公司想要偵測內網中每個使用者的網路行為,試過許多方式後,最後決定用 Port Mirror 技術搭配 nTop 封包分析套件,統計所有資訊,本篇為 Port Mirror 筆記,如有錯誤,還請指教!
首先我用一台 Pentium II - 400Mhz 主機安裝 Ubuntu Server 9.10
本機須裝設兩張網卡,一張用來讓管理者連線用,一張擷取 Port Mirror 的所有網路封包
裝完後再安裝 nTop 套件 ( nTop 的安裝設定方式另篇詳述 )
最後連去 L3 Switch 設定 Port Mirror 方法如下:
show monitor session 2
# 顯示 session 2 狀態
enable
configure terminal
no monitor session 2
# 啟用管理原模式
# 進入變更設定模式
# 停用 session 2 監控
monitor session 2 source interface fastEthernet 0/3
# 監控的第一個來源 PORT
monitor session 2 source interface fastEthernet 0/4
# 監控的第二個來源 PORT
monitor session 2 destination interface fastEthernet 0/45
# 目的地 PORT
show monitor session 2
# 顯示 session 2 監控狀態
Session 2 ---------
Type : Local Session
Source Ports : Both : Fa0/3-4
Destination Ports : Fa0/45
Encapsulation : Native
Ingress : Disabled
# 設定無誤的話將會看到如上面畫面
Monitor session 1 source interface fastethernet 0/1 , 0/2 , 0/3
# Cisco 2950 多個來源可以直接設定
Monitor session 1 destination interface fastethernet 0/4 encap ingress vlan 1
# Cisco 2950 目的地 PORT 範例
完成後就可以透過 nTop 管理介面登入查看內網的流量囉!可惜 Pentium II 的電腦真的是慢了點,不然這台超強流量分析機就完美了XD"
沒有留言:
張貼留言