А если PBX далеко? А если нет циски?
Я просто все пакеты pcap захватываю микротиком или самим сервером и затем анализирую.
switch ( 2012-03-24 10:33:58 +0400 )редактироватьумный мальчик. вот только циско роутером стояло всего у ДВУХ клиентов за всю мою историю работы фрилансером. а вообще вполне хватает встроенного дебага и tcpdump. фильтры надо писать правильно просто.
meral ( 2012-03-24 11:07:13 +0400 )редактироватьА причем тут роутер? порты зеркалятся на коммутаторе, к тому же помимо циски это умеют делать любые коммутаторы L2, даже дешевые webview. встроенного дебага, согласен достаточно.
shakirov ( 2012-03-24 11:36:45 +0400 )редактироватьНе в этом дело. Просто вы наверно на работе обслуживаете астериск, а у нас с meral астериски все удаленные, и редиректить трафик некуда.
switch ( 2012-03-24 11:46:34 +0400 )редактироватьУ меня конечно же не так много удаленных астерисков, как у вас с meral, но тоже есть. И везде есть худобедно управляемые коммутаторы. Зеркалить порты в основном с панасами приходится. В остальном я более чем согласен что дебага и tcpdump c нормально составленными фильтрами достаточно. Просто если хочется реалтайма + wireshark то вариант с зеркалированием порта едиснтвенный. т.е. я не оспариваю ни чье мнение в данном посте, а предложил в коментах еще один вариант.
shakirov ( 2012-03-24 11:59:21 +0400 )редактироватьну я вам гворю реальную ситуацию. 97% проектов частные лица. никаких управляемых комутаторов нету. 3% компании, к комутаторам доступа нет. такчто вариант с зеркалированием это сильно екзотика.
meral ( 2012-03-24 13:18:04 +0400 )редактироватьвидимо в этом разгадка, я работаю строго с юрлицами и как правило по новым проектам куда можно поставить нормальное оборудование.
shakirov ( 2012-03-24 15:27:13 +0400 )редактироватьНу нафига лезть в укоммутатор и редиректить трафик на нем, когда можно преспокойно сделать pcap на самом астере??? Если уж редиректить, то на роутере, когда есть проблемы с голосом наружу. В общем спор бессмысленный и беспощадный...
switch ( 2012-03-24 15:44:30 +0400 )редактироватьswitch, о каком редиректе вы вообще говорите? нафига ковырять маршрутизатор то? Я же сказал что делается зеркалирование трафик с одного порта на другой и там в реальном времени можно смотреть любимым вайршарком. Это спор ради спора по моему.
shakirov ( 2012-03-24 15:47:48 +0400 )редактироватьбтлят. Зачем вообще используется вайршарк, в каких случаях?
switch ( 2012-03-24 15:50:02 +0400 )редактироватьну вот смотри шакиров. вот свич смотрит шарком сразу на астриске. а ты ждешь пока пакет с атсриска дойдет до свича, там делаешь редирект и потом с редиректа смотришь шарком. ну вот где логика в твоем случае? скучно чтоли?
meral ( 2012-03-24 15:53:33 +0400 )редактироватьmeral, switch, хватит уже позориться, какон к ебеням редирект? мироринг порта это полное зеркало, это блеат не форвард никакой, что из в одном порту то и в другом. Вам что аппаратные IP станции никогда отлаживать не приходилось? А адаптивные системы борьбы с DDoS-ами когда со всех серверов порты зеркалятся в административный на котором висит SNORT? PS: switch снимает tcpdump-ом pcap, тащит его себе домой и там смотрит шарком, тогда как я сижу и смотрю в реалтайме. вот где логика.
shakirov ( 2012-03-24 15:56:27 +0400 )редактироватьнет, не приходилось. И не надо тут позориться: аппаратных IP станций не существует в принципе.
switch ( 2012-03-24 15:58:09 +0400 )редактироватьдавайте занудствовать далье, чего уж там. аппаратных АТС уже впринципе не осталось, все программные в той или иной степени. давайте вспомним про какой-нибудь панас NCP, самснг, или про агат. давайте своим вайршарком и тисипидампом арудуйте, вперед.
shakirov ( 2012-03-24 16:01:59 +0400 )редактировать
Если есть возможность подключения поо ссх с пробросом иксов (-X или -Y), то удобнее запускать wireshark удаленно, а смотреть на своих иках локально.
pzhy ( 2012-03-24 14:28:22 +0400 )редактироватьПри включении сбора в файл (-w) опция -v избыточна, она определяет уровень детализации при выводе в stdout. Поэтому упрощу:
ro ( 2012-04-07 13:14:03 +0400 )редактироватьtcpdump -ni eth0 -s 0 port 5060 -w /tmp/capturefilename
tcpdump -ni eth0 -s 0 host 10.1.1.1 -w /tmp/capturefilename