Ntop 監控 - 主機可見,沒有 SPAN/鏡像
我正在嘗試使用 ntop 監控 Cisco Catalyst 交換機上的流量。我假設為了查看任何流量,我必須使用監視器,如下所述:http ://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a008015c612.shtml .
但是,在我對交換機進行任何操作之前,我只是將我的 ntop 伺服器插入並啟動了 ntop。令我驚訝的是,我立即看到超過 3 頁的主機和數千個數據包。ntop 怎麼看這個?
我已驗證交換機上不存在監控(執行為 en):
cs1.pvdc#show monitor No SPAN configuration is present in the system.我的 ntop 伺服器是 Ubuntu 8.04,我沒有做任何配置,我只是安裝了 ntop 包。這也是一個全新的 Ubuntu 安裝。
除了“監視器”之外,我的交換機上還有其他任何東西可能會導致我的交換機像這樣鏡像其所有流量嗎?我嘗試將 ntop 插入不同的埠,結果相同。
更新:它似乎不僅僅是顯示在 ntop 中的廣播流量,例如,我可以看到我的 IP 何時與 DNS 伺服器通信或生成 HTTP 流量。如果我的開關配置錯誤,誰能指出我正確的方向來糾正這個問題?不是思科專家。
你看到什麼樣的數據包?總的來說,我發現一個規模大的網路不可避免地會有很多廣播聊天。諸如 NetBios 公告和 ARP 請求之類的東西。您不應該看到的是任何點對點的流量。查看源和目標 IP/MAC 地址。如果您看到特定的點對點流量,那麼您的交換機可能存在配置問題。
此外,最好打開
spanning-tree port-fast交換機的每個訪問埠,因為這樣可以防止在埠啟動/關閉時刷新 MAC 地址表。這通常是交換機泛洪數據包的原因。編輯:
您可以嘗試更改 MAC 地址表老化時間:
http ://www.cisco.com/en/US/docs/ios/12_3/switch/command/reference/swi_m1.html#wp1085773
命令將是:
mac-address-table aging-time seconds這將改變條目在交換機表中的停留時間,使其能夠更長時間地記住地址並限制單播泛洪。
另一個要使用的命令是我上面提到的那個
spanning-tree port-fast。您應該在每個不連接到另一個交換機的介面上啟用此功能。這將有兩個好處:第一,它會加快插入新電腦所需的時間,第二,它還可以防止交換機在認為有拓撲變化時刷新 MAC 表(生成樹的一個特性) )。