网络慢,说是上行流量太大,但看不出问题,请帮帮忙,多谢了.

tianyaman · 发表于 2008-3-26 11:15:56

网络慢,说是上行流量太大,但看不出问题,请帮帮忙,多谢了.头都大了.一个网段一数据包，共三个，请帮忙看看这三个数据包。

[ 本帖最后由 tianyaman 于 2008-3-26 12:41 编辑 ]

55902000 · 发表于 2008-3-26 12:15:20

172.18.3.188在ARP扫描是肯定

oldjiang · 发表于 2008-3-26 12:28:44

工程1-1：
1、本机装了什么软件？在做ARP扫描
2、本机有两个IP？有DHCP？如图。如果有两个网卡，在工具栏的适配器选一块即可。
3、楼主没有正确部署，要发现问题所在，部署很重要，参考：
http://www.csna.cn/forum.php?mod=viewthread&tid=355
http://www.csna.cn/forum.php?mod=viewthread&tid=370
http://www.csna.cn/forum.php?mod=viewthread&tid=7807
4、图2这样的网络配置是不是也有点问题？
5、1-1的网关是00:18:73:9C:F0:C4，而1-2的则是00:18:73:9C:F0:C3，究竟是哪个呢？

[ 本帖最后由 oldjiang 于 2008-3-26 12:45 编辑 ]

tianyaman · 发表于 2008-3-26 12:39:57

谢谢，本机开了聚生网管软件，应该是这个软件的事。因有三个网段，所以在每个网段上抓了一数据包，共三个，是有两个网卡，169。254。93。45接的是镜像端口，但是用该网卡抓不到数据，不知怎么回事。差不多要超过50台机了。

oldjiang · 发表于 2008-3-26 13:00:58

1、三个网段分别是172.18.3.0/24、172.18.2.0/24、172.18.5.0/24，三层交换机？
2、还是请楼主描述一下拓扑。既然接了镜像端口，不应该只俘获本机流量。
3、169是microsoft自留的IP，当不能找到DHCP服务器时，系统会从微软自留的IP段挑一个。抓包用这个IP有无影响我不清楚。
4、网络慢、上行流量大，最好找一个合适的位置抓整个网络的包。

[ 本帖最后由 oldjiang 于 2008-3-26 14:06 编辑 ]

tianyaman · 发表于 2008-3-26 14:36:06

原帖由 oldjiang 于 2008-3-26 13:00 发表
1、三个网段分别是172.18.3.0/24、172.18.2.0/24、172.18.5.0/24，三层交换机？
2、还是请楼主描述一下拓扑。既然接了镜像端口，不应该只俘获本机流量。
3、169是microsoft自留的IP，当不能找到DHCP服务器时，系统 ...

网络结构是这样的，思科的一防火墙进来后接一台思科3560的交换机，里面设置了vlan10,vlan20,vlan30,vlan40,vlan50,现在电脑主要是集中在，vlan30,和vlan20上，3560下面接了两台思科2950的，分别为vlan30,vlan20,和两台TP-LINK交换机，另从配置单上看，3560的11端口是设置为镜像端口的，我的电脑有个网卡就接在这，另一网卡接在vlan30上，因我刚到这上班，3560交换机的密码有误，也进不了。不过从show vlan看，11端口属于vlan1的。接镜像端口后，IP一般是多少？另外，我单独用那个接镜像端口的网卡捕获数据，根本抓不到。水平有限，只好请求大家的帮助。

oldjiang · 发表于 2008-3-26 14:52:26

1、”3560的11端口是设置为镜像端口的“，被镜像的是那个口呢？如果被镜像的是路由器接交换机的口，就能抓到整个网络的包。
2、2950交换机的密码知道不？镜像2950的上联端口逐个交换机抓包呢？

tianyaman · 发表于 2008-3-26 15:16:27

是这样设置的：
int f0/11
monitor session 1 source vlan 10,20,30,40,50,rx
monitor session 1 destination int Fa0/11
这样配置也就把所有vlan的数据都镜像过来了吧。
2950的密码知道，3560上拿了两个端口接到2950上，并把这两端口设为trunk
配置单上是这样写的，有没有可能后来有变动呢。因我用另一个网是可以抓到数据的。

徐徐渐进 · 发表于 2008-3-26 15:39:22

建议楼主用both参数

oldjiang · 发表于 2008-3-26 15:40:49

抓包跟网卡的IP没有关系。169的网卡抓不到包，是否跟适配器的选择有关呢？

[ 本帖最后由 oldjiang 于 2008-3-26 15:47 编辑 ]

tianyaman · 发表于 2008-3-26 16:36:17

原帖由 徐徐渐进 于 2008-3-26 15:39 发表
建议楼主用both参数

刚用这个不久呀。bot具体点是指？我用网卡测试时显示是：只有本机流量和广播或组播流量被捕获。
我是直接接在交换机上的。一个接镜像口，另一网卡接vlan.

