Vraag - hoe ip verkeer loggen op switch (cisco, procurve) - Netwerken

maandag 1 februari 2016 17:32

Acties:

0 Henk 'm!

Topicstarter

Beste Netwerkprofs,

Ik zou graag op een Procurve 2910-AL en een Cisco WS-C3560E-24TD logging willen aanzetten zodat ik kan bijhouden welke poort en mac-adres er een bepaald ipadres gebruikt.

Voor deze situatie moet ik namelijk precies weten vanaf welke poort en het liefst ook mac-adres er verkeer plaatsvindt over dit specifieke ipadres.

Dit ipadres is soms aanwezig op een sourcepoort (komt van een van mijn servers) en gaat naar buiten toe.

Ik heb al even gezocht op het internet, maar kon hierover niet veel vinden(?).

Alvast bedankt!

Intel Core i7 950 - Asus Sabertooth X58 - Asus GTX690 - BenQ XL2420T | Wallpapers | Flash Games

maandag 1 februari 2016 18:25

Acties:

0 Henk 'm!

Thralas

eMKa schreef op maandag 01 februari 2016 @ 17:32:
Ik heb al even gezocht op het internet, maar kon hierover niet veel vinden(?).

Wat heb je wel gevonden, maar afgekeurd?

maandag 1 februari 2016 18:47

Acties:

0 Henk 'm!

eMKa

Topicstarter

Ik heb bijvoorbeeld gevonden hoe je een een lijst van mac-adressen die op het moment in gebruik zijn kan weergeven. Dat is een klein begin. Echter waar ik eigenlijk echt naar zoek, het bijhouden welke interface er laatst is gebruikt voor een bepaald ip, heb ik niet gevonden.

Helaas heb ik de gateway niet in handen, dit wordt door een andere partij beheerd. Anders zou ik wellicht daar kunnen traceren wie het er laatst dat ipadres heeft gehanteerd.

Intel Core i7 950 - Asus Sabertooth X58 - Asus GTX690 - BenQ XL2420T | Wallpapers | Flash Games

maandag 1 februari 2016 18:54

Acties:

0 Henk 'm!

Thralas

Kun je geen spanpoort maken en op een extern device loggen?

Ik ken je switches niet in detail, maar het lijkt me niet onwaarschijnlijk dat ze helemaal geen weet hebben van layer-3 zaken als IPs - daar zijn ze immers switch voor.

maandag 1 februari 2016 18:58

Acties:

0 Henk 'm!

eMKa

Topicstarter

Thralas schreef op maandag 01 februari 2016 @ 18:54:
Kun je geen spanpoort maken en op een extern device loggen?

Ik ken je switches niet in detail, maar het lijkt me niet onwaarschijnlijk dat ze helemaal geen weet hebben van layer-3 zaken als IPs - daar zijn ze immers switch voor.

Ik weet zo niet hoe je een poort naar een server moet gaan loggen. Maar dat zou wel een oplossing kunnen zijn aangezien alle uitgaande traffic via 1 poort loopt.

Het zijn beide layer-3 switches, daarom moet wat ik probeer wel mogelijk zijn lijkt me.

Intel Core i7 950 - Asus Sabertooth X58 - Asus GTX690 - BenQ XL2420T | Wallpapers | Flash Games

maandag 1 februari 2016 19:10

Acties:

0 Henk 'm!

Thralas

Een potentieel handigere optie (alleen Google suggereert dat de Cisco het mogelijk niet kan): heb je bekeken of je het met netflow (of de HP-equivalent - lijkt sFlow te heten) kunt bereiken?

Dan nog zul je het ongetwijfeld naar een host moeten sturen die het kan loggen.

Als er uiteindelijk geen betere oplossing blijkt te zijn: bij een gemirrorde poort zou ik aan de andere kant een machine met tcpdump hangen en de snaplen beperken zodat je alleen ethernet en IP headers opslaat.

maandag 1 februari 2016 19:22

Acties:

0 Henk 'm!

Bl@ckbird

Voor de 3560E heb je een SM services module als uplink module nodig om Netflow te doen. De HP doet sFlow, maar dit is sampled Netflow; eens in de zoveel IP Packers wordt er een Netflow packet naar een flowcollector gestuurd. (Hou hier dus rekening mee als je aan het troubleshooten bent.) Er zijn diverse flowcollectors, zoals SolarWinds. Makkelijkste is een laptopje inrichten om te sniffen met Wireshark. Maak op de switches spanpoorten aan / port mirroring aanzetten en filter op het verkeer wat je wil sniffen.

[ Voor 6% gewijzigd door Bl@ckbird op 01-02-2016 19:24 ]

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

maandag 1 februari 2016 23:21

Acties:

0 Henk 'm!

Kabouterplop01

chown -R me base:all

je kunt ook heel vies als het een laag 3 switch betreft een vrij ip adres uit jouw reeks pakken en dan maak je een vlan interface aan met het ip adres /subnetmask en dan kun je doen wat de L3 beheer aan de andere kant doet RARP
edit:
vergeet je vlan interface niet te "no shutten"

[ Voor 11% gewijzigd door Kabouterplop01 op 01-02-2016 23:23 ]

dinsdag 2 februari 2016 14:28

Acties:

0 Henk 'm!

eMKa

Topicstarter

Ik heb een paar nuttige tips hiertussen gevonden. Dank daarvoor. Ik ga nu even kijken wat ik hiermee kan bereiken.

De tip voor Wireshark lijkt me misschien nog wel het snelst en effectiefste. Kan ik daarvoor ook een Windows server hanteren met dual NIC's en daarvan dus 1x aansluiten op die port-mirror om daarmee Wireshark te feeden?

PS: ben niet thuis met Wireshark, vandaar.

Intel Core i7 950 - Asus Sabertooth X58 - Asus GTX690 - BenQ XL2420T | Wallpapers | Flash Games

dinsdag 2 februari 2016 17:32

Acties:

0 Henk 'm!

Thralas

eMKa schreef op dinsdag 02 februari 2016 @ 14:28:.
De tip voor Wireshark lijkt me misschien nog wel het snelst en effectiefste. Kan ik daarvoor ook een Windows server hanteren met dual NIC's en daarvan dus 1x aansluiten op die port-mirror om daarmee Wireshark te feeden?

Sure. Zie ook mijn opmerking over tcpdump mbt. snaplen (geldt ook voor Wireshark).