我正在设置一个网络安全实验室,想要监控所有进出网络的数据包。我将获得一个 2Gbit/sec 的上行链路作为通道,该通道终止于 CISCO 3750 交换机和 /24,另一端是正在生产中运行的 6500。现在我有一台带有两个 1Gbit/sec NIC 的机器,想要使用它来记录流量,而对我们的网络所依赖的 6500 进行最少的更改。
从网络结构角度来看,实现此目的的最佳方法是什么?
我考虑在 3750 端使用 SPAN 将流量镜像到我的数据包记录器。但这意味着系统无法在我们的数据中心运行。
我考虑过只使用 1Gbit/sec 并将系统设置为桥梁,但这会给链路带来另一个吞吐量/延迟损失。
我有点急于在 6500 上创建 SPAN,因为有关 CISCO 文档说这会增加负载(这是不行的)。
我是不是漏掉了什么?还有其他建议吗?也许可以将系统用作 /24 的路由器?但那样的话,我就只能使用 1Gbit/sec 了。
答案1
当您说要监控进入或离开网络的所有流量时,我假设您指的是互联网流量而不是内联网流量,对吗? 如果是这样,您可以考虑在网络入口/出口接口上设置 Netflow,并将流数据导出到 Netflow 收集器。
答案2
我已经在带有 Sup720 的 Cat6k 上成功运行了 span。还有一个方便的选项,称为 RSPAN,它将 SPAN 数据包封装在 UDP 帧中,并允许它们将其发送到网络中其他地方的机器。
您没有提到您想要捕获的链接上有多少活跃流量。
用于实现的完整 tcpdump 将很快被填满。
算一下:100Mbps 即 12.5MBps,即 45GB/小时或大约 1TB/天。
尽快删除不需要的信息是关键。
在非高峰时段打开跨度并查看 CPU 负载如何变化。
我相信你也可以仅 SPAN 匹配某些配置文件的流量(例如,仅端口 80)
如果你有钱,你可以买一个以太网分接头。这是一来自 Blackbox 的 10/100/1000。(您没有指定所使用的互连类型,)