以下資訊是本人剛涉足idc圈,整理的文件,三年過去….覺得當時寫的不太好。但還是把它黏貼出來,一些理解錯或者看不懂的,大家可以交流.現在關於流量,有了更全面的監控平台.對於實時捉交換機埠流量,solarwinds絕對是個首選。一些arp 或者要分析協議,還是要靠抓包軟體去實現的.
相對我們公司涉及到一些交換機,如何做埠映象,通過輔助抓包軟體解析流量!我做個簡單介紹,以下是idc機房交換機的部分品牌:
d-link 3226s
des-3026
h3c-s3100-26tp-si
h3c-s2126-e0001p01
h3c-s5024p-e0102p01
tl-sl3226p
cisco-3560
d-link 3226s 和 des-3026
登陸交換機主配置選單------選擇下面的advanced setup------mirroring configurations(映象配置)---- 把mirror status選項設為enabled,然後將target port 選項設定為port24即為映象埠,port1埠監聽模式點選為both(即傳送與接收的資料都同時監控),這樣交換機就把1號埠(即2號埠至23埠,因為2-23的埠都是從1號進出流量)的資料隨時隨地都copy了乙份給port 1,然後我們在port 24上進行監聽,sniffer等抓包軟體也就有了用武之地。
h3c-s3100-26tp-si
h3c-s2126-e0001p01
h3c-s5024p-e0102p01
a.web登陸
登陸到交換機介面---埠管理----埠映象
映象埠設定為24,被映象口選為1號埠,其他不用管!
因為真如機房有個千兆h3c-s5024p裝置,1-4埠接了4個百兆交換機!直接把1-4號設定為被映象埠.這樣利用sniffer就可以監聽到底下哪台伺服器流量跑高了,比如4號埠的交換機,碰巧客戶沒設定ip或者這個交換機不支援網管功能,抓不了包!我們把1-4號設定為被映象埠,利用sniffer監聽,看到哪台流量跑高了.知道他的ip後,就可以知道mac位址,用dis mac-address 0046-e68c-7c2f
就可以發現該mac位址是從哪個埠出來,然後進入該埠後,輸入mac-address blackhole 0046-e68c-7c2f vlan 1.限制這個mac在這個埠通訊,取消的話,輸入undo mac-address blackhole 0046-e68c-7c2f vlan 1.如果知道哪個櫃子有問題,為了更清晰分析,那麼我們只把那個埠做為被映象埠.就ok
判斷華為中低端交換機是二層還是三層的簡單方法
看型號的第二位數字,0-4是二層交換機,5-9是三層交換機,如3026/5012因為第二位是0,所以只帶二層功能,3526/3924/2952/5648因第二位是5/9/9/6,所以都是帶三層功能的
b.命令列登陸
就拿h3cs5024p舉個例子,其他型號我就不依依介紹了,大致一樣!只是寫千兆跟百兆注意下
要把gigabitethernet 0/1埠上的報文複製到制定映象埠gigabitethernet 0/24上.
進入檢視模式
monitor-port gigabitethernet 0/24
mirroring-port gigabitethernet 0/1
如果是1-4埠作為被映象點
monitor-port gigabitethernet 0/24
mirroring-port gigabitethernet 0/1 to gigabitethernet 0/4
刪除映象埠
undo monitor-port
刪除被映象埠
undo mirroring-port gigabitethernet 0/1
顯示被映象埠配置資訊
show mirror 提示
:tl-sl3226p
進入登陸介面-----埠管理----方向模式監控
監控模式選擇為:輸入輸出監控
監控埠選:24號埠
被監控埠選1號埠
當然,你也可以把2-23設為被監控埠,24號埠為映象埠。效果一樣的!後面我會做個截圖對照一下
cisco-3560
要把1號埠的報文映象到24號埠
monitor session 1 source inte***ce fa0/24
monitor session 1 destination remote inte***ce f0/1
有些會涉及在vlan上做個埠映象點
monitor session 1 source inte***ce fa0/24
monitor session 1 destination remote vlan 11
關於遮蔽流量高的伺服器
執行conf t,
mac-address static 0046-e68c-7c2f vlan 1 drop;限制通訊
no mac-address static 0046-e68c-7c2f vlan 1 drop,取消限制
小技巧:
機房備份好每個網段的
mac與
ip對應表!經常更新。這對於我們找
arp和
ddos
的機器有很大的幫助!我個人是用科來網路這個軟體自帶
mac掃瞄工具,然後把資料備份到它自帶的資料庫。以方便網路故障分析
關於用什麼軟體抓包?我平時用的就以下三種
sniffer
omnipeek 功能非常非常強大!
科來網路
(推薦)相對不怎麼熟悉一些協議,或者軟體操作來說!這個很實用!易上手
現在用科來軟體,對tl-sl3226p 做埠映象做個介紹
開啟 立即開始採集----選個網路介面卡,然後確定!進入介面點「端點」,就可以看到詳細資訊。首先我把1號做為被控映象點,24號為映象點!如下圖(因為我是遠端抓的包,伺服器一般會連不上,會很卡在那裡,抓一會,我就把映象關了,所以截的圖,有些可能沒顯示那麼全面)
下面這個圖是2-23口做為被映象口,24號口為映象口
提示:因為科來這個軟體是受限制,抓的ip只到50個,不限制是需要授權收費的,如果是捉真如那個s5024p的交換機,估計要用到sniffer或者omnipeek,但也可以這樣做,先用solarwinds抓,看到哪個埠流量跑高,再對那個埠做映象!利用科來軟體抓!
下面這個圖是用omnipeek 捉的圖,因為我對這個軟體不是很熟悉,還在學當中!供看一下,做個比較吧!
只是一些表面描述,需要對大家還是有點幫助.
華為交換機做映象 抓包
在系統檢視下配置埠映象 先配置觀察埠 然後再進入需要映象的埠 在配置映象埠模式 quidway gigabitethernet0 0 23 port mirroring to observe port 1 both both,全部流量 inbound,入方向流量 outbound,出方向流量 配置完...
華為交換機抓包分析
華為交換機抓包分析 利用debugging檢視資訊 在使用者檢視下操作 www.2cto.com 1 在超級終端上輸出 debugging ip packet 開啟除錯開關 terminal debugging 在使用者檢視開啟除錯輸出開關 然後別的裝置有針對交換的操作,交換機就把資訊輸出到超級終端...
華為交換機映象抓包Quidway S3900
39系列交換機映象抓包配置方法 一 3900埠映象配置 步驟一 quidway mirroring group 1 local 說明 建立埠映象組 步驟二 quidway mirroring group 1 monitor port ethernet 1 0 22 說明 建立映象目的埠 22 備註將...