forum.opennet.ru - "Проблема с port Mirroring" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Проблема с port Mirroring"

Форум Маршрутизаторы CISCO и др. оборудование. (Учет трафика и статистика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Проблема с port Mirroring"	+/–
Сообщение от 0nik (ok) on 19-Ноя-10, 16:19
Помогите решить проблему... Собственно стоит девайс extreme 450a-48t в качестве шлюза, настроен Mirroring на 46-м порту, в 46 порт втыкнул комп. На комп поставил сенсор ipcad смотрит в сторону сетевухи eth2 с которой надо собирать траф. дальше flow capture+flowscan. Стартовал трафик tcpdump'ом в скрине screen -A -m -d -S dump tcpdump -i eth2 все работало пока собирал стату с внутреннего vlan'а tcpdump показывал такой траф: 15:06:10.387849 IP mimosa114.netlux.org.27005 > playground.org.ua.27019: UDP, length 44 15:06:10.387859 IP mimosa114.netlux.org.27005 > 91.211.116.27.27019: UDP, length 44 Как только перерулил extreme чтобы он мирорил внешний vlan он начал показывать дополнительные параметры которые не понимает ipcad. После того как перерулил трафик стал таким: 15:08:38.127768 vlan 117, p 0, IP 137-159-178-94.pool.ukrtel.net.12966 > playground.org.ua.27024: UDP, length 27 15:08:38.127770 vlan 117, p 0, IP 114-38-179-94.pool.ukrtel.net.27005 > playground.org.ua.0x2a-dc.com.27030: UDP, length 71 Прикол в том что ipcad не понимает "vlan 117, p 0," < этот прикол Вопрос каким образом можно отфильтровать tcpdump чтобы он не показывал в каждой строке "vlan 117, p 0," ???? Или кто как решает данный вопрос ?
Ответить \| Правка \| Cообщить модератору

Оглавление

Проблема с port Mirroring, Edd, 19:35 , 20-Ноя-10, (1)

Проблема с port Mirroring, 0nik, 23:27 , 20-Ноя-10, (2)

Проблема с port Mirroring, Valery12, 10:04 , 22-Ноя-10, (3)

Проблема с port Mirroring, 0nik, 14:09 , 23-Ноя-10, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Проблема с port Mirroring" +/–

Сообщение от Edd (ok) on 20-Ноя-10, 19:35

>[оверквотинг удален]
> 15:08:38.127768 vlan 117, p 0, IP 137-159-178-94.pool.ukrtel.net.12966 > playground.org.ua.27024:
> UDP, length 27
> 15:08:38.127770 vlan 117, p 0, IP 114-38-179-94.pool.ukrtel.net.27005 > playground.org.ua.0x2a-dc.com.27030:
> UDP, length 71
> Прикол в том что ipcad не понимает "vlan 117, p 0," <
> этот прикол
> Вопрос каким образом можно отфильтровать tcpdump чтобы он не показывал в каждой
> строке
> "vlan 117, p 0," ????
> Или кто как решает данный вопрос ?
Попробуйте : screen -A -m -d -S dump tcpdump -i eth2|awk '{gsub("vlan 117, p 0,","")}1'

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Проблема с port Mirroring" +/–

Сообщение от 0nik (ok) on 20-Ноя-10, 23:27

Я долго сидел и думал о том, насколько разработчики продумывали зеркалирование портов.
С одной стороны посмотреть..
То что будет делаться с зеркальным трафиком не проблема самого маршрутизатора, его задача отправить.
С другой стороны я не первый "зеленый" и разработчики при разработке того же ipcad должы были предусмотреть зеркалирование.
С третей стороны и насколько я понимаю самой правильной, я просто демон !! или руки из попы..
как я себе это понимаю..
траф не будет ходить на сетевуху пока в какой то момент она не станет хабом. Или нарисовать на ней форвард на локалхост чтобы она принимала все пакеты которые валят на нее.
Но тут вопрос какой IP ей рисовать... У порт мироринга IP нету, он втупую вали весь траф в eth.
Вроди как по сути надо нарисовать IP который имеет отношения к роутеру, но тут прикол нарисовал совсем левый, траф все равно проходит причем в полной мере.. Все да ничего но показывает стату только по одной подсетке основной IP которой находится в той же сети что и шлюз, как и почему еще не разобрался..
Значит думается так.. По идее надо перевести сетевух в такой режим в котором она не имеет IP и на нее валит все в подряд траф и это все в подряд она принимает.. Без всякого форварда итд.
Нет желания ставить сниферы, или дампом валить траф в файл а потом его парсить, подумаем реально, есть кучу сенсоров которые учитывают проходящий траф.
Или руки .... или лыжи не едут.
Пожалуйста, помогите кто чем может, хоть подскажите куда копать.... Чердак плавится вроди все понятно но нет конекта.... =(

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Проблема с port Mirroring" +/–

