Monitoramento Ntop - Hosts visíveis sem SPAN / espelhamento

Question

Monitoramento Ntop - Hosts visíveis sem SPAN / espelhamento

#1 resposta do (1 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)

1

Estou tentando usar o ntop para monitorar o tráfego em um switch Cisco Catalyst. Eu estava assumindo que, para ver qualquer tráfego, eu teria que usar o monitor, como descrito aqui: link .

No entanto, antes de fazer qualquer coisa no switch, eu simplesmente conectei meu servidor ntop e liguei o ntop. Para minha surpresa, vejo instantaneamente mais de 3 páginas de hosts e milhares de pacotes. Como é que isso não acontece?

Eu verifiquei que não existe monitoramento no switch (executado como en):

cs1.pvdc#show monitor
  No SPAN configuration is present in the system.

Meu servidor ntop é o Ubuntu 8.04, não fiz QUALQUER configuração, acabei de instalar o pacote ntop. Esta também é uma nova instalação do Ubuntu.

Há mais alguma coisa no meu switch além do "monitor" que possa fazer com que meu switch espelhe todo o tráfego desse jeito? Eu tentei conectar o ntop em portas diferentes com os mesmos resultados.

UPDATE: Parece ser mais do que apenas o tráfego de broadcast aparecendo no ntop, por exemplo, eu posso ver quando meus IPs conversaram com o servidor DNS ou geraram tráfego HTTP. Se meu switch está mal configurado, alguém pode me apontar na direção certa para corrigir isso? Não é um especialista da Cisco.

bandwidth cisco packet-analyzer ntop packet-capture

por Cory J 06.03.2010 / 00:51

3 respostas

1

Eu também uso o NTOP e é isso que está acontecendo no seu caso.

Nota: O SPAN monitorará A para B e B para um tráfego em uma porta. Se você tiver full duplex 2x 100 Mbit, o tráfego geral entre A e B não pode exceder a velocidade de rede de 100 Mbit antes da perda de pacotes. Isso não deve ser um problema com um switch gigabit.

In this configuration, the sniffer only captures traffic that is flooded to all ports, such as:

Broadcast traffic

Multicast traffic with CGMP or Internet Group Management Protocol (IGMP) snooping disabled

Unknown unicast traffic

Unicast flooding occurs when the switch does not have the destination MAC in its content-addressable memory (CAM) table. The switch does not know where to send the traffic. The switch floods the packets to all the ports in the destination VLAN.

por 06.03.2010 / 02:49

0

Se você tiver uma lan muito grande, verifique o tamanho do armazenamento da tabela mac. Se você transbordar muito, então os interruptores começarão a inundar.

Eu vi esse problema com uma rede que tem um comutador central que foi configurado para filtrar pacotes multicast da camada 2, o que leva a tabelas mac incompletas em muitos dos switches de acesso.

Se você tiver acesso físico ao switch, alterne seu led de diagnóstico para o modo de tráfego, deverá ver uma distribuição uniforme de atividade em cada porta (distribuição de tráfego uniforme do show). Se houver muita sincronização, há muitas inundações acontecendo. Se todas as opções forem iguais, você terá o problema de aprendizado da tabela mac.

por 18.03.2010 / 18:32

Tags bandwidth cisco packet-analyzer ntop packet-capture

Hardware de servidor virtual para simular farm web de 3-4 nós [fechado] Blackberry Access para Powered Down Exchange

score 1 · Accepted Answer

Que tipo de pacotes você está vendo? Em geral, descobri que uma rede de bom tamanho inevitavelmente tem muita conversa fiada. Coisas como anúncios NetBios e solicitações ARP. O que você não deve ver é qualquer ponto para apontar para apontar o tráfego. Observe os endereços IP e MAC de origem e destino. Se você estiver vendo um tráfego ponto a ponto específico, talvez haja um problema de configuração com o seu switch.

Além disso, seria bom transformar spanning-tree port-fast em cada uma das portas de acesso do switch porque isso evitará que a tabela de endereços mac seja liberada quando uma porta subir / descer. Qual é geralmente a causa dos comutadores que inundam pacotes.

EDITAR:

Você pode tentar alterar o tempo de vencimento da tabela de endereços MAC: link

O comando seria:
mac-address-table aging-time seconds

Isso mudaria o tempo que uma entrada fica na tabela do switche, permitindo que ela lembre de endereços mais longos e limite a inundação de unicast.

O outro comando a usar é o que eu mencionei acima spanning-tree port-fast . Você deve ativar isso em cada interface que não se conecta a outro switch. Isso terá dois benefícios: primeiro, ele acelerará o tempo necessário para conectar um novo computador; segundo, ele também evitará que o switch libere a tabela MAC quando achar que há uma alteração na topologia (um recurso da árvore de abrangência). ).