tianyaman · 发表于 2008-3-26 16:38:05

另，网卡都是百兆的。不是千兆网卡。

oldjiang · 发表于 2008-3-26 17:06:41

我感觉楼主的镜像还是有问题。我做了测试：
1、在交换机做镜像，源端口是我旁边的一个机器接的端口，目标端口是我的机器接的
2、附件xiaohe1是在网卡正常配置下抓的包，可见192.168.1.40（我）和192.168.1.89（旁边机器）的数据
3、附件xiaohe2是在网卡IP为169如图1、2下抓的包，可见192.168.1.89（旁边机器）的数据
4、附件xiaohe3是在网卡都没有IP协议如图3下抓的包，可见192.168.1.89（旁边机器）的数据
所以抓包跟网卡IP无关。建议楼主查看思科文档如Catalyst 2960 Switch Command Reference的镜像部分，单独抓一个2950交换机的包做测试。

[ 本帖最后由 oldjiang 于 2008-3-26 17:17 编辑 ]

tianyaman · 发表于 2008-3-26 17:42:17

哦，你的意思是说那个端口根本没有做镜像，或是镜像到其它地方去了，所以才没有数据的。我直接把电脑接到2950交换机上，属于vlan20的。在测试时还会出现附件的情形。另，其实vlan20有18台电脑在用，但是科来运行了一分钟本地网段才检测到四台。

tianyaman · 发表于 2008-3-26 17:53:20

在2950上抓捕了约四分钟，如下，正常不。输入流量为零，传输层太多重传。

oldjiang · 发表于 2008-3-26 22:14:31

从14#的1.JPG就可知没有做镜像，就是说本机（抓包的机器）接的交换机端口不是一个镜像目的端口。“在2950上抓捕了约四分钟”，把抓的包传上来看看为。输入流量为零，可能跟monitor session 1 source vlan 10,20,30,40,50,rx 的RX有关，9#不是建议楼主用both参数吗？

[ 本帖最后由 oldjiang 于 2008-3-26 22:21 编辑 ]

tianyaman · 发表于 2008-3-26 22:41:42

原帖由 oldjiang 于 2008-3-26 22:14 发表
从14#的1.JPG就可知没有做镜像，就是说本机（抓包的机器）接的交换机端口不是一个镜像目的端口。“在2950上抓捕了约四分钟”，把抓的包传上来看看为。输入流量为零，可能跟monitor session 1 source vlan 10,20,30,4 ...

14#的那个确实没有做镜像,我只是接在2950的一个普通端口上.想试试能否抓到包.

oldjiang · 发表于 2008-3-26 23:48:17

1、http://www.cisco.com/en/US/docs/ ... tion/guide/scg.html Catalyst 3560 SwitchSoftware Configuration Guide Cisco IOS Release 12.2(40)SE August 2007 第576页Creating a Local SPAN Session中讲到：
monitor session session_number source
  {interface interface-id | vlan vlan-id} [, | -]
  [both | rx | tx]
both—Monitor both received and sent traffic. This is the default.
rx—Monitor received traffic
tx—Monitor sent traffic
2、http://www.cisco.com/en/US/docs/ ... _22ea/CR/2950CR.pdf Catalyst2950and Catalyst2955 Switch Command Reference Cisco IOS Release12.1(22)EA7 March 2006 第250页monitor session讲到：
monitor session session_number {destination {interface interface-id [,|-] [encapsulation
  {dot1q}] [ingress vlan vlan id] | remote vlan vlan-id reflector-port interface-id} | {source
  {interface interface-id [,|-] [both | rx | tx] | remote vlan vlan-id}}
both, rx, tx (Optional) Specify the traffic direction for each source
3、http://www.cisco.com/en/US/produ ... 86a0080094184.shtml 思科交换机密码恢复，按procedure操作后配置还在。谨慎，先测试。

[ 本帖最后由 oldjiang 于 2008-3-26 23:58 编辑 ]

efgh739 · 发表于 2008-4-17 03:19:27

提示: 作者被禁止或删除内容自动屏蔽

efgh739 efgh739 当前离线积分 0 头像被屏蔽	发表于 2008-4-17 03:19:27 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
efgh739 efgh739 当前离线积分 0 头像被屏蔽
	回复使用道具举报

网络慢,说是上行流量太大,但看不出问题,请帮帮忙,多谢了.

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源