Сообщение от Valery12 (ok) on 22-Ноя-10, 10:04

> Я долго сидел и думал о том, насколько разработчики продумывали зеркалирование портов.
.
> Значит думается так.. По идее надо перевести сетевух в такой режим в
> котором она не имеет IP и на нее валит все в
> подряд траф и это все в подряд она принимает.. Без всякого
> форварда итд.
дело не IP адресе, он может быть любой, а вот на 2 уровне сетевая карта должна работать в Promiscuous mode (принимать все фреймы без разбора) и большинство анализаторов трафика ее в этот режим при работе и переводят.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Проблема с port Mirroring" +/–

Сообщение от 0nik (ok) on 23-Ноя-10, 14:09

Спасибо что подсказали, проблему решил.
ifconfig -i eth2 promisc
Теперь IPCAD считает весь трафик входящий в eth2
Но возникла новая проблема, он не правильно его считает, если быть точнее не показывает входящий трафик вообще как таковой.
Пробовал играться с настройками ipcad
#interface ulog group 1;
#interface eth2 promisc;
Толку мало, хотя что интересно если переругиванию на другой eth считает нормально.
Может кто то знает как решить проблему или если есть другие пути настройки port mirroring.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Проблема с port Mirroring"	+/–
Сообщение от Edd (ok) on 20-Ноя-10, 19:35
>[оверквотинг удален] > 15:08:38.127768 vlan 117, p 0, IP 137-159-178-94.pool.ukrtel.net.12966 > playground.org.ua.27024: > UDP, length 27 > 15:08:38.127770 vlan 117, p 0, IP 114-38-179-94.pool.ukrtel.net.27005 > playground.org.ua.0x2a-dc.com.27030: > UDP, length 71 > Прикол в том что ipcad не понимает "vlan 117, p 0," < > этот прикол > Вопрос каким образом можно отфильтровать tcpdump чтобы он не показывал в каждой > строке > "vlan 117, p 0," ???? > Или кто как решает данный вопрос ? Попробуйте : screen -A -m -d -S dump tcpdump -i eth2\|awk '{gsub("vlan 117, p 0,","")}1'
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Проблема с port Mirroring"	+/–
	Сообщение от 0nik (ok) on 20-Ноя-10, 23:27
	Я долго сидел и думал о том, насколько разработчики продумывали зеркалирование портов. С одной стороны посмотреть.. То что будет делаться с зеркальным трафиком не проблема самого маршрутизатора, его задача отправить. С другой стороны я не первый "зеленый" и разработчики при разработке того же ipcad должы были предусмотреть зеркалирование. С третей стороны и насколько я понимаю самой правильной, я просто демон !! или руки из попы.. как я себе это понимаю.. траф не будет ходить на сетевуху пока в какой то момент она не станет хабом. Или нарисовать на ней форвард на локалхост чтобы она принимала все пакеты которые валят на нее. Но тут вопрос какой IP ей рисовать... У порт мироринга IP нету, он втупую вали весь траф в eth. Вроди как по сути надо нарисовать IP который имеет отношения к роутеру, но тут прикол нарисовал совсем левый, траф все равно проходит причем в полной мере.. Все да ничего но показывает стату только по одной подсетке основной IP которой находится в той же сети что и шлюз, как и почему еще не разобрался.. Значит думается так.. По идее надо перевести сетевух в такой режим в котором она не имеет IP и на нее валит все в подряд траф и это все в подряд она принимает.. Без всякого форварда итд. Нет желания ставить сниферы, или дампом валить траф в файл а потом его парсить, подумаем реально, есть кучу сенсоров которые учитывают проходящий траф. Или руки .... или лыжи не едут. Пожалуйста, помогите кто чем может, хоть подскажите куда копать.... Чердак плавится вроди все понятно но нет конекта.... =(
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Проблема с port Mirroring"	+/–
	Сообщение от Valery12 (ok) on 22-Ноя-10, 10:04
	> Я долго сидел и думал о том, насколько разработчики продумывали зеркалирование портов. . > Значит думается так.. По идее надо перевести сетевух в такой режим в > котором она не имеет IP и на нее валит все в > подряд траф и это все в подряд она принимает.. Без всякого > форварда итд. дело не IP адресе, он может быть любой, а вот на 2 уровне сетевая карта должна работать в Promiscuous mode (принимать все фреймы без разбора) и большинство анализаторов трафика ее в этот режим при работе и переводят.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Проблема с port Mirroring"	+/–
	Сообщение от 0nik (ok) on 23-Ноя-10, 14:09
	Спасибо что подсказали, проблему решил. ifconfig -i eth2 promisc Теперь IPCAD считает весь трафик входящий в eth2 Но возникла новая проблема, он не правильно его считает, если быть точнее не показывает входящий трафик вообще как таковой. Пробовал играться с настройками ipcad #interface ulog group 1; #interface eth2 promisc; Толку мало, хотя что интересно если переругиванию на другой eth считает нормально. Может кто то знает как решить проблему или если есть другие пути настройки port mirroring.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору