出于测试目的,我使用Open vswitch镜像来自2个接口eth1和eth2到eth3的流量 .
将eth1,eth2和eth3添加到桥中
我使用以下命令设置镜像:
ovs-vsctl -- set Bridge br0 mirrors=@m \
-- --id=@eth1 get Port eth1 \
-- --id=@eth2 get Port eth2 \
-- --id=@eth3 get Port eth3 \
-- --id=@m create Mirror name=e1e2toe3 select-dst-port=@eth1 select-src-port=@eth1 output-port=@eth3
具有tcpdump的节点连接到eth3 .
tcpdump仅显示第2层流量:连接到eth1和eth2的设备之间的ARP,CDP(连接到eth1和eth2的思科设备),但没有上层:ex:ping,ssh,telnet不可见 .
任何提示?
1 回答
确保您的接口设置为混杂模式,因为默认情况下,交换机将忽略发送给它们的流量,除非它们的端口设置为混杂模式:
资料来源:
http://www.tcpdump.org/faq.html#q6
https://askubuntu.com/questions/430355/configure-a-network-interface-into-promiscuous-mode
如果不这样做,假设您正在重播.pcap文件,请使用tcprewrite更改重播流量的目标MAC / IP地址 . (我想你可能只需改变其中一个,但我不记得哪个)
以下指南告诉您如何执行此操作:
http://xmodulo.com/how-to-capture-and-replay-network-traffic-on-linux.html