问题的快速概览
我们最近在使用带宽方面遇到了一些问题,我担心这可能是由于办公室滥用(无论是否有意)互联网造成的。我希望能够监控网络流量以查看某个内部 IP 地址是否有问题。我们的带宽应该绰绰有余。
我们的设置
我们有一个 3Com Superstack 3 交换机连接到 Cisco PIX 501 防火墙,然后连接到我们的 ISP 提供的路由器。
我试过的
似乎交换机或防火墙都没有可用的端口镜像功能,所以我无法保持永久跟踪。PIX 确实提供了对它自己的内存缓冲区的临时跟踪,但是我不太有信心使用它。
我还尝试在我们的(Windows 2000)DNS 服务器上安装 Wireshark,但是这里的数据包数据没有帮助。
下一步
你们关于如何监控流量的任何建议都会很棒。不过,我们目前还不能更换现有的硬件。我已经研究了 Network Tap 的成本,我可以将它放置在交换机和防火墙(或防火墙和路由器)之间,并设置一台机器来监控那里的数据包。我以前从未采用过这种方法,所以想知道它是否真的可行。
两种可能的选择......数据包捕获分接头(这是非常可行的)或 ASA 上的数据包捕获。
如果您对购买分接头和插入内联不感兴趣,您不应该害怕在您的 Cisco PIX 上进行捕获。要捕获 PIX 上的流量,首先定义一个 ACL...假设您正在尝试从位于 10.10.10.1 的防火墙内的主机捕获流量。
access-list CAPACL permit ip host 10.10.10.1 any
access-list CAPACL permit ip any host 10.10.10.1
现在开始使用足够大的缓冲区捕获与 ACL 匹配的流量,以确定该主机是否存在合法问题...
capture inside_capture interface INSIDE buffer <some buffer size> access-list CAPACL packet-length 1500
您可以选择使用 tftp 下载捕获...
copy /pcap capture:inside_capture tftp:
这个 Cisco 文档有很多关于在 PIX / Cisco ASA 上捕获流量的好信息... DOC 17345 捕获 PIX 流量
您可以很容易地制作自己的以太网分路器。它可能无法在千兆接口上运行,但可以在 10 或 100mbit 上运行。我以前做过一个,因为我不想等待一个预制的发货。
http://hackaday.com/2008/09/14/passive-networking-tap/有一些关于它们的文章。基本上,您只需要一个 4 类 5 类插孔和一些电缆。
其中两个插孔位于交换机与防火墙或防火墙与 ISP 路由器之间的现有连接之间。
两个抽头插孔各连接一个信号方向。您将一个插入您的笔记本电脑(或两个,如果您的系统带有 2 个 NIC)。网卡的传输引脚根本没有连接,所以笔记本电脑不会意外传输任何数据。
仅捕获一个方向可能就足以说明过度使用的来源。
在拔掉办公室的互联网连接之前,我会测试一些不太重要的连接。一旦你知道它可以工作,你就可以把它连接起来,只要你需要找出问题,就可以让wireshark在笔记本电脑上运行。