抓取数据包时只看到从本地机子发出的数据包而没有接收的数据包？

linberd · 发表于 2008-6-26 16:13:57

我们局域网用的是思科3550交换机，gi0/1端口连接外网，我在f0/18端口上作了镜像，配置结果如下：
Session 1
---------
Type             : Local Session
Source Ports    :
Both       : Gi0/1
Destination Ports : Fa0/18
Encapsulation : Native
      Ingress : Disabled
在数据包分析里面，大部分的数据包都是由本机的机子发出（数据源为本地机子，目标为Internet地址），按常理来说，本地机子发送了HTTP、TCP等数据包，应该会接收到来自Internet地址的数据包，怎么会看不到的呢？

[ 本帖最后由 linberd 于 2008-6-26 16:16 编辑 ]

oldjiang · 发表于 2008-6-26 16:25:14

镜像是both，那双向的数据包都应该能抓到
看一下节点浏览器的箭头是双向的吗？
看一下端点，有很多单向包吗？

看一下会话，有很多单向包吗？

把包传上来看看

linberd · 发表于 2008-6-30 16:49:58

截图如下，到底是怎么回事呢？

oldjiang · 发表于 2008-6-30 17:28:09

1、3550是三层交换机，monitor session命令参数较多，把你用的命令贴出来看看
2、文档说：Traffic that enters or leaves source ports or enters source VLANs can be monitored by using SPAN or
RSPAN. Traffic routed to source ports or source VLANs cannot be monitored.这句话的意思，不理解。
3、gi0/1是千兆口，f0/18是百兆口，用一个百兆口做源端口试试看呢

[ 本帖最后由 oldjiang 于 2008-7-1 09:40 编辑 ]