15
Port Mirroring mit Wireshark
Hallo liebe Administratoren,
kurze Frage bzw. kurzer Hilfegesuch:
Wir haben aktuell das Problem, dass bei uns oft die Internetbandbreite voll ausgelastet ist und deshalb Surfen für die Mitarbeiter oder Downloads für die Admins zur Qual wird.
Die max. Internetbandbreite ist momentan noch sehr gering, wird aber demnächst "aufgebohrt".
Da unsere Firewall (Endian, wird auch bald gegen ein neues Modell getauscht) nur ein begrenztes Monitoring liefert und man durch den Proxy im Monitoring keine Aussage über
Hostspezifischen Traffic stellen kann, möchte ich mit Wireshark arbeiten. Sweit so gut bzw. schlecht.
Firewall hängt an einem HP Procurve 2650 auf Port 1 (Keine Vlans vorhanden)
Mein Laptop hängt an Port 30.
Hier die Konfig vom Switch:
Switch_VT1_3(config)# sh monitor
Network Monitoring Port
Mirror Port: 30
Monitoring sources
------------------
1
Wenn ich mit Wireshark einen Capture starte, zeigt er mir leider nur Traffic von meinem PC zur Firewall an, obwohl keine Filter gesetzt sind. Promiscuous Mode ist auf dem Interfcace angehakt.
Wenn ich das richtig verstanden habe, sollte doch auf dem Wireshark Capture der ganze Trafic mit Destination "Firewall-IP" und diversen Source-IPs gelistet werden.
Habe ich hier was falsch verstanden, oder was mache ich falsch?
Wenn Wireshark funktioniert, kann er mir eine Analyse anzeigen, mit der man sieht, welche Hosts z.B. mit X Traffic in MBit/s die Bandbreite auslasten?
Schonmal vielen Dank für etwaige Hilfe
LG
kurze Frage bzw. kurzer Hilfegesuch:
Wir haben aktuell das Problem, dass bei uns oft die Internetbandbreite voll ausgelastet ist und deshalb Surfen für die Mitarbeiter oder Downloads für die Admins zur Qual wird.
Die max. Internetbandbreite ist momentan noch sehr gering, wird aber demnächst "aufgebohrt".
Da unsere Firewall (Endian, wird auch bald gegen ein neues Modell getauscht) nur ein begrenztes Monitoring liefert und man durch den Proxy im Monitoring keine Aussage über
Hostspezifischen Traffic stellen kann, möchte ich mit Wireshark arbeiten. Sweit so gut bzw. schlecht.
Firewall hängt an einem HP Procurve 2650 auf Port 1 (Keine Vlans vorhanden)
Mein Laptop hängt an Port 30.
Hier die Konfig vom Switch:
Switch_VT1_3(config)# sh monitor
Network Monitoring Port
Mirror Port: 30
Monitoring sources
------------------
1
Wenn ich mit Wireshark einen Capture starte, zeigt er mir leider nur Traffic von meinem PC zur Firewall an, obwohl keine Filter gesetzt sind. Promiscuous Mode ist auf dem Interfcace angehakt.
Wenn ich das richtig verstanden habe, sollte doch auf dem Wireshark Capture der ganze Trafic mit Destination "Firewall-IP" und diversen Source-IPs gelistet werden.
Habe ich hier was falsch verstanden, oder was mache ich falsch?
Wenn Wireshark funktioniert, kann er mir eine Analyse anzeigen, mit der man sieht, welche Hosts z.B. mit X Traffic in MBit/s die Bandbreite auslasten?
Schonmal vielen Dank für etwaige Hilfe
LG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 323889
Url: https://administrator.de/contentid/323889
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
15 Kommentare
Neuester Kommentar
Hallo,
gab gestern schon ein Post mit selber Thematic.
Ntop auf einem Rechner auf den der Routerport gespiegelt wird.
Gruß
Chonta
gab gestern schon ein Post mit selber Thematic.
Ntop auf einem Rechner auf den der Routerport gespiegelt wird.
Gruß
Chonta
Hallo,
schaffen sein, oder?
