Tap oder Monitoring Switch mit wechselbaren SFPs

Mitglied: miniversum

miniversum (Level 3) - Jetzt verbinden

23.02.2016 um 09:12 Uhr, 1470 Aufrufe, 21 Kommentare

Hallo an Alle,

Ich suche für einen Messaufbau einen Tap oder einen Monitoring Switch.
Als Geschwindigkeit habe ich erstmal 100 MBit (volldublex), später kann es aber auch 1000MBit werden (volldublex).
Daher dachte ich auch eine Variante mit Link Aggregation zu verwenden.
Da es für einen Messaufbau ist soll der beobachtete Verkehr natürlich nicht bzw. kaum beeinflusst werden, also niedrige Latenszeiten.
Also Bonus kommt noch dazu das ich die Möglichkeit benötige verschiedene physikalische Layer beobachten zu können. Daher dachte ich an einen Tap oder Switch mit wechselbaren SFPs.

Natürlich kommt noch die Anforderung meines Chefs dazu die immer besteht, es soll günstig sein.

Habt ihr hier Tips für mich oder Erfahrungen was da gut geeignet ist? Könnt ihr mir einen konkreten Typ vorschlagen?

Gruß
Dominik
Mitglied: brammer
23.02.2016 um 09:20 Uhr
Hallo,

jeder managebare Switch sollte Port Mirroring beherrschen... da hängst du einen kleien Rechner mit Wireshark dran und kannst alles auswerten.....
Wenn der Switch dann noch SFP Plätze hat...

brammer
Bitte warten ..
Mitglied: miniversum
23.02.2016 um 09:35 Uhr
Naja hier geht es um Messungen und Tests. Daher bin ich mir nicht sicher ob es reicht irgendeinen Switch dafür zu benutzen.
Es hat ja nen Grund warum es extra Tabs gibt.
Ich kann mir schon vorstellen das durch einen "schlechten" Switch die Durchlaufzeiten so verzögert werden das Kommunikation zwar noch funktioniert, aber wirklich qualitatives Monitoring evtl. nicht mehr möglich ist.
Bitte warten ..
Mitglied: chiefteddy
23.02.2016 um 11:08 Uhr
Hallo,

wenn es bei 100MB bleibt, besorge Dir einen alten Hub, da muß nichts gespiegelt werden. Und für LWL gibt es Medien-Konverter.

Und wenn es ein Switch sein soll, nimm einen renomierten Hersteller und wähle ein Gerät aus der oberen Leistungsklasse. Wenn Du dann die Auslastung des Switches gering hälst (nicht alle Ports nutzen), sollte es keine Paketverluste geben.

Jürgen
Bitte warten ..
Mitglied: aqui
23.02.2016, aktualisiert um 11:14 Uhr
Jeder managebare Switch der Cu und SFP Ports hat ist geeignet. Es kann also "irgendeiner" sein wenn er denn managebar ist, denn das ist zwingend um Port Mirroring zu konfigurieren.
Jedenfalls was Cu Ports anbetrifft kannst du das aber auch komplett umgehen wenn du den Wireshark als Bridge betreibst:
http://www.heise.de/netze/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22 ...
Kann man dann immer als bootbaren USB Stick in die Tasche stecken ;-) face-wink
Klappt auch auf einem Raspberry Pi den man dann mit VNC im Netzwerk fernbedient um aufs Windows GUI mit dem Wireshark zu kommen ;-) face-wink
Mit einem preiswerten USB Akkupack hast du so immer einen kleinen, tragbaren Deluxe LAN Sniffer mit allem Drum und Dran in der Hosentasche:
http://williamknowles.co.uk/?p=16

Sinnvoll wäre also ein kleiner 8 oder 16 Port Switch der auch 2 oder 4 SFP Ports hat und Mirroring supportet. Da du ja vermutlich nur immer einen Port mirroren musst ist das Performance Risiko sehr gering so das das auch billige Chinaböller packen und deinen Cheffe befriedigen..jedenfalls was seinen Geldbeutel anbetrifft.
Bitte warten ..
Mitglied: miniversum
23.02.2016 um 15:37 Uhr
Zitat von @aqui:

Sinnvoll wäre also ein kleiner 8 oder 16 Port Switch der auch 2 oder 4 SFP Ports hat und Mirroring supportet.
Hast Du da eine Empfehlung? Ich din da momentan etwas überfordert was passendes zu finden.

