Ntop监控 – 主机可见，没有SPAN /镜像

你看到什么样的数据包？ 一般来说，我发现一个好的规模的networking将不可避免地会有很多广播喋喋不休。 像NetBios公告和ARP请求。 你不应该看到任何点到点的stream量。 查看源和目标IP / MAC地址。 如果您看到特定的点对点stream量，那么您的交换机可能存在configuration问题。

另外，最好在交换机的每个接入端口上spanning-tree port-fast转换spanning-tree port-fast ，因为这将防止在端口上/下端口时刷新mac-address表。 这通常是交换机泛洪分组的原因。

编辑：

您可以尝试更改MAC地址表老化时间：
http://www.cisco.com/en/US/docs/ios/12_3/switch/command/reference/swi_m1.html#wp1085773

该命令将是：
mac-address-table aging-time seconds

这将改变一个条目停留在切换表中的时间，从而允许它记住更长的地址并限制单播洪泛。

另一个命令是我上面提到的spanning-tree port-fast 。 您应该在不连接到其他交换机的每个接口上启用此function。 这将有两个好处：首先，它会加快插入新计算机的时间;其次，当它认为存在拓扑变化（生成树的特征）时，它也将保持交换机不刷新MAC表）。

我也使用NTOP，这就是你的情况。

注意：SPAN将在一个端口上监视A到B和B到A的stream量。 如果您拥有全双工2x 100 Mbit，则A和B之间的总stream量不能超过networking速度，在丢包发生之前达到100 Mbit。 这不应该是一个千兆交换机的问题。

在这个configuration中，嗅探器只捕获被淹没到所有端口的stream量，例如：

• 广播stream量

• 禁用CGMP或Internet组pipe理协议（IGMP）监听的组播stream量

• 未知的单播stream量

当交换机在其内容可寻址存储器（CAM）表中没有目的地MAC时，发生单播洪泛。 交换机不知道在哪里发送stream量。 交换机将数据包泛洪到目标VLAN中的所有端口。

如果你有一个非常大的局域网，然后检查你的大小mac桌子存储。 如果你溢出很多，那么你开关将开始洪水。

我已经看到这个问题，networking中有一个核心交换机被configuration为过滤二层组播数据包，导致许多接入交换机上的不完整的mac表。

如果您有物理访问交换机的权限，请将交换机的诊断切换到交通模式，您应该在每个端口上看到均匀的活动分配（显示的均匀stream量分配）。 如果有很多的同步，那么就会有很多洪水正在进行。 如果所有的开关都一样，那么你的mac表学习问题。