SquidGuard & SARG genau ansehen wer wie viel und wann verbraucht! Man könnte aber auch
dafür sorgen dass man "nur" einen Squid Proxy in der DMZ betreibt durch den dann alles läuft
und dort kann man sich dann auch mittels User Anmeldung oder AD Integration das ganze
wasserfest aufsetzen.
Gruß
Dobby
Wir haben aktuell das Problem, dass bei uns oft die Internetbandbreite voll ausgelastet ist
und deshalb Surfen für die Mitarbeiter oder Downloads für die Admins zur Qual wird.
VLANs und QoS oder gar mit einem MikroTik Router "traffic shaping" sollte das schon zuund deshalb Surfen für die Mitarbeiter oder Downloads für die Admins zur Qual wird.
schaffen sein, oder?
Die max. Internetbandbreite ist momentan noch sehr gering, wird aber demnächst "aufgebohrt".
Was heißt das genau? 1 MBit/s für 6000 Mitarbeiter und demnächst kommen noch 2 MBit/dazu!?Da unsere Firewall (Endian, wird auch bald gegen ein neues Modell getauscht) nur ein
begrenztes Monitoring liefert und man durch den Proxy im Monitoring keine Aussage über
Hostspezifischen Traffic stellen kann, möchte ich mit Wireshark arbeiten.
Kann man natürlich machen nur man kann auch eine pfSense aufsetzen und mittels Squid &begrenztes Monitoring liefert und man durch den Proxy im Monitoring keine Aussage über
Hostspezifischen Traffic stellen kann, möchte ich mit Wireshark arbeiten.
SquidGuard & SARG genau ansehen wer wie viel und wann verbraucht! Man könnte aber auch
dafür sorgen dass man "nur" einen Squid Proxy in der DMZ betreibt durch den dann alles läuft
und dort kann man sich dann auch mittels User Anmeldung oder AD Integration das ganze
wasserfest aufsetzen.
Sweit so gut bzw. schlecht.
VLANs und QoS sind eben so wie traffic shaping keine großen Geheimtipps mehr.Gruß
Dobby
Hallo,
Aus diesen Gründen hatte ich gehofft, dass ich dem Fehler mit kleinem Aufwand auf die Spur komme
LG
Was heißt das genau? 1 MBit/s für 6000 Mitarbeiter und demnächst kommen noch 2 MBit/dazu!?
Dachte nicht, dass das relevant ist. Fakt ist, die Leitung ist dicht! Wie klein die "Leitung" dimensioniert ist halte ich hier für irrelevant. Dennoch die Info, dass wir aktuell eine 2,5 MBit/s-Verbindung haben, die auf 10MBit für ca. 250 User aufgestockt wird (Ist immer noch kein Luxus, aber geht aufgrund von bestimmten Rahmenbedingungen und Internas eben nicht anders)Kann man natürlich machen nur man kann auch eine pfSense aufsetzen und mittels Squid &
SquidGuard & SARG genau ansehen wer wie viel und wann verbraucht! Man könnte aber auch
dafür sorgen dass man "nur" einen Squid Proxy in der DMZ betreibt durch den dann alles läuft
und dort kann man sich dann auch mittels User Anmeldung oder AD Integration das ganze
wasserfest aufsetzen.
SquidGuard & SARG genau ansehen wer wie viel und wann verbraucht! Man könnte aber auch
dafür sorgen dass man "nur" einen Squid Proxy in der DMZ betreibt durch den dann alles läuft
und dort kann man sich dann auch mittels User Anmeldung oder AD Integration das ganze
wasserfest aufsetzen.
VLANs und QoS sind eben so wie traffic shaping keine großen Geheimtipps mehr.
