web-dev-qa-db-ja.com

Ntopモニタリング-SPAN /ミラーリングなしで表示されるホスト

Ntopを使用してCiscoCatalystスイッチ上のトラフィックを監視しようとしています。ここで説明するように、トラフィックを表示するには、モニターを使用する必要があると想定していました。 http://www.Cisco.com/en/US/products/hw/switches/ps708 /products_tech_note09186a008015c612.shtml

ただし、スイッチで何かを行う前に、ntopサーバーを接続してntopを起動するだけでした。驚いたことに、3ページ以上のホストと数千のパケットがすぐに表示されます。 ntopはこれをどのように見ていますか?

スイッチに監視が存在しないことを確認しました(enとして実行):

cs1.pvdc#show monitor
  No SPAN configuration is present in the system.

私のntopサーバーはUbuntu8.04です。構成は行っていません。ntopパッケージをインストールしただけです。これもUbuntuの新規インストールです。

「モニター」以外に、スイッチがこのようにすべてのトラフィックをミラーリングする原因となる可能性のあるものがスイッチにありますか? ntopを別のポートに接続してみましたが、同じ結果になりました。

更新:ntopに表示されるのは、ブロードキャストトラフィックだけではないようです。たとえば、IPがDNSサーバーと通信したりHTTPトラフィックを生成したりしたことがわかります。スイッチが正しく構成されていない場合、誰かがこれを修正するための正しい方向に私を向けることができますか?シスコの専門家ではありません。

ciscobandwidthpacket-analyzerntoppacket-capture
1
Cory J

どんな種類のパケットを見ていますか?一般に、適切なサイズのネットワークでは、必然的に多くのブロードキャストチャタリングが発生することがわかりました。 NetBiosのアナウンスやARPリクエストなど。表示されるべきではないのは、ポイントツーポイントのトラフィックです。送信元と宛先のIP/MACアドレスを確認します。特定のポイントツーポイントトラフィックが表示されている場合は、スイッチに構成上の問題がある可能性があります。

また、スイッチの各アクセスポートでspanning-tree port-fastをオンにすると、ポートがアップ/ダウンしたときにMACアドレステーブルがフラッシュされるのを防ぐことができます。これは通常、スイッチがパケットをフラッディングする原因です。

編集:

MACアドレステーブルのエージングタイムを変更してみてください。
http://www.Cisco.com/en/US/docs/ios/12_3/switch/command/reference/swi_m1.html#wp108577

コマンドは次のようになります。
mac-address-table aging-time seconds

これにより、エントリがスイッチのテーブルにとどまる時間が変更され、アドレスをより長く記憶し、ユニキャストフラッディングを制限できるようになります。

使用する他のコマンドは、上記のspanning-tree port-fastです。別のスイッチに接続しない各インターフェイスでこれを有効にする必要があります。これには2つの利点があります。1つは、新しいコンピューターを接続するのにかかる時間を短縮すること、もう1つは、トポロジが変更されたと判断したときにスイッチがMACテーブルをフラッシュしないようにすることです(スパニングツリーの機能)。 )。

1
einstiien

私もNTOPを使用していますが、これがあなたのケースで起こっていることです。

注:SPANは、1つのポートでAからBおよびBからAのトラフィックを監視します。全二重2x100 Mbitを使用している場合、パケット損失が発生する前に、AとBの間の全体的なトラフィックがネットワーク速度100Mbitを超えることはできません。これはギガビットスイッチでは問題にならないはずです。

Cisco
(ソース: Cisco.com

この構成では、スニファは次のようにすべてのポートにフラッディングされるトラフィックのみをキャプチャします。

  • ブロードキャストトラフィック

  • CGMPまたはインターネットグループ管理プロトコル(IGMP)スヌーピングが無効になっているマルチキャストトラフィック

  • 不明なユニキャストトラフィック

ユニキャストフラッディングは、スイッチの連想メモリ(CAM)テーブルに宛先MACがない場合に発生します。スイッチはトラフィックの送信先を認識していません。スイッチは、宛先VLANのすべてのポートにパケットをフラッディングします。

1
Jindrich

LANが非常に大きい場合は、MACテーブルストレージのサイズを確認してください。あなたがたくさんあふれているならば、あなたのスイッチはあふれ始めます。

この問題は、レイヤー2マルチキャストパケットをフィルタリングするように構成されたコアスイッチがあるネットワークで発生しました。これにより、多くのアクセススイッチで不完全なMacテーブルが発生します。

スイッチに物理的にアクセスできる場合は、診断LEDをトラフィックモードに切り替えると、すべてのポートでアクティビティが均等に分散されていることがわかります(トラフィックの均等な分散が表示されます)。同期が多い場合は、フラッディングが多く発生しています。すべてのスイッチが同じである場合は、Macのテーブル学習の問題が発生します。

0
The Unix Janitor