8
Port Mirroring
Hallo,
an dem Ziel Port sollten doch eigentlich kein Netzwerkverkehr stattfinden, wenn das Patchkabel des zu beobachtenden
Clients ausgesteckt wird!
Mit Wireshark zeichne ich da zwar weniger aber dennoch alle möglichen Protokolle auf.
Das beobachte ich gerad an einem Aruba 2930F habe aber noch ein paar andere Switches unter Beobachtung, bei denen ich jetzt
genau das gleiche Vermute.
Woran liegt das?
an dem Ziel Port sollten doch eigentlich kein Netzwerkverkehr stattfinden, wenn das Patchkabel des zu beobachtenden
Clients ausgesteckt wird!
Mit Wireshark zeichne ich da zwar weniger aber dennoch alle möglichen Protokolle auf.
Das beobachte ich gerad an einem Aruba 2930F habe aber noch ein paar andere Switches unter Beobachtung, bei denen ich jetzt
genau das gleiche Vermute.
Woran liegt das?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2498045762
Url: https://administrator.de/contentid/2498045762
Ausgedruckt am: 23.11.2024 um 21:11 Uhr
8 Kommentare
Neuester Kommentar
Sind das ggf. alles reine Broad- und Multicast Frames die der Switch zwangsweise forwarden muss ?
Leider bist du sehr spartanisch und damit wenig hilfreich mit der Aussage WAS du denn dort noch siehst...
Leider bist du sehr spartanisch und damit wenig hilfreich mit der Aussage WAS du denn dort noch siehst...
Ich kenne den Aruba nicht, jedoch sagt mein Verständnis, dass Mirroring in beide Richtungen geht. Also, nicht nur, was bei Port A ankommt, wird zu Port B gemirrort, sondern auch, was Port B abbekommt, wird zu Port A gemirrort. Somit gibt es auch einen ganz normalen (Broadcast-) Verkehr auf Port B.
da finden sich Protokolle wie ARP,SSDP,DNS,IGMPv3 und eben diese Broadcasts
aber auch TCP Pakete vom angeschlossenen FritzBox Netz (192.168.178..) und öffentliche IP Addressen.
Aber zugegeben nichts von dem zu beobachtenden Class C Netzwerk 192.168.2.*
aber auch TCP Pakete vom angeschlossenen FritzBox Netz (192.168.178..) und öffentliche IP Addressen.
Aber zugegeben nichts von dem zu beobachtenden Class C Netzwerk 192.168.2.*
Aber zugegeben nichts von dem zu beobachtenden Class C Netzwerk 192.168.2.*
Erstmal scheinst du noch in der Netzwerk Steinzeit zu leben. Netzwerk Klassen gibt es seit über 25 Jahren nicht mehr und sind längst Geschichte...https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Zurück zum Thema...
Einmal sagst du dein Source Netzwerk ist .178.0 /24 und dann .2.0 /24 was etwas verwirrend ist.
Um genau zu verstehen WAS du messen willst und als Anzeige erwartest, müsstest du einmal erläutern wie dein IP Design aussieht.
Rät man jetzt einmal frei drauflos, sieht es so aus als ob der Switch und auch der Client am zu messenden Port in einem .178.0 /24 IP Netz ist und mit einem remoten oder geroutetem Zielnetz .2.0 /24 kommuniziert. Ist dem so ?
Dann sollte die Aruba Gurke am Spiegelport, der den Client Port spiegelt, auch diese Frames anzeigen. Zusätzlich zeigt er natürlich auch die Broad- und Multicast Frames des Clients und des Netzes an die der Switch zwangsweise forwarden muss.
Bei besseren Switches kannst du die Richtung der Frames vorgeben mit "in, out, both" also ob du nur inbound, outbound oder bidirektional sehen willst das da passiert.
Zu all dem machst du weiterhin sehr weinig oder nur sehr oberflächliche Angaben die eine zielführende Antwort nicht gerade einfach machen.
Verifiziere doch mal über die MAC-Adressen der Pakete, wo der Traffic her kommt — der könnte nämlich auch ganz simpel von der Maschine, auf der du Wireshark laufen lässt, selbst kommen.
Richtig !
Den sollte man natürlich intelligenterweise mit !ether host 00:22:FA:12:34:56 mit der Mac Adresse ("00:22:FA:12:34:56" mit eigener ersetzen) des Wireshark Rechners im Mitschnittfilter (Capture Filter) VORHER wegfiltern.
Den sollte man natürlich intelligenterweise mit !ether host 00:22:FA:12:34:56 mit der Mac Adresse ("00:22:FA:12:34:56" mit eigener ersetzen) des Wireshark Rechners im Mitschnittfilter (Capture Filter) VORHER wegfiltern.
Hallo zusammen,
über den mirrored Port den man auch monitoring port nennt, wird der gesamte Netzwerkverkehr des
Switches einmal "kopiert" oder besser gespiegelt, will man nun einen einzigen Klienten beobachten
muss man bzw. sollte man nur die IP Adresse herausfiltern und genauso verhält es sich mit den
verwendeten Protokollen.
Dobby
über den mirrored Port den man auch monitoring port nennt, wird der gesamte Netzwerkverkehr des
Switches einmal "kopiert" oder besser gespiegelt, will man nun einen einzigen Klienten beobachten
muss man bzw. sollte man nur die IP Adresse herausfiltern und genauso verhält es sich mit den
verwendeten Protokollen.
Dobby
Uhhh... @108012 , das stimmt aber so nicht ganz. Lies dir mal die Manuals der einschlägigen Switches dazu durch zum Thema SPAN oder RSPAN Port.
Der Mirror Port spiegelt einzig nur Traffic eines Monitoring Ports. Und nur die IP würde ja auch nix nützen denn oft willst du ARP, ICMP und den ganzen anderen non IP L2 Overhead auch nicht sehen.
Sehr hilfreich zu dem Thema ist auch das hier:
https://www.heise.de/select/ct/2020/4/2000808565231407370
Der Mirror Port spiegelt einzig nur Traffic eines Monitoring Ports. Und nur die IP würde ja auch nix nützen denn oft willst du ARP, ICMP und den ganzen anderen non IP L2 Overhead auch nicht sehen.
Sehr hilfreich zu dem Thema ist auch das hier:
https://www.heise.de/select/ct/2020/4/2000808565231407370