Wir wollten so wenig wie möglich jetzt noch Umstrukturierungen am Netzwerk vornehmen, weil wir bald das komplette Netzwerk erneuern und austauschen. Hinzu kommen sehr knapp bemessene Mitarbeiterressourcen da wir aktuell in unzähligen anderen Projekten zugange sind. Diese von dir bereits genannten Tipps werden so, oder so ähnlich bei dem neuen Design sowieso umgesetzt.Aus diesen Gründen hatte ich gehofft, dass ich dem Fehler mit kleinem Aufwand auf die Spur komme
LG
2,5 MBit
Ist nicht viel, und können schon von einem aktiven Mailserver komplet aufgebraucht werden und das bei normaler Nutzung.QoS und Bandbreitenbegrenzung auf Seite des Defaultgateways ist das einzige wie ihr gegensteuern könnt.
Weil damit könnt ihr ggf. für bestimmte Stationen/Server eine Bandbreite reservieren oder priorisieren.
Gruß
Chonta
Da hast du Recht!
Mit QoS und Bandbreitenbegrenzung wollte ich auch schon schauen. Danke trotzdem für den Hinweis.
Generell wäre es für mich eben auch interessant, wie man solche Dinge in Zukunft (auch mit modernem Netzwerkdesignt etc) auf Fehler überprüfen kann. Deswegen die Idee auch mit Wireshark und Port Mirroring.
Ich such dann mal noch nach dem gestrigen Thread, den du erwähntest (hab vor dem erstellen des Threads diesen leider nicht gefunden). Wenn darin die selbe Thematik besprochen wird, ist es ja perfekt.
Danke und LG
Mit QoS und Bandbreitenbegrenzung wollte ich auch schon schauen. Danke trotzdem für den Hinweis.
Generell wäre es für mich eben auch interessant, wie man solche Dinge in Zukunft (auch mit modernem Netzwerkdesignt etc) auf Fehler überprüfen kann. Deswegen die Idee auch mit Wireshark und Port Mirroring.
Ich such dann mal noch nach dem gestrigen Thread, den du erwähntest (hab vor dem erstellen des Threads diesen leider nicht gefunden). Wenn darin die selbe Thematik besprochen wird, ist es ja perfekt.
Danke und LG
Sowas muss ggf. vom Betriebsrat abgesegnet werden/ Datenschutz spielt auch eine Rolle.
Private Nutzung vom internet am besten verbieten.
Portmiroring für den Port der zum Router geht und dann ein Ntopserver aufstellen.
Damit wird dan der gesamte eingehende und ausgehende Trafik protokoliert. Sehr hilfreich!
Aber der ntopserver sollte ein eigener Hardwareserver sien und auch RAM, CPU und schnelle (und große) Platten haben.
Gruß
Chonta
Private Nutzung vom internet am besten verbieten.
Portmiroring für den Port der zum Router geht und dann ein Ntopserver aufstellen.
Damit wird dan der gesamte eingehende und ausgehende Trafik protokoliert. Sehr hilfreich!
Aber der ntopserver sollte ein eigener Hardwareserver sien und auch RAM, CPU und schnelle (und große) Platten haben.
Gruß
Chonta
Vielen Dank euch nochmal für die Tipps und Hinweise. Nur leider weiß ich noch nicht, warum das Mirroring nicht funktionierte. Liegts am Wireshark? Weil dann bringt mir ntop ja auch nichts, wenns doch am Mirroring liegt.
LG
LG
Wenn ich mit Wireshark einen Capture starte, zeigt er mir leider nur Traffic von meinem PC zur Firewall an
Klar denn deinen Mirror Port Konfig ist falsch bzw. fehlerhaft !!!Du musst dem Switch...:
- a. sagen WELCHEN Port er mirrorn soll
- b. sagen ob er das inbound, outbound oder bidirektional machen soll
- c. sagen auf welchen Port er diese gemirrorten Daten schicken soil
Wie du selber siehst fehlt mindestens 2/3 der Konfiguration und da ist es logisch das das auch bei billigen HP Gurken in die Hose geht !
Also Handbuch...lesen unter "Port Mirroring" und es richtig konfigurieren, dann zeigt der Wireshark auch genau das an was er soll
Liegts am Wireshark?