Da du ja vermutlich nur immer einen Port mirroren musst ist das Performance Risiko sehr gering so das das auch billige Chinaböller packen und deinen Cheffe befriedigen..jedenfalls was seinen Geldbeutel anbetrifft.
Was meinst du damit das ich immer nur einen Port mirroren muß? Es ist Vollduplex. Da muss ich doch zwangsläufig beide Richtungen anschauen?
Bitte warten ..
Mitglied: miniversum
23.02.2016 um 15:40 Uhr
Es sind momentan 100 MBit. In Zukunft aber auch 1000 MBit geplant. Daher suche ich schon etwas, was ich dann auch noch verwenden kann.
Daher fällt ein alter Hub auch aus.
Mediaconverter habe ich auch schon berlegt, dann bräuchte ich aber zwei, an jeder Seite einen und das bringt dan ja auch wieder Latenzen.
Bitte warten ..
Mitglied: aqui
LÖSUNG 23.02.2016, aktualisiert 24.02.2016
Es ist Vollduplex. Da muss ich doch zwangsläufig beide Richtungen anschauen?
Ja aber du siehst dir ja immer nur einen Port an. Der Switch ist ja nur ein "Messswitch" wenn man dich richtig versteht und wird nicht vollständig mit allen Ports ins Netzwerk integriert, oder ?
Brocade 6430C Compact ist ein kleiner 12 Port Allround Switch mit 2 SFP Slots und PoE. Ebenso der Cisco SG-200. Der kann alles was du brauchst.
Ansonsten die üblichen Verdächtigen bei D-Link, NetGear, TP-Link und Co.
Bitte warten ..
Mitglied: miniversum
23.02.2016 um 16:27 Uhr
Ja aber 1000Mbit in die eine Richtung und 1000MBit in die andere Richtung ergeben ja 2000MBit. Oder eben 2x1000MBit. Oder mache ich da nen Denkfehler?

Danke für dne Tip ich werd ihn mir mal anschauen.
Bitte warten ..
Mitglied: miniversum
23.02.2016 um 16:27 Uhr
Danke ich schau mit die Tips mal an.
Bitte warten ..
Mitglied: chiefteddy
23.02.2016, aktualisiert um 16:38 Uhr
Hallo,

die Rechnung ist richtig, aber wo ist das Problem?

Ein 8-Port-GigaBit-Switch hat eine Backplane-Bandbreite von 2 x 1000MBit x 8 Ports = 16GigaBit. Er kann also mit Full-Wire-Speed arbeiten.

Ein Stau oder Paketverluste entstehen nur dann, wenn 7 PCs gleichzeitig (zB. File-Transfer) mit (Full-Duplex-) GigaBit-Ethernet auf einen GigaBit-Port arbeiten, weil dort der File-Server angeschlossen ist. Flaschenhals ist hierbei aber nicht das Backplane oder die Fabric des Switches, sondern der GigaBit-Link zum Server.

Aber diese Situation hast Du bei Deinem Meßaufbau ja nicht.

Jürgen
Bitte warten ..
Mitglied: miniversum
24.02.2016 um 08:25 Uhr
Ich habe absehbar die Situation das 2 Knoten (mehr werden es nicht werden) in Full-Duplex permanent Kommunizieren. Ich habe also permanend die 2 x 1000MBit. Also bräuchte ich ja die 2x1000 MBit fürs monitoring.
Bitte warten ..
Mitglied: chiefteddy
24.02.2016 um 10:18 Uhr
Hallo,

was hast Du denn immer mit Deinen 2 x 1000MBit?? Wo ist denn Dein Problem?

Du spiegelst einen PORT! Du monitorst einen PORT! Und ein PORT besteht natürlich aus Sende- und Empfangs-Daten.

