用sniffer排除网络故障[图]今天一早就接到客户电话,上网异常的慢,ping 外面的站点延时非常大,还有掉包现像。开完例会,就直去客户那里,网络出口用的是h3c 的防火墙,进入防火墙 dis cpu 占用率99% ,dis mem 占用率100%,怪不得网络慢了。根据体会,怀疑是下面有PC中病毒了,还好客户的核心交换机是思科3560,对3560作端口镜像,开启sniffer ,查看matrix,呵呵,下面那些不正常的机子马上原形毕露。
图片看不清楚?请点击这里查看原图(大图)。
好在客户,有IP地址用户分配记录(好习惯),马上把对方的计算机网线拔掉,网络恢复正常,由于是病毒感染,所以下面也有好几台计算机也出现类似情况,现象是一直跟外面的IP发起连接,并发送数据包。
疑问是处理了,但有一点是,如果用户没做IP地址分配记录,那么就是你知道了那个IP有疑问,或者用户的IP是通过DHCP分配的,那就麻烦了,下面是一个用户运用 思科交换机环境下,我们如何通过IP地址查找这个IP在那台交换机的接口下的例子。
假如,有疑问的IP 是192.168.2.100
运用:
show arp include 192.168.2.100 (在arp列表里查找到这个IP对应的mac地址)
显示出:
Internet 192.168.2.100 0 00df.984a.0c99 ARPA Vlan10
得到所连接交换机接口的mac地址:00df.984a.0c99
再用:
show mac-address-table dynamic add 00df.984a.0c99 (在mac地址列表里找出mac来源端口)
显示:
Unicast Entries
vlan mac address type protocols port
-------+---------------+--------+---------------------+--------------------
10 00df.984a.0c99 dynamic ip FastEthernet0/12
连接的是0/12端口,但是不能保证目标就是接在这个端口
接下来用:
show cdp nei (查看跟这台交换机相链接的网络设备)
看到:
switch9 Fas 4/12 123 S I WS-C2960-2 Fas 0/24 这个端口连接的是交换机
用:
show cdp ne de (查看跟这台交换机链接设备的细致信息)
得到该交换机的IP:192.168.1.214
telnet到192.168.1.214
重复上面动作,输入:
show mac-address-table dynamic 00df.984a.0c99
显示:
Mac Address Table
------------------------------------------
Vlan Mac Address Type Ports
---- ----------- ---- -----
10 00df.984a.0c99 DYNAMIC Fa0/5
Total Mac Addresses for this criterion: 1
看到接口为Fa0/5,而且只有一个动态的mac地址,说明就是这个接口了
目标最后被确定接在一台2950的5口上,这样目标IP与交换机链接的位置就找到了。
附件是交换机配置镜像端的资料与一份基本的sniffer 教程 ,有用到者可下载,希望对大家有帮助 |
发表于 2009-6-24 08:57:08
发表于 2009-6-24 16:05:25