Nein ! Niemals !Das Handbuch hast du gelesen ?? Da du eine 2650er Gurke hast gilt das hier::
However, the 2650 and 2650-PWR require that the “mirror port” be within the same grouping as the monitored ports. On the 2650/2650-PWR switches, ports are grouped as follows: 1-24 + 49, and 25-48 + 50. These groupings represent the connections of ports to NetSwitch ASICs within the models.
(Offenbart auch gleich die schrottige interne ASIC Struktur dieser gruseligen Switches !)
Das bedeutet also das dein Monitor Port zwingend in der gleichen Portgruppe sein muss wie der zu monitorenden Port !!
Du kannst also NICHT jeden x-beliebigen Port nehmen für den Wireshark Port !
Hast du das bedacht ??
Wenn dein Laptop mit dem Wireshark also an Port 30 hängt dann darf der zu monitorende Port mit der Firewall nur im Portbereich 25 bis 48 liegen.
Das Kommando:
ProCurve(config)# show monitor
Zeigt dir ob das Monitoriung aktiv ist !
Unter Network Monitoring Port steht dann z.B.
Mirror Port 30 <--- Das ist der Port wo dein Wireshark drauf muss
Unter Monitor Sources listet er die Ports auf deren Daten auf den Mirror Port geschickt werden. Dieser Port ist also der Port deiner Firewall ! Der dann in der Port Range 25-48 liegen muss.
Siehe auch:
http://h20565.www2.hpe.com/hpsc/doc/public/display?sp4ts.oid=329892& ...
Seite B26 ff.
Hallo,
lamentieren wie man das am besten in den Griff bekommt. Nur daher die Frage von dazu! War nicht böse gemeint.
Wofür nutzen denn die Mitarbeiter das Internet? (Mailen & Surfen, oder gar YouTube, Skype und Spiele bis hin zu BYOD und Privatem)
2,5 MBit/s : 250 User = x und dann kommen noch die Sachen der Admins oben drauf, da ist es schon gut zu wissen ob
dort nur Webseiten besucht werden und/oder gemailt wird oder ob da jeder machen kann was er will und mit nur einer
YouTube Verbindung den ganzen Laden lahmlegt.
QoS Möglichkeiten bieten. Und nicht nur alles die Firewall oder den Router machen lassen. Ebenso wäre ein Router der
Firma MikroTik recht nett mit dem man dann Queues konfigurieren kann und dann wird jeder Queue eine Bandbreite
zugewiesen die sich dann alle gerecht Teilen!
wie VDSL 100 und eine grundsolide 10/10 synchrone mit fester IP Adresse von der Telekom! Wenn das nicht so umsetzbar
ist, weil vor Ort nichts schnelleres vorhanden ist dann eben nur eine 10/10 oder gar 20/20 synchrone Leitung die dann auch
gerecht aufgeteilt wird.
Eine 2 MB Leitung kann mit 250 KB pro Sekunde laden und dann braucht eine moderne Webseite ungefähr 8 bis 10 Sekunden
bis sie geladen ist, das mag gerade noch so laufen, nur wenn dann auch noch 250 Mitarbeiter vorhanden sind dann wird es
eben auch eng. Und mehr wird man mit dem WireShark auch nicht heraus finden.
Mirrored Port auf den Port des Laptops legen und dort mittels WireShark http, SMTP, iMAP und anderen Verkehr heraus filtern
um zu sehen was dort alles abgeht oder gar ganz ohne Filter alles mitschneiden um zu sehen wer oder was dort Ressourcen
verbraucht. Aber der Betriebsrat muss bzw. sollte auch mit im Boot sitzen sonst kann das auch ganz schnell nach hinten los
gehen.
Gruß
Dobby
: Hinweis : Hierbei handelt es sich um einen lockeren Erfahrungsaustausch unter Forumsteilnehmern und nicht um eine Rechtsberatung bzw, eine Sach- und Fachberatung im IT oder EDV Bereich.
Dachte nicht, dass das relevant ist.
4 MBit/s bei 1000 Mitarbeitern und BYOD ist auch noch erlaubt, da brauchen wir dann aber beide hier nicht weiter drüberlamentieren wie man das am besten in den Griff bekommt. Nur daher die Frage von dazu! War nicht böse gemeint.
