/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord? 		Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Catalyst 3550 - traffic monitoring / sniff~
Fra : Brian Ipsen

Dato : 15-01-04 12:41
Hej!

Hvordan overvåger jeg alt trafik på en catalyst 3550 ?? Problemet er, at
jeg kører med et setup med redundant PIX, og skal have en sniffer på
trafikken.... Hvordan får jeg en kopi af alt trafik på f.eks. FastEthernet
0/12+0/13 over på et andet interface - hvor jeg kanh sætte min sniffer på ??

/Brian



 
 
Asbjorn Hojmark (15-01-2004)
Kommentar
Fra : Asbjorn Hojmark

Dato : 15-01-04 13:15
On Thu, 15 Jan 2004 12:40:36 +0100, "Brian Ipsen"
<bipsen@andebakken.dk> wrote:

> Hvordan får jeg en kopi af alt trafik på f.eks. FastEthernet 0/12+0/13
> over på et andet interface - hvor jeg kanh sætte min sniffer på ??

Se under SPAN i dokumentationen.

-A

Brian Ipsen (15-01-2004)
Kommentar
Fra : Brian Ipsen

Dato : 15-01-04 13:29

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:nu0d00hhkoifvn2vu7ml1aget5n3pklvd1@news.sunsite.dk...

> > Hvordan får jeg en kopi af alt trafik på f.eks. FastEthernet 0/12+0/13
> > over på et andet interface - hvor jeg kanh sætte min sniffer på ??
>
> Se under SPAN i dokumentationen.

Prøver jeg:

monitor session 1 source vlan 1 both
monitor session 1 destination interface Fa0/47

og laver så "sh monitor session 1" får jeg:

Session 1
---------
Source Ports:
RX Only: None
TX Only: None
Both: None
Source VLANs:
RX Only: None
TX Only: None
Both: None
Destination Ports: Fa0/47
Encapsulation: Native
Filter VLANs: None

Kan man ikke gøre det på vlan1 ?

/Brian




Kristian Krautwald (15-01-2004)
Kommentar
Fra : Kristian Krautwald

Dato : 15-01-04 17:28
In newsgroup dk.edb.netvaerk wrote, Brian Ipsen, this, the Thu, 15 Jan
2004 13:28:46 +0100:

Hello Brian Ipsen,

>monitor session 1 source vlan 1 both
>monitor session 1 destination interface Fa0/47
>
>og laver så "sh monitor session 1" får jeg:

Hvis jeg husker rigtigt, kan du kun monitorere indgående trafik baseret
på VLANs

Ergo:

monitor session 1 source vlan 1 rx
monitor session 1 destination interface Fa0/47

Cisco har endnu et forbehold på port niveau. Du kan kun monitorere
udgående trafik på en enkelt port, og ikke på flere porte.

--
Med venlig hilsen
Kristian Krautwald



Asbjorn Hojmark (15-01-2004)
Kommentar
Fra : Asbjorn Hojmark

Dato : 15-01-04 22:59
On Thu, 15 Jan 2004 13:28:46 +0100, "Brian Ipsen"
<bipsen@andebakken.dk> wrote:

>> Se under SPAN i dokumentationen.

> Prøver jeg:

Jeg tror, du overså det sted, hvor der står, at man ikke kan
monitorere udgående trafik på flere interfaces eller på et VLAN.

Hvis man vil monitorere flere porte (i en session), kan det kun
være rx (ingress) trafik. Hvis man vil monitorere et VLAN, kan
det kun være rx trafik.

> monitor session 1 source vlan 1 both
> [...]
> Kan man ikke gøre det på vlan1 ?

Sæt det til rx. Hvis du lytter på al trafik, der kommer ind i et
VLAN, får du jo faktisk det alt sammen, også tx. Tænk over det et
øjeblik.

<<pause.wav>>

Hvis trafikken kommer ind på én port i et VLAN, så skal den jo ud
på en anden port i det samme VLAN.[1]


I øvrigt: Hvad er det egentlig du forsøger at opnå med det?

-A
[1] OK, det vil ikke virke for trafik routet af switchen selv til
det pågældende VLAN, men ellers.
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

Brian Ipsen (19-01-2004)
Kommentar
Fra : Brian Ipsen

Dato : 19-01-04 09:03

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:oh2e00tmub3ru0fpenn1v3o7r8h8afjtkv@news.cybercity.dk...

> > monitor session 1 source vlan 1 both
> > [...]
> > Kan man ikke gøre det på vlan1 ?
>
> Sæt det til rx. Hvis du lytter på al trafik, der kommer ind i et
> VLAN, får du jo faktisk det alt sammen, også tx. Tænk over det et
> øjeblik.
>
> <<pause.wav>>
>
> Hvis trafikken kommer ind på én port i et VLAN, så skal den jo ud
> på en anden port i det samme VLAN.[1]
>
> I øvrigt: Hvad er det egentlig du forsøger at opnå med det?

Jeg har 2 x PIX515 på switchen i et failover setup. Jeg ønsker at have
monitor/sniffer på en enkelt port til Snort IDS - og det skal jo gerne
fungere uanset hvilken pix, der er aktiv.

/Brian



Asbjorn Hojmark (19-01-2004)
Kommentar
Fra : Asbjorn Hojmark

Dato : 19-01-04 20:20
On Mon, 19 Jan 2004 09:02:49 +0100, "Brian Ipsen"
<bipsen@andebakken.dk> wrote:

> Jeg har 2 x PIX515 på switchen i et failover setup. Jeg ønsker at have
> monitor/sniffer på en enkelt port til Snort IDS - og det skal jo gerne
> fungere uanset hvilken pix, der er aktiv.

Er de to PIXer forbunder til en eller to switche?

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

Brian Ipsen (20-01-2004)
Kommentar
Fra : Brian Ipsen

Dato : 20-01-04 09:40

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:oebo00ltg6fu7tlc89uv5e3k0gcef78shb@news.cybercity.dk...

> > Jeg har 2 x PIX515 på switchen i et failover setup. Jeg ønsker at have
> > monitor/sniffer på en enkelt port til Snort IDS - og det skal jo gerne
> > fungere uanset hvilken pix, der er aktiv.
>
> Er de to PIXer forbunder til en eller to switche?

De sidder i samme switch

/Brian



Søg
Reklame
Statistik
Spørgsmål : 177502
Tips : 31968
Nyheder : 719565
Indlæg : 6408534
Brugere : 218887
Månedens bedste
Årets bedste
Sidste års bedste
Copyright © 2000-2024 kandu.dk. Alle rettigheder forbeholdes.