如何在CRT上用wireshark对交换机S12500进行抓包,交换机通过ssh链接
(0)
可以使用镜像方式,将相关流量镜像到本地电脑上。
如下案例:
一、组网
需求描述
某公司内部各部门使用不同网段的IP地址,其中研发部使用10.1.1.0/24网段,市场部使用12.1.1.0/24网段。现要求通过配置本地端口镜像功能,使用数据监测设备对研发部和市场部访问Internet的流量以及两个部门之间互访的流量进行监控。
三、配置注意事项
本地镜像组需要配置源端口、目的端口才能生效。其中目的端口不能是现有镜像组的成员端口
目的端口收到的报文包括复制自源端口的报文和来自其他端口的正常转发报文。为了保证数据监测设备只对源端口的报文进行分析,请将目的端口只用于端口镜像,不作其他用途。
四、配置步骤
# 创建VLAN 2、VLAN 3和VLAN 5。
<DeviceA> system-view
[DeviceA] vlan 2 3 5
# 创建VLAN 2接口和VLAN 3接口并配置IP地址作为相应VLAN的网关。
[DeviceA] interface vlan-interface 2
[DeviceA-Vlan-interface2] ip address 10.1.1.1 24
[DeviceA-Vlan-interface2] quit
[DeviceA] interface vlan-interface 3
[DeviceA-Vlan-interface3] ip address 12.1.1.1 24
[DeviceA-Vlan-interface3] quit
# 创建VLAN 5接口并配置IP地址为56.56.56.5。
[DeviceA] interface vlan-interface 5
[DeviceA-Vlan-interface5] ip address 56.56.56.5 24
[DeviceA-Vlan-interface5] quit
# 将端口GigabitEthernet1/0/1加入VLAN 2,端口GigabitEthernet1/0/2加入VLAN 3,端口GigabitEthernet1/0/4加入VLAN 5。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] port access vlan 2
[DeviceA-GigabitEthernet1/0/1] quit
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] port access vlan 3
[DeviceA-GigabitEthernet1/0/2] quit
[DeviceA] interface gigabitethernet 1/0/4
[DeviceA-GigabitEthernet1/0/4] port access vlan 5
[DeviceA-GigabitEthernet1/0/4] quit
# 将端口GigabitEthernet1/0/3配置为Trunk端口,并允许VLAN 2和VLAN 3通过。
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] port link-type trunk
[DeviceA-GigabitEthernet1/0/3] port trunk permit vlan 2 3
[DeviceA-GigabitEthernet1/0/3] quit
# 创建本地镜像组。
[DeviceA] mirroring-group 1 local
# 将GigabitEthernet1/0/1和GigabitEthernet1/0/2配置为镜像源端口,对这两个端口接收的报文进行镜像。
[DeviceA] mirroring-group 1 mirroring-port gigabitethernet 1/0/1 gigabitethernet 1/0/2 inbound
# 将GigabitEthernet1/0/3配置为镜像目的端口。
[DeviceA] mirroring-group 1 monitor-port gigabitethernet 1/0/3
# 关闭目的端口GigabitEthernet1/0/3上的生成树协议。
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] undo stp enable
[DeviceA-GigabitEthernet1/0/3] quit
五、验证配置
# 在完成上述配置后,在DeviceA上显示镜像组1的配置信息。
[DeviceA] display mirroring-group 1
Mirroring group 1:
Type: Local
Status: Active
Mirroring port:
GigabitEthernet1/0/1 Inbound
GigabitEthernet1/0/2 Inbound
Monitor port: GigabitEthernet1/0/3
# 以研发部某台主机10.1.1.2通过ping方式访问56.56.56.6为例,进行镜像测试,数据监测设备的抓包数据如图下图所示。
(1)
通过本地镜像的方式抓包
参考
· Device通过端口FortyGigE1/0/1和FortyGigE1/0/2分别连接市场部和技术部,并通过端口FortyGigE1/0/3连接Server。
· 通过配置源端口方式的本地端口镜像,使Server可以监控所有进、出市场部和技术部的报文。
# 创建本地镜像组1。
<Device> system-view
[Device] mirroring-group 1 local
# 配置本地镜像组1的源端口为FortyGigE1/0/1和FortyGigE1/0/2,目的端口为FortyGigE1/0/3。
[Device] mirroring-group 1 mirroring-port fortygige 1/0/1 fortygige 1/0/2 both
[Device] mirroring-group 1 monitor-port fortygige 1/0/3
# 在目的端口FortyGigE1/0/3上关闭生成树协议。
[Device] interface fortygige 1/0/3
[Device-FortyGigE1/0/3] undo stp enable
[Device-FortyGigE1/0/3] quit
# 显示所有镜像组的配置信息。
[Device] display mirroring-group all
Mirroring group 1:
Type: Local
Status: Active
Mirroring port:
FortyGigE1/0/1 Both
FortyGigE1/0/2 Both
Monitor port: FortyGigE1/0/3
配置完成后,用户可以通过Server监控所有进、出市场部和技术部的报文。
(0)
暂无评论
您好,可通过本地端口镜像的方式进行抓包。
本地端口镜像配置举例:
(0)
暂无评论
你是在现场抓包还是在远端抓包?
现场抓包参考镜像设置:
https://www.h3c.com/cn/d_201505/868966_30005_0.htm
远端参考Packet Capture设置(需安装特性包):
https://www.h3c.com/cn/d_201505/868972_30005_0.htm
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论