如何抓取局域网中的数据包？

叶落花飞 · 发表于 2008-5-26 11:52:52

局域网中大约有100多台设备，5-6台交换机，没有路由器，网上传输的既有点对点通信，又有组播和广播数据包，现在需要有这么个工具(硬件软件都可以)：当开启运行后，能够将这一网段中来往数据包全部抓获，便于分析(有点类似于录像的功能)，该怎么实现呢？
用sniffer和端口镜像只能抓一台交换机的数据啊，我想抓整个网段中的，不知道怎么着手(网络流量很低)？
拓扑有两种：双星和环形(见图)
平时大部分数据都是设备与设备之间传输(点播、组播均有)，也有约10%的数据是服务器到设备的(点播、组播、广播均有)，现在希望能够在服务器端安装硬件或者软件，平时不启动，启用时所有局域网传输的数据都能在服务器端被抓获，用于分析设备与设备之间的数据传输。
双星型平时只有A网起作用，一旦有传输故障，所有设备立即全部切换到B网中
网络中所有交换机都可网管且所有端口都支持环网冗余。

从零开始 · 发表于 2008-5-26 12:00:30

楼主可以直接在中心交换机做端口镜像，装科来网络分析系统，开启7*24小时抓包并自动保存数据包的功能，就可以达到你目的。

叶落花飞 · 发表于 2008-5-26 12:46:52

但如何抓取下层同一台交换机中设备与设备之间数据包传输？
另：在环网结构中，如果数据包不经过中心交换机，又如何抓取呢？

oldjiang · 发表于 2008-5-26 12:52:53

原帖由 叶落花飞 于 2008-5-26 12:46 发表
但如何抓取下层同一台交换机中设备与设备之间数据包传输？
另：在环网结构中，如果数据包不经过中心交换机，又如何抓取呢？

假设一个交换机上接有机器1、2、3，把他们的交换机端口都作为镜像的源端口，结合过滤器，就可以抓到他们之间的数据包传输。不过这样部署比较少见，2#的部署方法是最常用的。

[ 本帖最后由 oldjiang 于 2008-5-26 12:55 编辑 ]

叶落花飞 · 发表于 2008-5-26 13:13:57

还是上面的问题：
问题一：对于拓扑图1(双星)，如果存在“下层交换机”中内部的数据通讯，即不用转发到本交换机以外，那么接在中心交换机镜像端口中的分析系统如何抓取这些数据包？是不是说需要强制“下层交换机”将所有收发数据包都转发到中心交换机上？
问题二：对于拓扑图2(环网)，在本交换机内部就完成的通讯以及虽然通过其他交换机转发，但并没有流经中心交换机的数据包如何利用端口镜像捕获？
问题三：楼上的“2#的部署方法是最常用的”是什么意思？
谢了！

oldjiang · 发表于 2008-5-26 13:26:11

问题1：应该抓不到
问题2：在感兴趣的机器所接的交换机上做端口镜像，如果交换机支持RSPAN就更方便。
问题3：很难抓到局域网上所有的单播包，部署在核心交换机或者网络出口上，可以俘获比较多、尽量多的数据包，一般来说已经可以发现问题。
比如，把A交换机上接二级交换机的四个端口都做为镜像的源端口，则可以俘获所有跨交换机的包。

[ 本帖最后由 oldjiang 于 2008-5-26 13:41 编辑 ]

叶落花飞 · 发表于 2008-5-26 13:48:18

谢了！
我的应用和普通办公局域网有些不同，是在工业控制领域的以太网，大部分的数据是不流经网络出口的，之所以有这样的需求是因为除了中心交换机之外，其他大部分交换机所处的位置都是无人值守的(交换机之间采用光纤连接)，而交换机下所接的设备五花八门，各家都有，基本上是设备发送给设备的应用，也存在少量的从服务器下发的控制指令，有时候应用故障需要确定是哪家的设备出了问题，所以想通过抓包录像排查，否则一是故障几率非常小，可能许多天都不出一次，二是就算出了故障，各家设备厂商、交换机厂商、软件应用等互相扯皮，也没有排查依据，非常耗费精力和时间。

从零开始 · 发表于 2008-5-26 13:49:11

我的看法是：对于环网，它也是有一个总出口的，将该口镜像我认为应该可以；
但是这样的话，确实不能捕获主机内部之间的通讯，如果真的需要这种数据的话，我觉得只有在每个交换机都部署一套。

如何抓取局域网中的数据包？

本帖子中包含更多资源

回复 5# 的帖子

本帖子中包含更多资源