21
Tap oder Monitoring Switch mit wechselbaren SFPs
Hallo an Alle,
Ich suche für einen Messaufbau einen Tap oder einen Monitoring Switch.
Als Geschwindigkeit habe ich erstmal 100 MBit (volldublex), später kann es aber auch 1000MBit werden (volldublex).
Daher dachte ich auch eine Variante mit Link Aggregation zu verwenden.
Da es für einen Messaufbau ist soll der beobachtete Verkehr natürlich nicht bzw. kaum beeinflusst werden, also niedrige Latenszeiten.
Also Bonus kommt noch dazu das ich die Möglichkeit benötige verschiedene physikalische Layer beobachten zu können. Daher dachte ich an einen Tap oder Switch mit wechselbaren SFPs.
Natürlich kommt noch die Anforderung meines Chefs dazu die immer besteht, es soll günstig sein.
Habt ihr hier Tips für mich oder Erfahrungen was da gut geeignet ist? Könnt ihr mir einen konkreten Typ vorschlagen?
Gruß
Dominik
Ich suche für einen Messaufbau einen Tap oder einen Monitoring Switch.
Als Geschwindigkeit habe ich erstmal 100 MBit (volldublex), später kann es aber auch 1000MBit werden (volldublex).
Daher dachte ich auch eine Variante mit Link Aggregation zu verwenden.
Da es für einen Messaufbau ist soll der beobachtete Verkehr natürlich nicht bzw. kaum beeinflusst werden, also niedrige Latenszeiten.
Also Bonus kommt noch dazu das ich die Möglichkeit benötige verschiedene physikalische Layer beobachten zu können. Daher dachte ich an einen Tap oder Switch mit wechselbaren SFPs.
Natürlich kommt noch die Anforderung meines Chefs dazu die immer besteht, es soll günstig sein.
Habt ihr hier Tips für mich oder Erfahrungen was da gut geeignet ist? Könnt ihr mir einen konkreten Typ vorschlagen?
Gruß
Dominik
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 297060
Url: https://administrator.de/contentid/297060
Ausgedruckt am: 21.11.2024 um 13:11 Uhr
21 Kommentare
Neuester Kommentar
Hallo,
jeder managebare Switch sollte Port Mirroring beherrschen... da hängst du einen kleien Rechner mit Wireshark dran und kannst alles auswerten.....
Wenn der Switch dann noch SFP Plätze hat...
brammer
jeder managebare Switch sollte Port Mirroring beherrschen... da hängst du einen kleien Rechner mit Wireshark dran und kannst alles auswerten.....
Wenn der Switch dann noch SFP Plätze hat...
brammer
Naja hier geht es um Messungen und Tests. Daher bin ich mir nicht sicher ob es reicht irgendeinen Switch dafür zu benutzen.
Es hat ja nen Grund warum es extra Tabs gibt.
Ich kann mir schon vorstellen das durch einen "schlechten" Switch die Durchlaufzeiten so verzögert werden das Kommunikation zwar noch funktioniert, aber wirklich qualitatives Monitoring evtl. nicht mehr möglich ist.
Es hat ja nen Grund warum es extra Tabs gibt.
Ich kann mir schon vorstellen das durch einen "schlechten" Switch die Durchlaufzeiten so verzögert werden das Kommunikation zwar noch funktioniert, aber wirklich qualitatives Monitoring evtl. nicht mehr möglich ist.
Hallo,
wenn es bei 100MB bleibt, besorge Dir einen alten Hub, da muß nichts gespiegelt werden. Und für LWL gibt es Medien-Konverter.
Und wenn es ein Switch sein soll, nimm einen renomierten Hersteller und wähle ein Gerät aus der oberen Leistungsklasse. Wenn Du dann die Auslastung des Switches gering hälst (nicht alle Ports nutzen), sollte es keine Paketverluste geben.
Jürgen
wenn es bei 100MB bleibt, besorge Dir einen alten Hub, da muß nichts gespiegelt werden. Und für LWL gibt es Medien-Konverter.
Und wenn es ein Switch sein soll, nimm einen renomierten Hersteller und wähle ein Gerät aus der oberen Leistungsklasse. Wenn Du dann die Auslastung des Switches gering hälst (nicht alle Ports nutzen), sollte es keine Paketverluste geben.
Jürgen
Jeder managebare Switch der Cu und SFP Ports hat ist geeignet. Es kann also "irgendeiner" sein wenn er denn managebar ist, denn das ist zwingend um Port Mirroring zu konfigurieren.