Dafür ist das System doch aber ausgelegt.

Jürgen
Bitte warten ..
Mitglied: aqui
24.02.2016, aktualisiert um 10:51 Uhr
Kollege chiefteddy hat absolut Recht hier. Ein simpler Port im FullDup Mode...wo ist dein Problem. Kann jeder China Dödelswitch....wenn er denn Mirroring supportet.
Bitte warten ..
Mitglied: brammer
24.02.2016 um 12:18 Uhr
Hallo,

Kann jeder China Dödelswitch....wenn er denn Mirroring supportet.

@aqui
mein reden von Gestern Morgen....


Kinders, das ist eine Fingerübung zwischen der 3. und 4. Tasse BIO Milch

brammer
Bitte warten ..
Mitglied: miniversum
24.02.2016, aktualisiert um 15:31 Uhr
Vielleicht hab ich immer noch ein Verständnissproblem.
Also Beispiel: Kommunikation zwischen Port1 und Port2. Vollduplex 1000MBit.
Also hab ich dann folgende Datenraten:
Port1 TX --> Port2 RX mit 1000MBit

Port1 RX <-- Port2 TX mit 1000MBit

Will ich das ganze Monitoren (PortA) muss ich ja dann ja die Richtung Port1 TX --> Port2 RX und die Richtung Port1 RX <-- Port2 TX betrachten.
Daher habe ich dann folgendes:
Port1 TX --> Port2 RX mit 1000MBit
Port1 TX --> PortA RX mit 1000MBit

Port1 RX <-- Port2 TX mit 1000MBit
PortA RX <-- Port2 TX mit 1000MBit
Also komme ich doch auf 2 x 1000MBit an PortA RX?
Deshalb gibt es doch Switche wie diesen hier: http://www.dual-comm.com/etap2306-dual-mode-gigabit-regeneration-tap.ht ...
Bitte warten ..
Mitglied: chiefteddy
24.02.2016, aktualisiert um 16:37 Uhr
Hallo,

ja und?? Das ist doch bei Full-Duplex immer so. Egal ob 10, 100 oder 1000MB.

Du solltest dir mal ein Paar Kommunikations-Grundlagen aneignet!

Bei 10MB SIMPLEX (altes 10MB-Ethernet ohne Switch) gehen 10MB von A nach B. Wenn A fertig ist, kann B antworten. Summe also 10MB

Beim Switching habe ich eine DUPLEX-Kommunikation. Dh., wenn A nach B sendet, kann gleichzeitig B nach A senden. Da es seit 1GB-Ethernet nur noch Switching gibt, können alle Netzwerk-Komponenten Full-DUPLEX, also gleichzeitig senden und empfangen. Summe also 2 x 10MB = 20MB (oder 2x100=200MB oder 2x1000=2000MB oder 2x10000=20000MB).

Du willst die Kommunikation von A nach B bzw. umgekehrt monitoren. Dazu spiegels Du den Switch-Port, an dem A angeschlossen ist (Port1)auf einen dritten Port (Port3), an dem der Sniffer angeschlossen ist. Alles was A sendet landet an Port1 UND an Port3. Alles was von B (an Port2) oder woher auch immer an A gesendet wird (also von A empfangen werden soll) landet über die Switching-Fabric an Port 1 UND Port3. Damit kann der gesamte Datenverkehr von und zu A über Port1 an Port3 mitgeschnitten werden.

Wenn B nicht nur mit A kommuniziert und Du auch alles von und zu B aufzeichnen willst/mußt, brauchst Du einen 2. Spigel-Port (Port4) für den Port2, andem B angeschlossen ist. An Port4 ist dann ein weiterer Sniffer angeschlossen, der den gesamten Datenverkehr von und zu B aufzeichnet.

Was ist denn daran so schwer zu verstehen?

