URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21941
[ Назад ]
Исходное сообщение
"Проблема с port Mirroring"
Отправлено 0nik , 19-Ноя-10 16:19 
Помогите решить проблему...

Собственно стоит девайс extreme 450a-48t в качестве шлюза, настроен Mirroring на 46-м порту, в 46 порт втыкнул комп.

На комп поставил сенсор ipcad смотрит в сторону сетевухи eth2 с которой надо собирать траф. дальше flow capture+flowscan.

Стартовал трафик tcpdump'ом в скрине
screen -A -m -d -S dump tcpdump -i eth2

все работало пока собирал стату с внутреннего vlan'а

tcpdump показывал такой траф:
15:06:10.387849 IP mimosa114.netlux.org.27005 > playground.org.ua.27019: UDP, length 44
15:06:10.387859 IP mimosa114.netlux.org.27005 > 91.211.116.27.27019: UDP, length 44

Как только перерулил extreme чтобы он мирорил внешний vlan он начал показывать дополнительные параметры которые не понимает ipcad.

После того как перерулил трафик стал таким:
15:08:38.127768 vlan 117, p 0, IP 137-159-178-94.pool.ukrtel.net.12966 > playground.org.ua.27024: UDP, length 27
15:08:38.127770 vlan 117, p 0, IP 114-38-179-94.pool.ukrtel.net.27005 > playground.org.ua.0x2a-dc.com.27030: UDP, length 71

Прикол в том что ipcad не понимает "vlan 117, p 0," < этот прикол

Вопрос каким образом можно отфильтровать tcpdump чтобы он не показывал в каждой строке
"vlan 117, p 0,"  ????

Или кто как решает данный вопрос ?

Содержание
Сообщения в этом обсуждении
"Проблема с port Mirroring"
Отправлено Edd , 20-Ноя-10 19:35 
>[оверквотинг удален]
> 15:08:38.127768 vlan 117, p 0, IP 137-159-178-94.pool.ukrtel.net.12966 > playground.org.ua.27024:
> UDP, length 27
> 15:08:38.127770 vlan 117, p 0, IP 114-38-179-94.pool.ukrtel.net.27005 > playground.org.ua.0x2a-dc.com.27030:
> UDP, length 71
> Прикол в том что ipcad не понимает "vlan 117, p 0," <
> этот прикол
> Вопрос каким образом можно отфильтровать tcpdump чтобы он не показывал в каждой
> строке
> "vlan 117, p 0,"  ????
> Или кто как решает данный вопрос ?

Попробуйте : screen -A -m -d -S dump tcpdump -i eth2|awk '{gsub("vlan 117, p 0,","")}1'

"Проблема с port Mirroring"
Отправлено 0nik , 20-Ноя-10 23:27 
Я долго сидел и думал о том, насколько разработчики продумывали зеркалирование портов.
С одной стороны посмотреть..
То что будет делаться с зеркальным трафиком не проблема самого маршрутизатора, его задача отправить.

С другой стороны я не первый "зеленый" и разработчики при разработке того же ipcad должы были предусмотреть зеркалирование.

С третей стороны и насколько я понимаю самой правильной, я просто демон !! или руки из попы..

как я себе это понимаю..
траф не будет ходить на сетевуху пока в какой то момент она не станет хабом. Или нарисовать на ней форвард на локалхост чтобы она принимала все пакеты которые валят на нее.
Но тут вопрос какой IP ей рисовать... У порт мироринга IP нету, он втупую вали весь траф в eth.
Вроди как по сути надо нарисовать IP который имеет отношения к роутеру, но тут прикол нарисовал совсем левый, траф все равно проходит причем в полной мере.. Все да ничего но показывает стату только по одной подсетке основной IP которой находится в той же сети что и шлюз, как и почему еще не разобрался..

Значит думается так.. По идее надо перевести сетевух в такой режим в котором она не имеет IP и на нее валит все в подряд траф и это все в подряд она принимает.. Без всякого форварда итд.

Нет желания ставить сниферы, или дампом валить траф в файл а потом его парсить, подумаем реально, есть кучу сенсоров которые учитывают проходящий траф.

Или руки .... или лыжи не едут.

Пожалуйста, помогите кто чем может, хоть подскажите куда копать.... Чердак плавится вроди все понятно но нет конекта.... =(


"Проблема с port Mirroring"
Отправлено Valery12 , 22-Ноя-10 10:04 
> Я долго сидел и думал о том, насколько разработчики продумывали зеркалирование портов.

.
> Значит думается так.. По идее надо перевести сетевух в такой режим в
> котором она не имеет IP и на нее валит все в
> подряд траф и это все в подряд она принимает.. Без всякого
> форварда итд.

дело не IP адресе, он может быть любой, а вот на 2 уровне сетевая карта должна работать в Promiscuous mode (принимать все фреймы без разбора) и большинство анализаторов трафика ее в этот режим при работе и переводят.


"Проблема с port Mirroring"
Отправлено 0nik , 23-Ноя-10 14:09 
Спасибо что подсказали, проблему решил.
ifconfig -i eth2 promisc
Теперь IPCAD считает весь трафик входящий в eth2

Но возникла новая проблема, он не правильно его считает, если быть точнее не показывает  входящий трафик вообще как таковой.

Пробовал играться с настройками ipcad
#interface ulog group 1;
#interface eth2 promisc;
Толку мало, хотя что интересно если переругиванию на другой eth считает нормально.

Может кто то знает как решить проблему или если есть другие пути настройки port mirroring.