Ntop监视-没有SPAN/镜像的主机可见

Question

我试图使用ntop来监控思科催化剂交换机上的流量。我假设为了看到任何流量，我必须使用监视器，如下所述：http://www.cisco.com/en/US/products/hw/switches/ps708/products_高科技_note09186a008015c612.shtml。

但是，在对开关做任何操作之前，我只需将ntop服务器插入并启动ntop即可。令我惊讶的是，我立即看到了主机的3+页面和数千个数据包。你怎么看得到这个？

我已经证实开关上没有监视(以en的形式运行)：

cs1.pvdc#show monitor
  No SPAN configuration is present in the system.

我的ntop服务器是Ubuntu8.04，我没有做任何配置，我只是安装了ntop包。这也是一个新的Ubuntu安装。

除了“监视器”之外，我的交换机上还有什么东西可以让我的交换机像这样反映所有的流量吗？我尝试过将ntop插入不同的端口，结果是相同的。

更新:看起来比在ntop中显示的广播流量更多，例如，当我的in与DNS服务器交谈或生成HTTP流量时，我可以看到。如果我的开关配置不当，有人能指出正确的方向来纠正这一点吗？不是思科专家。

Answer 1

你看到什么样的包裹？总的来说，我发现一个规模很大的网络不可避免地会有大量的广播聊天。比如NetBios公告和ARP请求。你不应该看到的是任何点对点的流量。查看源地址和目标IP/MAC地址。如果您正在看到特定的点对点通信量，那么您的交换机可能会出现配置问题。

另外，在交换机的每个访问端口上打开spanning-tree port-fast也很好，因为这将防止当端口上升/下降时mac-address表被刷新。这通常是交换机淹没数据包的原因。

编辑：

您可以尝试更改MAC地址表老化时间：

http://www.cisco.com/en/US/docs/ios/12_3/开关/命令/引用/swi_m1.html#wp1085773

该命令将是：

mac-address-table aging-time seconds

这将改变条目停留在切换器表中的时间，使其能够更长时间地记住地址，并限制单播泛滥。

要使用的另一个命令是我前面提到的spanning-tree port-fast命令。您应该在每个不连接到另一个交换机的接口上启用此功能。这将有两个好处:第一，它将加快插入一台新计算机所需的时间；第二，当它认为存在拓扑变化(生成树的特性)时，它还将防止交换机刷新MAC表。

Answer 2

如果您有一个非常大的lan，那么检查一下您所使用的mac表存储的大小。如果你溢了很多，那么你的开关就会开始泛滥。

我在一个网络中看到了这个问题，该网络的核心交换机被配置为过滤第二层多播数据包，这导致许多访问交换机上的mac表不完整。

如果您有对交换机的物理访问，切换它的诊断导致的交通模式，您应该看到一个均匀分布的活动在每个端口(显示的均匀流量分布)。如果有很多同步，那么就会有很多洪水发生。如果所有的开关是相同的，那么您的mac表学习问题。