Назад | Перейти на главную страницу

Мониторинг Ntop - хосты видны без SPAN / зеркалирования

Я пытаюсь использовать ntop для мониторинга трафика через коммутатор Cisco Catalyst. Я предполагал, что для просмотра любого трафика мне придется использовать монитор, как описано здесь: http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a008015c612.shtml.

Однако, прежде чем я что-то сделал с коммутатором, я просто подключил свой сервер ntop и запустил ntop. К моему удивлению, я мгновенно вижу 3+ страницы хостов и тысячи пакетов. Как ntop видит это?

Я подтвердил, что на коммутаторе нет мониторинга (запускается как en):

cs1.pvdc#show monitor
  No SPAN configuration is present in the system.

Мой сервер ntop - Ubuntu 8.04, я не делал НИКАКОЙ конфигурации, я только что установил пакет ntop. Это также свежая установка Ubuntu.

Есть ли что-нибудь еще на моем коммутаторе, кроме «монитора», которое могло бы заставить мой коммутатор зеркалировать весь свой трафик таким образом? Я пробовал подключить ntop к разным портам с теми же результатами.

ОБНОВЛЕНИЕ: похоже, это больше, чем просто широковещательный трафик, отображаемый в ntop, например, я могу видеть, когда мои IP-адреса разговаривали с DNS-сервером или генерировали HTTP-трафик. Если мой переключатель настроен неправильно, может ли кто-нибудь указать мне правильное направление, чтобы исправить это? Не эксперт Cisco.

Я тоже использую NTOP, и это то, что происходит в вашем случае.

Примечание. SPAN будет отслеживать трафик от A к B и от B к A на одном порту. Если у вас есть полнодуплексный режим 2x 100 Мбит, общий трафик между A и B не может превышать скорость сети 100 Мбит до того, как произойдет потеря пакетов. Это не должно быть проблемой с гигабитным коммутатором.


(источник: cisco.com)

В этой конфигурации сниффер перехватывает только трафик, направленный на все порты, например:

  • Широковещательный трафик

  • Многоадресный трафик с отключенным отслеживанием CGMP или Internet Group Management Protocol (IGMP)

  • Неизвестный одноадресный трафик

Одноадресная лавинная рассылка происходит, когда коммутатор не имеет MAC-адрес назначения в его таблице адресуемой памяти (CAM). Коммутатор не знает, куда направить трафик. Коммутатор рассылает пакеты по всем портам целевой VLAN.

Какие пакеты вы видите? В общем, я обнаружил, что в сети хорошего размера неизбежно будет много широковещательной болтовни. Такие вещи, как объявления NetBios и запросы ARP. Чего вы не должны видеть, так это точки, указывающей на точечный трафик. Посмотрите на исходный и целевой IP / MAC-адреса. Если вы видите определенный трафик точка-точка, возможно, проблема в конфигурации вашего коммутатора.

Также неплохо было бы включить spanning-tree port-fast на каждом из ваших портов доступа коммутатора, потому что это предотвратит сброс таблицы mac-адресов при повышении / понижении порта. Что обычно является причиной переполнения пакетов коммутаторами.

РЕДАКТИРОВАТЬ:

Вы можете попробовать изменить время устаревания таблицы MAC-адресов:
http://www.cisco.com/en/US/docs/ios/12_3/switch/command/reference/swi_m1.html#wp1085773

Команда будет такой:
mac-address-table aging-time seconds

Это изменит время нахождения записи в таблице коммутатора, что позволит ему дольше запоминать адреса и ограничить одноадресную лавинную рассылку.

Другая используемая команда - это та, которую я упомянул выше. spanning-tree port-fast. Вы должны включить это на каждом интерфейсе, который не подключается к другому коммутатору. Это будет иметь два преимущества: во-первых, это ускорит время, необходимое для подключения нового компьютера, во-вторых, это также не позволит коммутатору сбрасывать таблицу MAC-адресов, когда он думает, что произошло изменение топологии (функция связующего дерева ).

Если у вас очень большой LAN, проверьте размер вашего хранилища таблиц Mac. Если у вас много переполнения, то переключатели начнут заливать.

Я видел эту проблему в сети, в которой есть основные коммутаторы, настроенные для фильтрации многоадресных пакетов уровня 2, что приводит к неполным таблицам Mac на многих коммутаторах доступа.

Если у вас есть физический доступ к коммутатору, переключите его диагностику в режим трафика, вы должны увидеть равномерное распределение активности по каждому порту (показать равномерное распределение трафика). Если много синхронизации, значит происходит много флуда. Если все переключатели одинаковы, то у вас проблема с обучением таблицы Mac.