Jedenfalls was Cu Ports anbetrifft kannst du das aber auch komplett umgehen wenn du den Wireshark als Bridge betreibst:
http://www.heise.de/netze/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22 ...
Kann man dann immer als bootbaren USB Stick in die Tasche stecken
Klappt auch auf einem Raspberry Pi den man dann mit VNC im Netzwerk fernbedient um aufs Windows GUI mit dem Wireshark zu kommen
Mit einem preiswerten USB Akkupack hast du so immer einen kleinen, tragbaren Deluxe LAN Sniffer mit allem Drum und Dran in der Hosentasche:
http://williamknowles.co.uk/?p=16
Sinnvoll wäre also ein kleiner 8 oder 16 Port Switch der auch 2 oder 4 SFP Ports hat und Mirroring supportet. Da du ja vermutlich nur immer einen Port mirroren musst ist das Performance Risiko sehr gering so das das auch billige Chinaböller packen und deinen Cheffe befriedigen..jedenfalls was seinen Geldbeutel anbetrifft.
Jedenfalls was Cu Ports anbetrifft kannst du das aber auch komplett umgehen wenn du den Wireshark als Bridge betreibst:
http://www.heise.de/netze/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22 ...
Kann man dann immer als bootbaren USB Stick in die Tasche stecken
Klappt auch auf einem Raspberry Pi den man dann mit VNC im Netzwerk fernbedient um aufs Windows GUI mit dem Wireshark zu kommen
Mit einem preiswerten USB Akkupack hast du so immer einen kleinen, tragbaren Deluxe LAN Sniffer mit allem Drum und Dran in der Hosentasche:
http://williamknowles.co.uk/?p=16
Sinnvoll wäre also ein kleiner 8 oder 16 Port Switch der auch 2 oder 4 SFP Ports hat und Mirroring supportet. Da du ja vermutlich nur immer einen Port mirroren musst ist das Performance Risiko sehr gering so das das auch billige Chinaböller packen und deinen Cheffe befriedigen..jedenfalls was seinen Geldbeutel anbetrifft.
Zitat von @aqui:
Sinnvoll wäre also ein kleiner 8 oder 16 Port Switch der auch 2 oder 4 SFP Ports hat und Mirroring supportet.
Hast Du da eine Empfehlung? Ich din da momentan etwas überfordert was passendes zu finden.Sinnvoll wäre also ein kleiner 8 oder 16 Port Switch der auch 2 oder 4 SFP Ports hat und Mirroring supportet.
Da du ja vermutlich nur immer einen Port mirroren musst ist das Performance Risiko sehr gering so das das auch billige Chinaböller packen und deinen Cheffe befriedigen..jedenfalls was seinen Geldbeutel anbetrifft.
Was meinst du damit das ich immer nur einen Port mirroren muß? Es ist Vollduplex. Da muss ich doch zwangsläufig beide Richtungen anschauen?
Es sind momentan 100 MBit. In Zukunft aber auch 1000 MBit geplant. Daher suche ich schon etwas, was ich dann auch noch verwenden kann.
Daher fällt ein alter Hub auch aus.
Mediaconverter habe ich auch schon berlegt, dann bräuchte ich aber zwei, an jeder Seite einen und das bringt dan ja auch wieder Latenzen.
Daher fällt ein alter Hub auch aus.
Mediaconverter habe ich auch schon berlegt, dann bräuchte ich aber zwei, an jeder Seite einen und das bringt dan ja auch wieder Latenzen.
Es ist Vollduplex. Da muss ich doch zwangsläufig beide Richtungen anschauen?
Ja aber du siehst dir ja immer nur einen Port an. Der Switch ist ja nur ein "Messswitch" wenn man dich richtig versteht und wird nicht vollständig mit allen Ports ins Netzwerk integriert, oder ?Brocade 6430C Compact ist ein kleiner 12 Port Allround Switch mit 2 SFP Slots und PoE. Ebenso der Cisco SG-200. Der kann alles was du brauchst.
Ansonsten die üblichen Verdächtigen bei D-Link, NetGear, TP-Link und Co.
Ja aber 1000Mbit in die eine Richtung und 1000MBit in die andere Richtung ergeben ja 2000MBit. Oder eben 2x1000MBit. Oder mache ich da nen Denkfehler?
Danke für dne Tip ich werd ihn mir mal anschauen.
Danke für dne Tip ich werd ihn mir mal anschauen.
