簡單來說有下列步驟
1. 首先確認異常的流量地方
在好幾百個Port的地方要找出不尋常流量的Switch Port, 本身就是一個難題, 這是需要平常就花時間在紀錄每個Port的流量, 才能在緊急時比對每個port目前的流量和以前是否不一樣。一般免費的Solution是用MRTG來做流量的記錄.
2. 進行流量管理
在確認異常Port之後,可直接下指令將該異常 Switch Port 關閉停用,再觀察整個網路環境是否己改善. 如果想找出異常流量的內容,就必須用網路封包分析軟體(eg: sniffer, Ethereal 或是 Windows內建的網路分析軟體),收集異常Port的流量內容再加以分析. 除非你能將網路封包分析軟體直接安裝到使用異常流量的主機內,直接抓取,不然你就一定要利用Mirror Port的方式來進行.
如何設定Mirror Port:
以Cisco 2950為例
#config t
先設定要監控的是那個port
#monitor session "number" "source" interface "mod_number/port_number" both
eg: # monitor session 1 source int f0/15
再設定要把上述Port的流量全部導入另一個port
#monitor session "number" "destination" interface "mod_mnumber/port_number"
eg: #monitor session 1 destination int f0/16
最後把安裝網路封包分析軟體的電腦,接上 swithc port f0/16,這樣就可以進行接收分析在port f0/15 中所有封包活動的內容了
============================
Cisco 3500系統 Mirror Port 設定範例
1. 進入主機裝有封包分析軟體的port
3500(config)# int f0/18
3500(config-if)#
2. 設定要偵測port,把流量導入
3500(config-if)#port monitor f0/21
完成
檢查是否設定完成 #sh port monitor
Monitor Port Port Being Monitored
--------------------- ---------------------
FastEthernet0/18 FastEthernet0/21
沒有留言:
張貼留言