hello all, подскажите как (чем) можно сделать анализ траффика передоваемого по туннелю между маршрутизаторами...проблема в том что туннель загружен до придела и очень хочется понять чем именно...
Подскажите как это можно сделать...
спасибо...
conf t
int tuXXX
ip route-cache flow
int tuYYY
ip route-cache flow
и т.д.
^Z
sh ip cac flo
rootcisco#sh ip cac flow
IP packet size distribution (8039 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.000 .083 .126 .148 .110 .291 .016 .195 .002 .000 .000 .000 .000 .000 .000512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .000 .020 .000 .000 .000 .000 .000 .000IP Flow Switching Cache, 278544 bytes
4 active, 4092 inactive, 79 added
3292 ager polls, 0 flow alloc failures
Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 17032 bytes
0 active, 1024 inactive, 0 added, 0 added to flow
0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-Telnet 1 0.0 32 48 0.0 38.4 15.2
TCP-SMTP 6 0.0 22 56 0.0 40.9 15.3
TCP-other 42 0.0 16 156 0.0 7.7 7.5
UDP-DNS 1 0.0 3 66 0.0 0.8 15.8
UDP-other 14 0.0 1 1066 0.0 0.0 15.4
ICMP 6 0.0 1 60 0.0 0.4 15.4
IPINIP 5 0.0 24 1511 0.0 53.5 15.5
Total: 75 0.0 13 317 0.0 11.7 11.0SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Tu0 194.85.147.54 Local 217.69.223.6 32 59F4 0D27 3922
Tu0 10.10.224.3 Fa0/0 10.10.221.222 01 0000 0000 300
Tu0 10.10.224.9 Fa0/0 10.10.221.5 06 0733 01BD 1424
Tu0 10.10.224.34 Fa0/0 10.10.221.5 06 0A17 01BD 1398
rootcisco#------------------------------------------------------
тут по ipinip (тунелю) идет 1500 ...а как бы понять что это такое?
можно как то проанализировать именно этот трафик?
01BD - это в HEX
445 - это в DEC
Порт 445 это microsoft-ds, если аномальная активность по этому порту - точно вирусы.Либо лечить либо ACL, либо и то и то...
>01BD - это в HEX
>445 - это в DEC
>Порт 445 это microsoft-ds, если аномальная активность по этому порту - точно
>вирусы.
>
>Либо лечить либо ACL, либо и то и то...спасибо за помощь, скажите подробней...я не понял на счет этого... 01BD - это в HEX ,445 - это в DEC
HEX и DEC что это..и 445 порт откуда (я не очень сдесь понимаю)
адреса 10.10.224.9 и 34 - это раб станции, 10.10.221.5 -PDC другого домена
HEX - Heximal - шестнадцатеричное представление числа
DEC - Decimal - десятеричное
1BD(16)==445(10)
Теперь прояснилось?
>HEX - Heximal - шестнадцатеричное представление числа
>DEC - Decimal - десятеричное
>1BD(16)==445(10)
>Теперь прояснилось?
да, теперь понемногу разбираюсь...спасибо вам