昨天提到NTOP這個即時分析的軟體, 可以讓我們針對網路的封包進行分析

來產生圖表, 可以簡易的找出異常的電腦發出異常的封包, 但是安裝ntop的主

機必需是在 gateway 上, 所有的封包才會進到ntop進行分析.

那如果不是在gateway上的話呢?? 方法還是有的 ~~

1. 準備一台 HUB , 跟gateway裝在一起 ~~

2. 準備一台有 port mirror 功能的 switch.

那這邊簡單的分享一下 Cisco 2960 Switch 的 port mirror 設定的方法

案例 : gateway 在 port 21 我們要 mirror 所有 port 21 的封包到 port 22 ~

進到 switch configure mod ~
config# monitor session 1 source interface Fa0/21
config# monitor session 1 destination interface Fa0/22
回到 enable mode
# wr me

這樣就把 port mirror 設定好囉 !!

注意事項 : 這樣 port 22 的網卡就沒有作用囉 ~~ 只是接收mirror的封包 ~
它會ping不到別人, 別人也ping不到它喔 ~~