Panabit Support Board!

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 3606|回复: 4

NTM威胁情报问题

[复制链接]
发表于 2022-7-4 14:02:19 | 显示全部楼层 |阅读模式
1. 我内网有台DNS服务器10.10.1.11, 内网DHCP给IP的时候dns分配到10.10.1.11
2. 我把内网接防火墙的端口在核心交换机上做了mirror到NTM igb0网口后识别到了很多10.10.1.11对外dns查询威胁域名的情报, 但无法发现是哪个内网ip通过10.10.1.11在查询;
01.jpg
3. 我再把10.10.1.11的端口在交换机上mirror給NTM的igb2网口,但NTM还是无法看到这些dns请求源自哪个内网IP,
02.jpg
请教下是哪里设置的不对么?
我想分开看这二个mirror ( NTM igb0/igb2)的流量/威胁状况, 我把这二个mirror分别 链路捆绑 到 链路组1 和链路组2(如上图), 但还是只能看到总体的......请教下改如何做?
谢谢~




发表于 2022-7-4 16:21:03 | 显示全部楼层
要看具体拓扑图,因为您内网请求到DNS服务器的流量,防火墙上没有,防火墙只收到了DNS服务器向外递归请求的流量防火墙没收到自然NTM上也不会有,需要用户请求到DNS服务器这段的流量mirror到NTM.
 楼主| 发表于 2022-7-5 14:50:45 | 显示全部楼层
sking9988 发表于 2022-7-4 16:21
要看具体拓扑图,因为您内网请求到DNS服务器的流量,防火墙上没有,防火墙只收到了DNS服务器向外递归请求的 ...

嗯嗯,再咨询下:

我想分开看这二个mirror ( NTM igb0/igb2)的流量/威胁状况, 我把这二个mirror分别 链路捆绑 到 链路组1 和链路组2(如上图), 但还是只能看到总体的......请教下改如何做?
发表于 2022-7-20 16:02:36 | 显示全部楼层
adehmily 发表于 2022-7-5 14:50
嗯嗯,再咨询下:

我想分开看这二个mirror ( NTM igb0/igb2)的流量/威胁状况, 我把这二个mirror分别 链 ...

这里的链路捆绑指的是链路聚合 也就是ETH-TRUNK,静态链路捆绑。需要两张网卡捆绑到一个组,你需求分别向看 镜像过来口的数据和这个没有直接联系。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|北京派网软件有限公司 ( ICP备案序号:京ICP备14008283号 )

GMT+8, 2024-11-21 21:17 , Processed in 0.097534 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表