Fakt ist, die Leitung ist dicht!
Wie viele Server und andere Geräte gehen denn permanent oder gar periodisch in Internet? (Mail, FTP, DB, Web,....)Wofür nutzen denn die Mitarbeiter das Internet? (Mailen & Surfen, oder gar YouTube, Skype und Spiele bis hin zu BYOD und Privatem)
Wie klein die "Leitung" dimensioniert ist halte ich hier für irrelevant.
1 MBit/s für 100.000 Mitarbeiter die alle mailen und surfen kann nicht vernünftig aufgeteilt werden!Dennoch die Info, dass wir aktuell eine 2,5 MBit/s-Verbindung haben, die auf 10MBit für ca. 250 User aufgestockt wird
(Ist immer noch kein Luxus, aber geht aufgrund von bestimmten Rahmenbedingungen und Internas eben nicht anders)
Luxus und die Umstände sind erst einmal völlig latte, nur ob eine sinnige Aufteilung überhaupt erst möglich ist.(Ist immer noch kein Luxus, aber geht aufgrund von bestimmten Rahmenbedingungen und Internas eben nicht anders)
2,5 MBit/s : 250 User = x und dann kommen noch die Sachen der Admins oben drauf, da ist es schon gut zu wissen ob
dort nur Webseiten besucht werden und/oder gemailt wird oder ob da jeder machen kann was er will und mit nur einer
YouTube Verbindung den ganzen Laden lahmlegt.
Wir wollten so wenig wie möglich jetzt noch Umstrukturierungen am Netzwerk vornehmen, weil wir bald das komplette
Netzwerk erneuern und austauschen.
Dann einfach auf Switche achten die Layer3 und stapelbar sind und die VLANs dann auch selber routen können bzw. guteNetzwerk erneuern und austauschen.
QoS Möglichkeiten bieten. Und nicht nur alles die Firewall oder den Router machen lassen. Ebenso wäre ein Router der
Firma MikroTik recht nett mit dem man dann Queues konfigurieren kann und dann wird jeder Queue eine Bandbreite
zugewiesen die sich dann alle gerecht Teilen!
Aus diesen Gründen hatte ich gehofft, dass ich dem Fehler mit kleinem Aufwand auf die Spur komme
Mein Tipp wäre wenn es schon eine neue Internetverbindung sein soll dann entweder eine schnelle Consumer Anbindungwie VDSL 100 und eine grundsolide 10/10 synchrone mit fester IP Adresse von der Telekom! Wenn das nicht so umsetzbar
ist, weil vor Ort nichts schnelleres vorhanden ist dann eben nur eine 10/10 oder gar 20/20 synchrone Leitung die dann auch
gerecht aufgeteilt wird.
Eine 2 MB Leitung kann mit 250 KB pro Sekunde laden und dann braucht eine moderne Webseite ungefähr 8 bis 10 Sekunden
bis sie geladen ist, das mag gerade noch so laufen, nur wenn dann auch noch 250 Mitarbeiter vorhanden sind dann wird es
eben auch eng. Und mehr wird man mit dem WireShark auch nicht heraus finden.
Mirrored Port auf den Port des Laptops legen und dort mittels WireShark http, SMTP, iMAP und anderen Verkehr heraus filtern
um zu sehen was dort alles abgeht oder gar ganz ohne Filter alles mitschneiden um zu sehen wer oder was dort Ressourcen
verbraucht. Aber der Betriebsrat muss bzw. sollte auch mit im Boot sitzen sonst kann das auch ganz schnell nach hinten los
gehen.
Gruß
Dobby
: Hinweis : Hierbei handelt es sich um einen lockeren Erfahrungsaustausch unter Forumsteilnehmern und nicht um eine Rechtsberatung bzw, eine Sach- und Fachberatung im IT oder EDV Bereich.
Hallo ihr beiden,
@aqui
Hab in meiner Frage schlecht formatiert. Da habe ich das ja so geschrieben. Nur habe ich nicht beachtet, dass Mirror Port und Monitoring Port auf der selben "Port-Range" liegen müssen. Da wird der Hund ja schon begraben liegen! Schon mal vielen Dank dazu!
