如何实现局域网流量监控
2018-05-20 07:25:19 作者:MangoCool 来源:MangoCool
序言:
此文章的由来,还得从一部A片说起。
有一天有一个人在下班时间偷偷看起了片,在线的(估计还使用了迅雷,大家事后都这么猜测!)!因为拖垮了整个网络,让其他假正经人无法好好上网浏览!
于是大哥吼道,哪个鬼又想打飞机了,嗖的一声,网络不卡了,这个丑事被问起是谁做的,并没人自荐,都是推荐。
好了,废话不多说,我们要做的事是:
流量监控!
那么如何监控?
首先想到的是利用思科交换机的镜像口功能,然后用一台pc机连接镜像口进行监控。说干就干!
配置镜像口:
设备:思科交换机 3650、监控pc机,网线
连接:监控pc直连思科交换机
操作命令:
ssh 192.168.23.111 // 登录上思科交换机 然后回车 // 输入用户和密码 Username:cisco password: // 输入enable,回车,输入root账户的密码,进入root账户 enable Password: // 输入命令 show ip int bri,可以查看端口状态 show ip int bri // FastEthernet表示百兆以太网端口,GigabitEthernet表示千兆以太网端口 // 输入conf t,进入配置模式 conf t // 设置1到5口为源镜像 monitor session 1 source interface gigabitEthernet 1/0/1- 5 // 注:这里就是要注意端口名别输错,-符号后还有一个空格 // 配置目的镜像口 monitor session 1 destination interface gigabitEthernet 1/0/47 // 查看镜像口配置情况 exit // 退出设置模式 show monitor // 查看 // 若镜像口配置错误,则需要删除镜像口。root模式下,输入conf t。no monitor session 1。 conf t no monitor session 1。 // 镜像口没有配置错误的话,就不要使用以上步骤了。使用wr保存配置即可 wr
就这么愉快的配置好了,思科交换机镜像口。
如果还没配好,可以参考来源:https://jingyan.baidu.com/article/91f5db1bd927fa1c7f05e3ac.html
到了这一步,我们只是实现了镜像口,那么如何监控呢?
接下来我们需要改造一下我们的网络结构。
原始网络结构:
改造中...
改造后:
我们以为大功告成,于是监控pc,开启wireshark观察,果然成功了,所有的上网流量包都被抓到了。
仔细一看...
流量怎么都是从一个ip出入的!!!连mac地址都是一个!!!
特么!!!
仔细一想,确实有问题了!!!
原因:局域网ip都被转换了,所有的流量都是从路由出来的,我们抓到都是路由的流量了,mac地址就是路由的。
特么,这不是害人吗?到底是谁看片,如何看!!!
那么如何改造才可以保证抓取到的流量是显示的局域网ip呢?
改造中...
改造后:
这个时候路由不再使用WAN口,不再使用路由和拨号功能,而是简单的当作交换机,将LAN口接在Cisco 3650的1-5口任意端口,当然wifi功能依然保留。
拨号功能交给电信的猫哥。
完美解决!!!
一波未平,一波又起!!!这就是一波三折???
大家同时使用网络时,发现总是只有个别人能上网的情况,无法同时上网,这又是啥子情况???
问题查找中...
原因:电信配的光猫太low了,路由功能估计被阉割过,路由能力有限,咋办???
改造中...
改造后:
终于完美了,流量完美监控,这下大哥再也不用担心我们偷偷看片了!!!
此文章到此就结束了,不过还会有后续,为什么,因为咱不能只是用wireshark查看流量,这样看起来太累了,不是每个人都会分析数据包啊,还是找个工具,开源的,还得落盘啊,对吧!!!
敬请期待!!!
分享: