原文地址:http://www.softbar.com/blog/post/h3cs3900.html
在管理局域网网络时,有时会需要进行对网络内的机器进行数据抓包,如果公司是用代理服务器上网的话,那么把Sniffer,网络追踪或是其它的抓包软件装在代理服务器上就直接可以抓包了;但如果公司没有用代理服务器上网的话,那就要在主交换机上设置端口镜像的方式来抓包了,如果是在网络内安装局域网管理软件——网路岗,那么这个也是需要配置交换机的端口镜像才可以正常监控的。下面介绍一下如何设置S3900的端口镜像,捕获网络出口的数据包,查看华为的《Quidway S3900系列以太网交换机 命令手册-Release 1510(V1.01).pdf》也会有详细的配置命令介绍。
配置步骤如下:
一、定义mirroring group
system-viewmirroring-group 2 #group_id
二、定义被镜像的端口,也就是源端口
mirroring-group 2 mirroring-port eth 1/0/4 both
其中both指的是从该端口进来和出去的数据包都将被捕获,还可以选择inbound和outbound
三、定义目的端口
mirroring-group 2 monitor-port eth 1/0/10
接着将网线查到eth1/0/10,启用ethereal,promisc模式捕获。
在该交换机的配置中eth1/0/4属于vlan 40,eth1/0/10属于管理vlan。它们不需要处于同一个vlan。
四、查看mirroring group
disp mirroring-group 2
通过上面镜像的包很杂,所以在利用ehereal做分析的时候可利用filter进行过滤。
说明:曾经想在交换机上面应用acl,只捕获感兴趣的包,但是发现华为的文档是错的,在《Quidway S3900系列以太网交换机 命令手册-Release1510(V1.01).pdf》中有一个例子:
<quidway> system-view System View: return to User View with Ctrl+Z.
[Quidway] interface GigabitEthernet1/1/4
[Quidway-GigabitEthernet1/1/4] monitor-port
[Quidway-GigabitEthernet1/1/4] quit
[Quidway] interface GigabitEthernet1/1/1
[Quidway-GigabitEthernet1/1/1] mirrored-to inbound ip-group 2000 monitor-interface
依葫芦画瓢,我在S3900上面做了如下的配置:
1、定义源端口
int eth 1/0/4mirrored-to inbound ip-group 3000 rule 30 monitor-interface
2、定义目的端口
int eth 1/0/10 monitor-port
我发现不论怎么调整acl,都无法在目的端口捕获到数据包,华为的文档真是太滥,相比之下,cisco这方面做得很好。
欢迎用户免费下载网路岗7局域网管理软件来监控管理您公司的网络,网路岗上网行为管理软件具有邮件监控、网络流量监控、聊天监控、上网监控等功能。
使用网路岗软件可以让您更安全有效快速的管理公司员工的上网行为
网路岗七代官方下载地址:http://www.softxp.net
网路岗官方博客:http://www.softbar.com/blog
网路岗官方下载:http://www.softxp.net