@108012
Ich war lediglich verwundert^^
Das mit der extra Consumer Anbindung ist natürlich eine gute Idee. Sobald VDSL verfügbar ist, werde ich den Vorschlag machen.
OK, werde ich mit Rücksprache des BRs so machen.
Somit wäre das Thema erledigt. Vielen Dank euch dreien für die - wie immer in diesem Forum - schnelle und kompetente Hilfe
Euchn schönes We!
LG
Niko
@aqui
Das Handbuch hast du gelesen ?? Da du eine 2650er Gurke hast gilt das hier::
However, the 2650 and 2650-PWR require that the “mirror port” be within the same grouping as the monitored ports. On the 2650/2650-PWR
switches, ports are grouped as follows: 1-24 + 49, and 25-48 + 50. These groupings represent the connections of ports to NetSwitch ASICs within
the models.
(Offenbart auch gleich die schrottige interne ASIC Struktur dieser gruseligen Switches !)
However, the 2650 and 2650-PWR require that the “mirror port” be within the same grouping as the monitored ports. On the 2650/2650-PWR
switches, ports are grouped as follows: 1-24 + 49, and 25-48 + 50. These groupings represent the connections of ports to NetSwitch ASICs within
the models.
(Offenbart auch gleich die schrottige interne ASIC Struktur dieser gruseligen Switches !)
ProCurve(config)# show monitor
Zeigt dir ob das Monitoriung aktiv ist !
Unter Network Monitoring Port steht dann z.B.
Mirror Port 30 <--- Das ist der Port wo dein Wireshark drauf muss
Unter Monitor Sources listet er die Ports auf deren Daten auf den Mirror Port geschickt werden. Dieser Port ist also der Port deiner Firewall ! Der
dann in der Port Range 25-48 liegen muss.
Zeigt dir ob das Monitoriung aktiv ist !
Unter Network Monitoring Port steht dann z.B.
Mirror Port 30 <--- Das ist der Port wo dein Wireshark drauf muss
Unter Monitor Sources listet er die Ports auf deren Daten auf den Mirror Port geschickt werden. Dieser Port ist also der Port deiner Firewall ! Der
dann in der Port Range 25-48 liegen muss.
Hab in meiner Frage schlecht formatiert. Da habe ich das ja so geschrieben. Nur habe ich nicht beachtet, dass Mirror Port und Monitoring Port auf der selben "Port-Range" liegen müssen. Da wird der Hund ja schon begraben liegen! Schon mal vielen Dank dazu!
@108012
4 MBit/s bei 1000 Mitarbeitern und BYOD ist auch noch erlaubt, da brauchen wir dann aber beide hier nicht weiter drüber
lamentieren wie man das am besten in den Griff bekommt. Nur daher die Frage von dazu! War nicht böse gemeint.
Habe ich auch nicht so aufgefasst lamentieren wie man das am besten in den Griff bekommt. Nur daher die Frage von dazu! War nicht böse gemeint.
Ich war lediglich verwundert^^Dann einfach auf Switche achten die Layer3 und stapelbar sind und die VLANs dann auch selber routen können bzw. gute
QoS Möglichkeiten bieten. Und nicht nur alles die Firewall oder den Router machen lassen. Ebenso wäre ein Router der
Firma MikroTik recht nett mit dem man dann Queues konfigurieren kann und dann wird jeder Queue eine Bandbreite
zugewiesen die sich dann alle gerecht Teilen!
Ist so im großen auch geplant.QoS Möglichkeiten bieten. Und nicht nur alles die Firewall oder den Router machen lassen. Ebenso wäre ein Router der
Firma MikroTik recht nett mit dem man dann Queues konfigurieren kann und dann wird jeder Queue eine Bandbreite
zugewiesen die sich dann alle gerecht Teilen!
