
------ ----- ----- ---------- ----------
* 1 26 WS-C3560-24TS 12.2(46)SE C3560-ADVIPSERVICESK9-MКоммутатор выполняет роль центрального маршрутизатора в сети.
Он связывает всю сеть с основными серверами + обеспечивает резервирование каналов связи (ip sla) .Подскажите, как лучше организовать мониторинг трафика?
На данном этапе есть один vlan, куда подключено всё железо.Прочёл вот эту статейку http://www.opennet.me/openforum/vsluhforumID6/14998.html и, думаю, надо двигаться в этом направлении. Но тут непонятно, надо под каждый сервер выделять отдельный vlan или как то ещё?
Статистику будет собирать машинка под FreeBsd.
Можно просто зеркалить трафик в один интерфейс, к нему подцепить Ваш FreeBSD и там анализировать трафик сколько душе угодно.
>Можно просто зеркалить трафик в один интерфейс, к нему подцепить Ваш FreeBSD
>и там анализировать трафик сколько душе угодно.Да, в теории я так всё и представляю.... Получается достаточно прописать:
monitor session 1 source vlan 1
monitor session 1 destination remote vlan 91?
И на FreeBsd tcpdump-ом ловить вообще всё?
>[оверквотинг удален]
>>и там анализировать трафик сколько душе угодно.
>
>Да, в теории я так всё и представляю.... Получается достаточно прописать:
>
>monitor session 1 source vlan 1
>monitor session 1 destination remote vlan 91
>
>?
>
>И на FreeBsd tcpdump-ом ловить вообще всё?Ну, не обязательно VLAN в VLAN. Можно и просто с порта отправлять на анализ, особенно, если порт не транковый. ИМХО, отправлять в простой порт, а не влан даже правильнее.
На FreeBSD:
Можно trafshow использовать для примитивного оперативного контроля.
А можно и netflow сделать, что лишним не будет.
>Ну, не обязательно VLAN в VLAN. Можно и просто с порта отправлять
>на анализ, особенно, если порт не транковый. ИМХО, отправлять в простой
>порт, а не влан даже правильнее.Эм.... а можно поподробнее?
Просто похоже я совсем запутался с этими vlan - ами...
Сейчас на тестовой циске пытаюст всё наладить
Вот конфиг:Building configuration...
hostname SPANTEST
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$gCGu$5Mali8uldXKKPS0blaVCW/
!
no aaa new-model
clock timezone UTC 3
system mtu routing 1500
ip subnet-zero
ip routing!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
descr ######Отсюда надо зеркалить, воткнул сюда модем для тестов.
switchport access vlan 90
switchport mode access
!
interface FastEthernet0/15
descr ######Суда подключена машинка с поднятым vlan91
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,90,91
switchport mode trunk
!
interface Vlan1
ip address 192.168.0.49 255.255.254.0
!
interface Vlan90
ip address 192.168.88.87 255.255.255.0
!
interface Vlan91
no ip address
!
ip classless
ip http server
ip http secure-server
!
!
!
control-plane
!
!
monitor session 1 source interface Fa0/1
monitor session 1 destination remote vlan 91
end
В порт fa0/20 воткнут центральный свитч.
В порт fa0/10 воткнул ещё один комп, с него захожу на web интерфейс модема.В итоге tcpdump на машинке , воткнутой в fa0/15 попадает не только инфа о том, что кто то лезет на модем, но и что то левое из сетки.
Такого же быть не должно? Или я ошибаюсь?>
>На FreeBSD:
>Можно trafshow использовать для примитивного оперативного контроля.
>А можно и netflow сделать, что лишним не будет.По-моему cisco 3560 не поддерживает netflow :(
>interface FastEthernet0/15
> descr
>
> ######Суда подключена машинка с поднятым vlan91no sh
Нужно убрать все и просто сделать порт активным
Куда зеркалить:
monitor session 1 destination interface Fa0/15Можешь отключить на интерфейсе FreeBSD vlan
>В итоге tcpdump на машинке , воткнутой в fa0/15 попадает не только
>инфа о том, что кто то лезет на модем, но и
>что то левое из сетки.
>Такого же быть не должно? Или я ошибаюсь?Так должно быть исходя из твоей конфигурации. Советую прочитать матчасть, очень многое прояснишь для себя.
>
>По-моему cisco 3560 не поддерживает netflow :(Да, не умеет, но если ты реализуешь схему, что выше, то можешь обработать отзеркаленный трафик во FreeBSD, как тебе угодно (если не слишком серьезные потребности).
Вот так коллега реализовал в свое время: www.lissyara.su/?id=1459
Спасибо! Помогло!
на Cisco просто прописал
source vlan 1
dest int fa0/15
Поставил ntop - то что нужно!