分类: 系统运维
2010-05-05 15:23:52
从到这家公司来第一天就开始对网络监控,本来一直用旁路监听方式对网络进行监控,不过效果很是差,而且对网络的影响也是很大的。今天5.1三天假之后就是青年节了,我们部门放了一天假,但是安排我来值班,一个人闲着没事,就想找个更好的方案对网络进行监控一下。用了一下午的时间,搞得差不多了,呵呵,先说一个公司网络的情况!
公司内网比较复杂,两根ADSL,一根光纤,而且是分了4个网段,其中两个网段分别连接了两个不同的机房服务器,另外两个网段供办公上网。技术部单走2网段,其他部门共用3网段,而且除了技术部,每个部门的头都用走光纤的网关。说这么一堆,估计很多人都晕了。不过这个没有关系,我们要监控的只是办公上网的网段,两上机房里的网络不在这个考虑范围之内。两个办公上网的网段分别是2、3网段,走同一个交换机上的不同vlan,我们的交换机是cisco的catalist2960,有24个以太网接口,其中fa0/1为trunk线,连接cisco路由,fa0/2 - 8为vlan2,连接2网段;fa0/9 - 16为vlan3,连接3网段。其他接口为一个默认的vlan,这里不管。下面开始了我的监控方案。
1.先查看交换机上的接口,找到两个不同vlan上空闲的接口用来连接监控主机,分别是fa0/8,fa0/16.
2.找来了一台闲置的兼容机,配置不是太高,闲置很久了,但是要给这台主机安装三个网卡,用途下面会知道。给这台主机安装一个全新的xp操作系统。
3.从网上找了一个监控软件“网路岗完美破解版”,安装在主机上,这个很好用,在这里也推荐一下,破解后可达888用户。
4.分别将两个网卡用双绞线连接交换机的fa0/8,fa0/16,并分别设置合适的IP。
5.配置交换机监控模式端口。telnet到交换机
#conf t
(config)#monitor session 2 destination interface fa0/8
(config)#monitor session 2 source interface fa0/2 - 7
(config)#monitor session 3 destination interface fa0/16 定义fa0/16为监控模式端口
(config)#monitor session 3 source interface fa0/9 - 15
(config)#exit
(config)#write 保存配置
#show run 查看最后一项,可看到已经为监控模式
6.在监控主机上打开网路岗,选择要监控的网卡,可以看到本网段中的所有主机的情况,本软件还有其他的选项,甚至可以看到别人在给谁发QQ信息,在查看哪个网页。
7.因为这台监控主机要直接连接在交换机上,而交换机一般都会放在机房中,机房噪声太大,我们不可能天天跑到机房中去监控,恰恰负责监控的网卡又不能够连网了,所以无法远程控制这台主机,这时候第三块网卡就有它的作用了,我把第三块网卡连接到另外一个能上网的端口上,这样我就能远程察看这台主机了。
8.此时配置就差不多了,如果想监控另一个网段可以远程连接到主机上把监控的网卡换一个就OK了。
9.看到谁下载了可以去警告他,也可以做一个自动报警机制,让他上不了网,他不来找我,我就知道他在下载了。
