Назад | Перейти на главную страницу

Мониторинг трафика между двумя сетевыми коммутаторами с помощью прозрачного межсетевого экрана

По причинам отладки мне нужно посмотреть, какой сетевой трафик, особенно TCP, передается или нет.

Я думал об использовании для этого брандмауэра Endian, но он не поддерживает 2 сетевых интерфейса с одинаковым диапазоном IP-адресов.

Я ищу решение для Linux, которое я могу подключить между двумя коммутаторами, чтобы отслеживать весь проходящий трафик.

На данный момент я выяснил, что я, вероятно, ищу решение для «прозрачного брандмауэра».

Лучшим вариантом для меня было бы поставить сетевой кран между переключателями. Однако вы можете поставить Linux-бокс с двумя интерфейсами и настроить его как мост.

# brctl addbr br0
# brctl addif br0 eth0
# brctl addif br0 eth1
# brctl setageing br0 0
# ip link set dev br0 up promisc on

Затем вы можете посмотреть на движение, пересекающее мост, используя tcpdump по-прежнему.

# tcpdump -i br0

Из вашего поста я понимаю, что:

  • Один из двух коммутаторов - коммутатор Cisco.
  • Вам нужно только отслеживать трафик между двумя коммутаторами. Не включая трафик от коммутатора стороннего производителя к другим пунктам назначения.

В этом случае подключите компьютер, Linux или другой компьютер к коммутатору Cisco. На коммутаторе Cisco настройте зеркало порта для копирования всех пакетов в порт, где находится ваша машина.

На вашем компьютере используйте tcpdump, wirehark или что-нибудь в этом роде.

Для этого не требуется коммутатор Cisco, а требуется любой управляемый коммутатор с функцией мониторинга портов.

Если бы речь шла только о мониторинге, а не о фильтрации, пассивное сетевое устройство разветвления могло бы работать.

https://en.wikipedia.org/wiki/Network_tap

http://www.altsec.info/passive-network-tap.html