关于多端口监控，流量会不会重复的问题，大牛进！

chinaciscoccie · 发表于 2010-5-13 16:38:08

情况是这样的，手里有一台cisco 24口交换机。
1-22口连接服务器。
23口为外网口
24为监控镜像口，安装科来2010.
我在交换机配置的镜像命令，是把1-23口全部镜像给24口。我之所以这么配的理由是希望能看到内网流量，这样便于杜绝广播风暴和环路等问题。要是光镜像23口的话内网数据流通可能就看不到。
但这里有个很大的问题。就是24口连接的科来所捕获的数据，会不会是重复的！？
比方说1号端口连接的S1服务器，它与外网的流量。和23口里捕获到的S1的内外网的流量肯定应该是一样的，那么我把1号和23号端口的流量都镜像给24口，那么科来所捕获的关于S1服务器的流量是独立的，还是重复的呢？？？？？？
还望高人能给予解答，感谢！！！

saibei · 发表于 2010-5-13 16:44:26

那流量就大了可能把 24口给堵死了

重复倒是不会

long_323 · 发表于 2010-5-13 16:47:19

部分流量是重复的。
可以在交换机上做两组镜像：一组监控外网，一组监控内网。
分别镜像到两个端口上，可以在安装科来的监控机上增加一块网卡。
别忘了，科来是支持多网卡、多工程的。

徐徐渐进 · 发表于 2010-5-13 17:05:46

肯定会有部份的流量重复，楼主可以只将1-22口做为被镜像口，这样流量就不会重复了，然后通过过滤器来达到你的目的。

chinaciscoccie · 发表于 2010-5-13 17:08:49

那流量就大了   可能把 24口给堵死了

重复倒是不会
saibei 发表于 2010-5-13 16:44

现在还没有堵死，流量峰值只有80Mbit左右（百兆端口接入）。既然不是重复的那我就放心了。那也就是说，科来所捕获的最大数据流量基本可以等同于内网所有服务器到外网的总流量了（做过滤器：非192网段的流量一律禁止掉，以及广播和组播包，余下的数据）。

chinaciscoccie · 发表于 2010-5-13 17:10:23

多谢各位的解答，如果还有新的看法欢迎继续跟帖。。。

chinaciscoccie · 发表于 2010-5-13 17:14:00

部分流量是重复的。
可以在交换机上做两组镜像：一组监控外网，一组监控内网。
分别镜像到两个端口上，可以在安装科来的监控机上增加一块网卡。
别忘了，科来是支持多网卡、多工程的。
long_323 发表于 2010-5-13 16:47

因为预算的原因，交换机上没有多余的端口可以插入监控服务器的网口了。宝贵的交换机的端口都是用来插服务器滴。呵呵。

chinaciscoccie · 发表于 2010-5-13 17:15:33

部分流量是重复的。
可以在交换机上做两组镜像：一组监控外网，一组监控内网。
分别镜像到两个端口上，可以在安装科来的监控机上增加一块网卡。
别忘了，科来是支持多网卡、多工程的。
long_323 发表于 2010-5-13 16:47

还一个原因就是2010版只支持最多2个工程，一个用过来捕获全部数据，另一个用过滤器来捕获。。。没了。

不知道谁有办法能在一台电脑上启用多个科来的进程吗？呵呵。

long_323 · 发表于 2010-5-13 17:27:27

可以在虚拟机里试一下，看看效果

chinaciscoccie · 发表于 2010-5-14 10:46:40

经过昨日的测试，证实24口所捕获的数据的确存在重复。

关于多端口监控，流量会不会重复的问题，大牛进！

评分

评分