Danke ich schau mit die Tips mal an.
Hallo,
die Rechnung ist richtig, aber wo ist das Problem?
Ein 8-Port-GigaBit-Switch hat eine Backplane-Bandbreite von 2 x 1000MBit x 8 Ports = 16GigaBit. Er kann also mit Full-Wire-Speed arbeiten.
Ein Stau oder Paketverluste entstehen nur dann, wenn 7 PCs gleichzeitig (zB. File-Transfer) mit (Full-Duplex-) GigaBit-Ethernet auf einen GigaBit-Port arbeiten, weil dort der File-Server angeschlossen ist. Flaschenhals ist hierbei aber nicht das Backplane oder die Fabric des Switches, sondern der GigaBit-Link zum Server.
Aber diese Situation hast Du bei Deinem Meßaufbau ja nicht.
Jürgen
die Rechnung ist richtig, aber wo ist das Problem?
Ein 8-Port-GigaBit-Switch hat eine Backplane-Bandbreite von 2 x 1000MBit x 8 Ports = 16GigaBit. Er kann also mit Full-Wire-Speed arbeiten.
Ein Stau oder Paketverluste entstehen nur dann, wenn 7 PCs gleichzeitig (zB. File-Transfer) mit (Full-Duplex-) GigaBit-Ethernet auf einen GigaBit-Port arbeiten, weil dort der File-Server angeschlossen ist. Flaschenhals ist hierbei aber nicht das Backplane oder die Fabric des Switches, sondern der GigaBit-Link zum Server.
Aber diese Situation hast Du bei Deinem Meßaufbau ja nicht.
Jürgen
Ich habe absehbar die Situation das 2 Knoten (mehr werden es nicht werden) in Full-Duplex permanent Kommunizieren. Ich habe also permanend die 2 x 1000MBit. Also bräuchte ich ja die 2x1000 MBit fürs monitoring.
Hallo,
was hast Du denn immer mit Deinen 2 x 1000MBit?? Wo ist denn Dein Problem?
Du spiegelst einen PORT! Du monitorst einen PORT! Und ein PORT besteht natürlich aus Sende- und Empfangs-Daten.
Dafür ist das System doch aber ausgelegt.
Jürgen
was hast Du denn immer mit Deinen 2 x 1000MBit?? Wo ist denn Dein Problem?
Du spiegelst einen PORT! Du monitorst einen PORT! Und ein PORT besteht natürlich aus Sende- und Empfangs-Daten.
Dafür ist das System doch aber ausgelegt.
Jürgen
Kollege chiefteddy hat absolut Recht hier. Ein simpler Port im FullDup Mode...wo ist dein Problem. Kann jeder China Dödelswitch....wenn er denn Mirroring supportet.
Hallo,
@aqui
mein reden von Gestern Morgen....
Kinders, das ist eine Fingerübung zwischen der 3. und 4. Tasse BIO Milch
brammer
Kann jeder China Dödelswitch....wenn er denn Mirroring supportet.
@aqui
mein reden von Gestern Morgen....
Kinders, das ist eine Fingerübung zwischen der 3. und 4. Tasse BIO Milch
brammer
Vielleicht hab ich immer noch ein Verständnissproblem.
Also Beispiel: Kommunikation zwischen Port1 und Port2. Vollduplex 1000MBit.
Also hab ich dann folgende Datenraten:
Will ich das ganze Monitoren (PortA) muss ich ja dann ja die Richtung Port1 TX --> Port2 RX und die Richtung Port1 RX <-- Port2 TX betrachten.
Daher habe ich dann folgendes:
Deshalb gibt es doch Switche wie diesen hier: http://www.dual-comm.com/etap2306-dual-mode-gigabit-regeneration-tap.ht ...
Also Beispiel: Kommunikation zwischen Port1 und Port2. Vollduplex 1000MBit.
Also hab ich dann folgende Datenraten:
Port1 TX --> Port2 RX mit 1000MBit
Port1 RX <-- Port2 TX mit 1000MBit
Port1 RX <-- Port2 TX mit 1000MBit
Will ich das ganze Monitoren (PortA) muss ich ja dann ja die Richtung Port1 TX --> Port2 RX und die Richtung Port1 RX <-- Port2 TX betrachten.
