Hace unas semanas estuve en un cliente trabajando con switches y Port-Mirroring para monitorizar tráfico de red desde un servidor Linux. La teoría es sencilla: Configurar un monitor-port en nuestro switch y configurar las bocas del switch que queremos monitorizar como mirroring-port al grupo de mirror.
El problema nos aparece cuando tenemos varias VLANes en nuestro switch y la electrónica sólo nos permite un monitor-port activo al mismo tiempo. ¿Qué se puede hacer en este caso? ... podemos usar un equipo Linux, conectado al switch en la boca configurada como monitor-port y además, configurar este puerto como trunk-port, con STP deshabilitado, y propagar por él las VLANes que nos interese monitorizar.
Con esto, la electrónica enviará a la tarjeta de red de nuestro equipo todos los paquetes que lleguen a cualquiera de las bocas del switch configuradas como mirroring-port, sólo que si hacemos un tcpdump, probablemente sólo veamos el tráfico que se corresponde a la VLAN por defecto, o en su defecto la nº1. Para ver el tráfico de otras VLANes necesitaremos:
- Instalar el paquete VLAN (en Debian).
aptget install vlan
- Configurar las VLANes a las que queremos tener acceso...
vconfig add eth1 1
...si ahora ejecutamos el comando
vconfig add eth1 5ip a, comprobaremos como nos ha creado una nueva interfaz de red. - Configurar una dirección IP editando el fichero /etc/networtk/interfaces y añadiendo las siguientes líneas:
auto vlan5
iface vlan5 inet static
address 192.168.4.101
netmask 255.255.255.0
vlan_raw_device eth1
La foto la he sacado del album de ivanx en flickr
1 comentario:
Tan solo apuntar que combinar VLANes con interfaces bonded funciona a las mil maravillas, suele ser una práctica bastante habitual (al menos por mi parte). Quizá te animes a escribir algo sobre esto.
Felicidades por el blog.
Publicar un comentario