請問各位大大有人曾經架過NTOPNG 的嗎? 如下圖一我在Cisco3750上 下達monitor session 1 source int g1/0/21 及 monitor session 1 source int g1/0/22 ,最後再 monitor session1 destination int g1/0/24,但執行ntopng的網頁只看到很多UDP的資訊,是否我有設定錯呢? 因為HOST都有進來...可是就沒看到TCP的資訊 (圖二)
圖一
圖二
已邀請的邦友 {{ invite_list.length }}/5
hon大... 兩個port mirror到 g1/0/24再直接到ntop server的 Listen NIC port ,是錯的嗎? 不過我的確是已經mirror session 過去了耶@@?
也有可能 cisco 3750 不 support ERSPAN,所以什麼都看不見.
只好用別的方式,
http://www.netadmin.com.tw/article_content.aspx?sn=1111030003
你的 cisco 3750 有切vlan嗎?
從這個文件,歸納出可能的原因
http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10570-41.html
沒有流量從 g1/0/21 到 g1/0/22,所以看不見 TCP的資訊
hon2006大大, 的確是有切VLAN的, 但是是直接兩條線switch port trunk 及802.1q,過去另一部L2 的switch上面,現在我也是在懷疑是因為切Vlan帶tag的關係嗎? 本來想說要建起來方便大家找網路問題時比較好抓兇手,結果今早我的router CPU Loading跑了一個process IP INPUT,已經快把我搞掛了 >< ....
如果有 cisco router,怎麼不考慮監控 router 的 netflow
如果是 cisco 3750 cpu loading 過高可以參考這個
http://www.cisco.com/networkers/nw04/presos/docs/RST-3507.pdf
我想你可以去下載cisco network assistant工具來試試看
http://www.netadmin.com.tw/article_content.aspx?sn=0901050004
hon2006 Cisco network assistant的確是可以看到設備的健康狀況,但是要確認是誰在對其他網路進行傳送大量的資料時,好像只能看到port端的樣子,所以才考慮要更詳細一點的作法,原本也是想說用ip flow的作法,因為3750設flow record一直設定不起來,乾脆參考其他先進的作法設定ntopng,就把mirror port下達no shutdown後,流量的確是進來了,結果卻是udp的boardcast一堆,後來我把所有的VLAN也都mirror過去,還是一樣的結果,我就有點灰心了,接續處理 Cpu high loading的狀況居然是在我重新reload時正常了,不過很怪就是了,但就是莫名的好了 >< 所以我想問hon大,如果我的packet都帶vlan tag,那我的ntopng port照理來說是要能夠認得出vlan tag的packet ,這樣的話我是只要把mirror port 也switchport access vlan其中一個tag 然後用電腦測看看是不是能透過那個port連到其他vlan的電腦就行了,是這樣嗎
因為是cisco 接 d-link 而且不是在同一台的 port ,如果要設定 cisco span 好像很難,網路上的例子大部分都在同一台上,一進一出去監控他的traffic,所以可能要請求網路上高人指點.
謝謝hon2006大的回答,我只能再試看看了,再不行的話,就只能想想看怎麼樣把架構單純化一點,><
iThome鐵人賽
看影片追技術