谁用过Catalyst 2918交换机？问个端口镜像的问题！

zhenggd110

公司近期网络一直不稳定，怀疑是某些人在工作时候开了BT下载之类的p2p应用。公司用的是思科的catalyst 2918交换机，我记得这个交换机可以支持端口镜像的。想问一下用过的朋友：1.这个产品是否支持端口镜像？ 2.如果支持，我想将某个怀疑端口的流量镜像到某一个制定端口的话，该如何分析流量是否属于BT下载等p2p应用？是否需要第三方的流量分析软件？谢谢！

wangl110

回复 zhenggd110 的帖子

进入命令行以后，敲一下port monitor命令看看？

zhenggd110

2918应该支持端口镜像的，现在端口镜像都是很低级的功能了。命令的话，你试着敲：
Switch(config)#monitor session 1 destination interface fa0/1（或者其他希望截获其他端口流量的目标端口）
Switch(config)#monitor session 1 source interface fa0/*（*表示你希望监听的端口）
记住啊：这个命令里面的1，表示的是端口所在的vlan值，这里我们默认将所有端口都划分在1个vlan里面。
另外，当然需要你利用其他软件进行分析了，比如sniffer来分析一下即可。

liux110

lz不妨到（置入URL）看看，里面有关于2918的很多配置说明，还有很多抽奖活动。小弟以人格担保，这是正规网站，绝非木马！！

wangl110

回复 zhenggd110 的帖子

多谢楼上指点。我用你的命令试验了一下，但好像sniffer没有获取监听的流量啊！请问这是什么原因？

liux110

在config状态下，输入这个命令也行：
interface FastEthernet0/*（*表示需要被监控流量的那个端口）
port monitor FastEthernet0/1（表示希望获取其他端口流量的目标端口，这里是端口1）
另外，楼主需要注意，一旦你指定某个端口作为监听端口，那么这个端口就无法学习MAC地址，只能用来监听，而不能用来通讯了。。楼主你没有获取监听的流量，我觉得有2种可能，一个是命令配置不对，另外一个是你的监听口和被监听口属于不同的VLAN。。。仔细检查一下！

wangl110

回复 zhenggd110 的帖子

彻底晕了。到底2楼和4楼的命令哪个正确？有啥不同呢？谁进来给解释一下？

liux110

应该是4楼的命令正确，我单位也是2918的，用的就是port monitor命令，监听得很好的说。那个（http://apps.cisco.com/gdrp/coiga ... mp;keyCode=197007_6）我也注册了，资料很完善，言简意赅，一看就会。

liux110

楼主你使用使用show inteface f0/1命令,看看端口1的状态是不是monitor？如果是，说明配置生效，如果不是说明错误。

fengl110

应该用port monitor命令，请看我找到的资料：
Catalyst 2900XL/3500XL/2950系列交换机端口镜像配置
以下命令配置端口监听：
port monitor
例如，F0/1监听F0/2：
interface FastEthernet0/1
port monitor FastEthernet0/2
Catalyst 4000，5000，and 6000系列交换机端口镜像配置
以下命令配置端口监听：
set span
例如，模块6中端口1和端口2同属VLAN1，端口3在VLAN2，端口4和5在VLAN2，端口2监听端口1和3、4、5，
set span 6/1,6/3-5 6/2
以下命令禁止端口监听：
set span disable [dest_mod/dest_port|all]
cisco 3550 emi 端口镜像配置：
在配置模式进行配置
monitor session 1 source interface Fa0/*（*是希望被监听的端口）
monitor session 1 destination interface Fa0/1（1是监听端口，即sniffer等软件监听该端口的数据，分析被监听端口的真实数据）

houy110

4楼的到底用没有用过2918啊？！！2918没有PORT MONITOR这个命令！只能用monitor session命令。至于监控，用sniffer是正选！

wangl110

回复 zhenggd110 的帖子

学习中