Jürgen
Bitte warten ..
Mitglied: miniversum
24.02.2016, aktualisiert um 16:40 Uhr
Du wolltest doch wissen wie ich auf die 2x1000MBit komme. Das sind sie. Die 2 Port x 1000MBit.
Du Frage war ja nach einem Switch der das so kann, also nicht beide Richtungen auf einen Port schiebt.
Bitte warten ..
Mitglied: chiefteddy
24.02.2016, aktualisiert um 17:53 Uhr
Hallo,

ein Switch-Port kann immer senden und empfangen. Und bei Full-DUPLEX 1 GB-Ethernet sind das 1000MBit senden UND 1000MBit empfangen.

Es gibt keine halben Ports, die nur senden ODER nur empfangen.

Wenn ich wissen will, wie zB A kommuniziert, interessiert mich doch sowohl was A sendet, als auch was A empfängt.

Und wenn mich nur eine von beiden Richtungen interessiert, dann setze ich im Sniffer einen entsprechenden Filter und "bastle" mir nicht einen Switch mit "halben" Ports.

Und übrigens, wenn B 1000MBit an A sendet, kommen auch nur 1000MBit bei A an. Und wenn A gleichzeitig auch 1000MBit an B sendet, bleiben das auch 1000MBit.

Und wenn Du einen Mirror-Port auf den Port, an dem A angeschlossen ist, legst, sieht der Sniffer alles, wie es auch A sieht. Dh, was B sendet ist für A und auch für den Sniffer EMPFANG, Und was A sendet ist auch für den Sniffer SENDEN.

Jürgen
Bitte warten ..
Mitglied: chiefteddy
24.02.2016 um 17:52 Uhr
Nachtrag:

Technisch ist das Verhalten des von Dir ausgewählten Monitoring-Switches problemlos durch den Switsch-Hersteller implementierbar, Die Switching-Fabric gibt solche Sonderlösungen her.

Für einen "normalen" Switch ist eine solche Funktionalität völlig unnütz und somit nicht implementiert. Dies Funktionalität ist auch in keinen Standard beschrieben. Und Hersteller bauen standard-konforme Geräte, damit sie mit Geräten anderer Hersteller zusammenarbeiten.

Wenn Du also eine solche Sonderlösung brauchst, mußt Du eben auch den dafür erforderlichen "Sonderpreis" zahlen.

Jürgen
Bitte warten ..
Mitglied: aqui
24.02.2016 um 18:45 Uhr
Vielleicht hab ich immer noch ein Verständnissproblem.
Nicht nur vielleicht sondern ganz sicher... ;-) face-wink

Wenn du den Host, Firewall oder was auch immer Traffic an Port A messen willst (und JA, das inkludiert natürlich RX und TX Fulldup) dann sagst du dem Switch im Setup: "Bitte Port A spiegeln auf Port X"
Dann wird der gesamte Traffic von Port A Fullduplex auf Port X gespiegelt. An Port X klemmt dann dein Wireshark.

Da der Traffic der von deinem Port B zu Port A geht ja auch an Port A (TX) vollständig auftaucht und der Traffic von Port A zurück zu Port B (RX) ja auch logischerweise an Port A auftaucht, kannst du also die gesamte Kommunikation von Port A und B und vice versa am Mirrorport X sehen. Natürlich Fullduplex, denn das 1000Base-T so an sich.

Hoffe das klärt jetzt dein Verständnisproblem ?!
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
Sicherheits-Update KB5001779 für Exchange 2013-2019
kgbornVor 1 TagInformationExchange Server9 Kommentare

Microsoft hat zum 13. April 2021 das Sicherheitsupdate KB5001779 für Exchange 2013-2019 veröffentlicht, um vier RCE-Schwachstellen zu schließen. Das Update sollte zeitnah installiert werden. ...

Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 20 StundenFrageFestplatten, SSD, Raid11 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Server
Server Anbieter mit 2 NICs gesucht
gelöst SilvergreenVor 1 TagFrageServer16 Kommentare

Hallo Community, ich bin auf der Suche nach einem Serveranbieter, der VPS/Cloud Server mit 2 Netzwerkkarten anbietet. Eine Internetsuche brache mich da leider nicht ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 23 StundenFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 21 StundenFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...