Le Tue, Jul 28, 2015 at 02:58:45PM +0200, jehan procaccia INT [jehan.procac...@int-evry.fr] a écrit: > Le 28/07/2015 14:30, Dominique Rousseau a écrit : [...] > >>La MAC est donc *10:bd:18:e4:80:80 > >Mais ça, c'est (si j'ai bien compris) ce que tu captures *APRES* ton > >6500, qui doit effectuer du routage, et c'est donc son adresse MAC que > >tu vois. > > > >[...] > c'est ce que je capture en faisant un port mirroring (session > monitor en termes cisco) sur l'interface que je suspectais > donc pas vraiment "apres" mon 6500 , mais plutôt dedans .
Si c'est sur l'interface de sortie, vers ton ASR, c'est du "apres". > >Ce qu'il faudrait, c'est réussir à identifier la source *AVANT* le 6500. > oui, c'est bien ce que je recherche > > > >As-tu moyen de placer de quoi faire un tcpdump sur les "entrées" de ton > >6500 ? > avec 2 cartes 48 ports 1G et 1 carte 16 * 10G cela ne va pas etre > facile de faire du port mirroring sur chaque port ! [...] > avez vous une idée pour identifier l'interface source de mon 6500 > qui génère ce trafic. Vu le nombre de ports que tu indiques, il y'en a où ton 6500 fait du switching, et d'autres où il route, je suppose. Si tu te limites aux ports qui font du routage, ça te donne quoi ? -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