Daher habe ich dann folgendes:
Port1 TX --> Port2 RX mit 1000MBit
Port1 TX --> PortA RX mit 1000MBit
Port1 RX <-- Port2 TX mit 1000MBit
PortA RX <-- Port2 TX mit 1000MBit
Also komme ich doch auf 2 x 1000MBit an PortA RX?Port1 TX --> PortA RX mit 1000MBit
Port1 RX <-- Port2 TX mit 1000MBit
PortA RX <-- Port2 TX mit 1000MBit
Deshalb gibt es doch Switche wie diesen hier: http://www.dual-comm.com/etap2306-dual-mode-gigabit-regeneration-tap.ht ...
Hallo,
ja und?? Das ist doch bei Full-Duplex immer so. Egal ob 10, 100 oder 1000MB.
Du solltest dir mal ein Paar Kommunikations-Grundlagen aneignet!
Bei 10MB SIMPLEX (altes 10MB-Ethernet ohne Switch) gehen 10MB von A nach B. Wenn A fertig ist, kann B antworten. Summe also 10MB
Beim Switching habe ich eine DUPLEX-Kommunikation. Dh., wenn A nach B sendet, kann gleichzeitig B nach A senden. Da es seit 1GB-Ethernet nur noch Switching gibt, können alle Netzwerk-Komponenten Full-DUPLEX, also gleichzeitig senden und empfangen. Summe also 2 x 10MB = 20MB (oder 2x100=200MB oder 2x1000=2000MB oder 2x10000=20000MB).
Du willst die Kommunikation von A nach B bzw. umgekehrt monitoren. Dazu spiegels Du den Switch-Port, an dem A angeschlossen ist (Port1)auf einen dritten Port (Port3), an dem der Sniffer angeschlossen ist. Alles was A sendet landet an Port1 UND an Port3. Alles was von B (an Port2) oder woher auch immer an A gesendet wird (also von A empfangen werden soll) landet über die Switching-Fabric an Port 1 UND Port3. Damit kann der gesamte Datenverkehr von und zu A über Port1 an Port3 mitgeschnitten werden.
Wenn B nicht nur mit A kommuniziert und Du auch alles von und zu B aufzeichnen willst/mußt, brauchst Du einen 2. Spigel-Port (Port4) für den Port2, andem B angeschlossen ist. An Port4 ist dann ein weiterer Sniffer angeschlossen, der den gesamten Datenverkehr von und zu B aufzeichnet.
Was ist denn daran so schwer zu verstehen?
Jürgen
ja und?? Das ist doch bei Full-Duplex immer so. Egal ob 10, 100 oder 1000MB.
Du solltest dir mal ein Paar Kommunikations-Grundlagen aneignet!
Bei 10MB SIMPLEX (altes 10MB-Ethernet ohne Switch) gehen 10MB von A nach B. Wenn A fertig ist, kann B antworten. Summe also 10MB
Beim Switching habe ich eine DUPLEX-Kommunikation. Dh., wenn A nach B sendet, kann gleichzeitig B nach A senden. Da es seit 1GB-Ethernet nur noch Switching gibt, können alle Netzwerk-Komponenten Full-DUPLEX, also gleichzeitig senden und empfangen. Summe also 2 x 10MB = 20MB (oder 2x100=200MB oder 2x1000=2000MB oder 2x10000=20000MB).
Du willst die Kommunikation von A nach B bzw. umgekehrt monitoren. Dazu spiegels Du den Switch-Port, an dem A angeschlossen ist (Port1)auf einen dritten Port (Port3), an dem der Sniffer angeschlossen ist. Alles was A sendet landet an Port1 UND an Port3. Alles was von B (an Port2) oder woher auch immer an A gesendet wird (also von A empfangen werden soll) landet über die Switching-Fabric an Port 1 UND Port3. Damit kann der gesamte Datenverkehr von und zu A über Port1 an Port3 mitgeschnitten werden.
Wenn B nicht nur mit A kommuniziert und Du auch alles von und zu B aufzeichnen willst/mußt, brauchst Du einen 2. Spigel-Port (Port4) für den Port2, andem B angeschlossen ist. An Port4 ist dann ein weiterer Sniffer angeschlossen, der den gesamten Datenverkehr von und zu B aufzeichnet.
Was ist denn daran so schwer zu verstehen?
Jürgen
Du wolltest doch wissen wie ich auf die 2x1000MBit komme. Das sind sie. Die 2 Port x 1000MBit.
Du Frage war ja nach einem Switch der das so kann, also nicht beide Richtungen auf einen Port schiebt.
Du Frage war ja nach einem Switch der das so kann, also nicht beide Richtungen auf einen Port schiebt.