Mein Tipp wäre wenn es schon eine neue Internetverbindung sein soll dann entweder eine schnelle Consumer Anbindung
wie VDSL 100 und eine grundsolide 10/10 synchrone mit fester IP Adresse von der Telekom! Wenn das nicht so umsetzbar
ist, weil vor Ort nichts schnelleres vorhanden ist dann eben nur eine 10/10 oder gar 20/20 synchrone Leitung die dann auch
gerecht aufgeteilt wird.
VDSL ist leider aktuell nicht verfügbar. Wir sind da aber dran. Aus diesem Grund müssen wir uns erst mal mit einer 10MBit/s-Leitung synchron vergnügen (Ist auch das Maximum was aktuell verfügbar ist), die im Januar kommen wird.wie VDSL 100 und eine grundsolide 10/10 synchrone mit fester IP Adresse von der Telekom! Wenn das nicht so umsetzbar
ist, weil vor Ort nichts schnelleres vorhanden ist dann eben nur eine 10/10 oder gar 20/20 synchrone Leitung die dann auch
gerecht aufgeteilt wird.
Das mit der extra Consumer Anbindung ist natürlich eine gute Idee. Sobald VDSL verfügbar ist, werde ich den Vorschlag machen.
Mirrored Port auf den Port des Laptops legen und dort mittels WireShark http, SMTP, iMAP und anderen Verkehr heraus filtern
um zu sehen was dort alles abgeht oder gar ganz ohne Filter alles mitschneiden um zu sehen wer oder was dort Ressourcen
verbraucht. Aber der Betriebsrat muss bzw. sollte auch mit im Boot sitzen sonst kann das auch ganz schnell nach hinten los
gehen.
um zu sehen was dort alles abgeht oder gar ganz ohne Filter alles mitschneiden um zu sehen wer oder was dort Ressourcen
verbraucht. Aber der Betriebsrat muss bzw. sollte auch mit im Boot sitzen sonst kann das auch ganz schnell nach hinten los
gehen.
OK, werde ich mit Rücksprache des BRs so machen.
Somit wäre das Thema erledigt. Vielen Dank euch dreien für die - wie immer in diesem Forum - schnelle und kompetente Hilfe
Euchn schönes We!
LG
Niko
Nur habe ich nicht beachtet, dass Mirror Port und Monitoring Port auf der selben "Port-Range" liegen müssen.
Handbuch lesen hilft,... wie immer Wenn das Thema erledigt ist bitte dann auch:
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Wenn das Thema erledigt ist bitte dann auch:
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Werde ich natürlich umgehend tun, sobald ich das Mirroring wieder testen kann. Werde dann hier wieder berichten! Versprochen ;)
Werde aber erst nächste Woche dazu kommen.
LG
Wir sind gespannt...
Hey Leute,
Port Mirroring + Sniffen mit Wireshark hat nun bestens funktioniert.
Problem war, wie von Aqui geschildert, dass der Mirror-Port und der Monitor-Port auf der selben Port-Range (1-24+49, 25-28+50) liegen müssen.
Nur eine kleine Info am Rande, der bilig Procurve 2650 kann nur Inbound Traffic auf den Mirror-Port spiegeln. Deshalb findet man auch keine speziellen Einstellungen darüber bzgl. Port-Mirroring.
Ich danke allen beteiligten für die Unterstützung. Top - Wie immer!
LG
Niko
Port Mirroring + Sniffen mit Wireshark hat nun bestens funktioniert.
Problem war, wie von Aqui geschildert, dass der Mirror-Port und der Monitor-Port auf der selben Port-Range (1-24+49, 25-28+50) liegen müssen.
Nur eine kleine Info am Rande, der bilig Procurve 2650 kann nur Inbound Traffic auf den Mirror-Port spiegeln. Deshalb findet man auch keine speziellen Einstellungen darüber bzgl. Port-Mirroring.
Ich danke allen beteiligten für die Unterstützung. Top - Wie immer!
LG
Niko
der bilig Procurve 2650 kann nur Inbound Traffic auf den Mirror-Port spiegeln.
Das ist die Strafe wenn man HP kauft Jeder andere Hersteller kann das besser...aber egal. Wenn du jetzt deinen relevanten Traffic sehen kannst passt das ja.
