抱歉又來打擾大家了 ....先前我有遇到客戶端電腦有中毒導致
產生網路對外攻擊的行為 ...
目前有找出幾台中毒的電腦處理好了 ...
該單位的網路也乖乖的好一陣子 ...
但是為了避免以後又有類似的情況發生
我想去弄一台有支援 port mirror 的 switch
還有二手的主機裝了 CentOS 掛上 網路流量分析監控的玩意
想請問大家的是 現在架構如果是這樣子
客戶端分享器 Lan ------- 接到 8 port switch Lan 1 的位置 ----
8 port 的 Lan 3 的位置 --------------接到客戶一般便宜 16 port switch 上
16 port switch 接到客戶他們每個人的電腦上 .....
我的 CentOS 用來做流量分析 的電腦 -------接到 8 port switch Lan 2
我現在做 port mirror
Source port --- Lan 3
Destination port --- Lan 2
這樣應該沒錯吧 ??
那 Lan 1 呢 ?
我需要把 Lan 1 也 mirror 到 Lan 2 嗎 ?
有上網查了一下 , 大家都是高手 , 只有討論 port mirror 怎麼設定
還有一個問題是
如果 port mirror 到 Lan 2 之後
該台電腦還能上網 , 瀏覽網頁之類的嗎 ..
有看到部分 Cisco Switch 好像做了 port mirror 之後
該 port 就只能做流量分析 '網路上其他電腦也看不到流量分析這台電腦的說法
感謝大家的幫忙
--
All Comments