我正在尝试使用 ntop 监控 Cisco Catalyst 交换机上的流量。我假设为了查看任何流量,我必须使用监视器,如下所述:http ://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a008015c612.shtml .
但是,在我对交换机进行任何操作之前,我只是将我的 ntop 服务器插入并启动了 ntop。令我惊讶的是,我立即看到超过 3 页的主机和数千个数据包。ntop 怎么看这个?
我已验证交换机上不存在监控(运行为 en):
cs1.pvdc#show monitor
No SPAN configuration is present in the system.
我的 ntop 服务器是 Ubuntu 8.04,我没有做任何配置,我只是安装了 ntop 包。这也是一个全新的 Ubuntu 安装。
除了“监视器”之外,我的交换机上还有其他任何东西可能会导致我的交换机像这样镜像其所有流量吗?我尝试将 ntop 插入不同的端口,结果相同。
更新:它似乎不仅仅是显示在 ntop 中的广播流量,例如,我可以看到我的 IP 何时与 DNS 服务器通信或生成 HTTP 流量。如果我的开关配置错误,谁能指出我正确的方向来纠正这个问题?不是思科专家。
你看到什么样的数据包?总的来说,我发现一个规模大的网络不可避免地会有很多广播聊天。诸如 NetBios 公告和 ARP 请求之类的东西。您不应该看到的是任何点对点的流量。查看源和目标 IP/MAC 地址。如果您看到特定的点对点流量,那么您的交换机可能存在配置问题。
此外,最好打开
spanning-tree port-fast交换机的每个访问端口,因为这将防止在端口启动/关闭时刷新 MAC 地址表。这通常是交换机泛洪数据包的原因。编辑:
您可以尝试更改 MAC 地址表老化时间:
http ://www.cisco.com/en/US/docs/ios/12_3/switch/command/reference/swi_m1.html#wp1085773
命令将是:
mac-address-table aging-time seconds这将改变条目在交换机表中的停留时间,使其能够更长时间地记住地址并限制单播泛洪。
另一个要使用的命令是我上面提到的那个
spanning-tree port-fast。您应该在每个不连接到另一个交换机的接口上启用此功能。这将有两个好处:首先,它会加快插入新计算机所需的时间,其次,它还可以防止交换机在认为有拓扑变化时刷新 MAC 表(生成树的一个特性) )。我也使用 NTOP,这就是你的情况。
注意:SPAN 将监控一个端口上的 A 到 B 和 B 到 A 流量。如果您有全双工 2x 100 Mbit,则 A 和 B 之间的总流量不能超过网络速度 100 Mbit,然后才会发生丢包。这应该不是千兆交换机的问题。
(来源:cisco.com)
如果您有一个非常大的局域网,请检查您的交换机 mac 表存储的大小。如果你溢出很多,那么你的开关将开始泛滥。
我已经在一个网络中看到了这个问题,该网络的核心交换机被配置为过滤第 2 层多播数据包,这导致许多接入交换机上的 MAC 表不完整。
如果您可以物理访问交换机,将其诊断 LED 切换到流量模式,您应该会看到每个端口上的活动分布均匀(显示流量分布均匀)。如果有很多同步,那么就会有很多洪水发生。如果所有的开关都一样,那么你的mac表学习问题。