Hallo,
ein Switch-Port kann immer senden und empfangen. Und bei Full-DUPLEX 1 GB-Ethernet sind das 1000MBit senden UND 1000MBit empfangen.
Es gibt keine halben Ports, die nur senden ODER nur empfangen.
Wenn ich wissen will, wie zB A kommuniziert, interessiert mich doch sowohl was A sendet, als auch was A empfängt.
Und wenn mich nur eine von beiden Richtungen interessiert, dann setze ich im Sniffer einen entsprechenden Filter und "bastle" mir nicht einen Switch mit "halben" Ports.
Und übrigens, wenn B 1000MBit an A sendet, kommen auch nur 1000MBit bei A an. Und wenn A gleichzeitig auch 1000MBit an B sendet, bleiben das auch 1000MBit.
Und wenn Du einen Mirror-Port auf den Port, an dem A angeschlossen ist, legst, sieht der Sniffer alles, wie es auch A sieht. Dh, was B sendet ist für A und auch für den Sniffer EMPFANG, Und was A sendet ist auch für den Sniffer SENDEN.
Jürgen
ein Switch-Port kann immer senden und empfangen. Und bei Full-DUPLEX 1 GB-Ethernet sind das 1000MBit senden UND 1000MBit empfangen.
Es gibt keine halben Ports, die nur senden ODER nur empfangen.
Wenn ich wissen will, wie zB A kommuniziert, interessiert mich doch sowohl was A sendet, als auch was A empfängt.
Und wenn mich nur eine von beiden Richtungen interessiert, dann setze ich im Sniffer einen entsprechenden Filter und "bastle" mir nicht einen Switch mit "halben" Ports.
Und übrigens, wenn B 1000MBit an A sendet, kommen auch nur 1000MBit bei A an. Und wenn A gleichzeitig auch 1000MBit an B sendet, bleiben das auch 1000MBit.
Und wenn Du einen Mirror-Port auf den Port, an dem A angeschlossen ist, legst, sieht der Sniffer alles, wie es auch A sieht. Dh, was B sendet ist für A und auch für den Sniffer EMPFANG, Und was A sendet ist auch für den Sniffer SENDEN.
Jürgen
Nachtrag:
Technisch ist das Verhalten des von Dir ausgewählten Monitoring-Switches problemlos durch den Switsch-Hersteller implementierbar, Die Switching-Fabric gibt solche Sonderlösungen her.
Für einen "normalen" Switch ist eine solche Funktionalität völlig unnütz und somit nicht implementiert. Dies Funktionalität ist auch in keinen Standard beschrieben. Und Hersteller bauen standard-konforme Geräte, damit sie mit Geräten anderer Hersteller zusammenarbeiten.
Wenn Du also eine solche Sonderlösung brauchst, mußt Du eben auch den dafür erforderlichen "Sonderpreis" zahlen.
Jürgen
Technisch ist das Verhalten des von Dir ausgewählten Monitoring-Switches problemlos durch den Switsch-Hersteller implementierbar, Die Switching-Fabric gibt solche Sonderlösungen her.
Für einen "normalen" Switch ist eine solche Funktionalität völlig unnütz und somit nicht implementiert. Dies Funktionalität ist auch in keinen Standard beschrieben. Und Hersteller bauen standard-konforme Geräte, damit sie mit Geräten anderer Hersteller zusammenarbeiten.
Wenn Du also eine solche Sonderlösung brauchst, mußt Du eben auch den dafür erforderlichen "Sonderpreis" zahlen.
Jürgen
Vielleicht hab ich immer noch ein Verständnissproblem.
Nicht nur vielleicht sondern ganz sicher... Wenn du den Host, Firewall oder was auch immer Traffic an Port A messen willst (und JA, das inkludiert natürlich RX und TX Fulldup) dann sagst du dem Switch im Setup: "Bitte Port A spiegeln auf Port X"
Dann wird der gesamte Traffic von Port A Fullduplex auf Port X gespiegelt. An Port X klemmt dann dein Wireshark.
Da der Traffic der von deinem Port B zu Port A geht ja auch an Port A (TX) vollständig auftaucht und der Traffic von Port A zurück zu Port B (RX) ja auch logischerweise an Port A auftaucht, kannst du also die gesamte Kommunikation von Port A und B und vice versa am Mirrorport X sehen. Natürlich Fullduplex, denn das 1000Base-T so an sich.
Hoffe das klärt jetzt dein Verständnisproblem ?!
