Wake-On-LAN-Pakete bei Port-Mirroring eines Switches aufzeichnen
Hallo zusammen,
ich hätte eine Frage zum Port-Mirroring eines Switches. Konrekt geht es um den Switch HP 1810G-48G (Gigabit-Switch).
Ich überwache aus Diagnose-Zwecken einen einzelnen Port (Port 1, Rx und Tx) und gebe diesen auf Port 48 aus. Dort hängt ein Laptop mit Wireshark zum Aufzeichnen.
Den Datenverkehr kann ich auch soweit problemlos mitschneiden, allerdings kommen Wake-On-LAN-Pakete (WOL) nicht auf Port 48 an. WOL-Pakete sind ja bekanntlich Broadcast-Pakete auf IP-Ebene (Schicht 3 im ISO/OSI-Modell) und Ethernet-Ebene (Schicht 2 im ISO/OSI-Modell).
Werden also Broadcast-Pakete generell nicht bei einem Port-Mirroring auf dem gewünschten Port 48 ausgegeben? Oder liegt das Problem eher in der Netzwerkkarte des Laptops? Soll heißen: das Paket wird korrekt am Port 48 ausgegeben und liegt auf der Leitung, das Paket wird aber nicht vom Treiber der Netzwerkkarte an Wireshark übergeben?
Im Übrigen: der Rechner weckt problemlos auf. Das Paket muss also vorhanden sein.
Besten Dank im Voraus
ich hätte eine Frage zum Port-Mirroring eines Switches. Konrekt geht es um den Switch HP 1810G-48G (Gigabit-Switch).
Ich überwache aus Diagnose-Zwecken einen einzelnen Port (Port 1, Rx und Tx) und gebe diesen auf Port 48 aus. Dort hängt ein Laptop mit Wireshark zum Aufzeichnen.
Den Datenverkehr kann ich auch soweit problemlos mitschneiden, allerdings kommen Wake-On-LAN-Pakete (WOL) nicht auf Port 48 an. WOL-Pakete sind ja bekanntlich Broadcast-Pakete auf IP-Ebene (Schicht 3 im ISO/OSI-Modell) und Ethernet-Ebene (Schicht 2 im ISO/OSI-Modell).
Werden also Broadcast-Pakete generell nicht bei einem Port-Mirroring auf dem gewünschten Port 48 ausgegeben? Oder liegt das Problem eher in der Netzwerkkarte des Laptops? Soll heißen: das Paket wird korrekt am Port 48 ausgegeben und liegt auf der Leitung, das Paket wird aber nicht vom Treiber der Netzwerkkarte an Wireshark übergeben?
Im Übrigen: der Rechner weckt problemlos auf. Das Paket muss also vorhanden sein.
Besten Dank im Voraus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 204750
Url: https://administrator.de/contentid/204750
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
5 Kommentare
Neuester Kommentar
Hi Willy,
Also WOL ist kein Layer 3 Protokoll!
Ein gespiegelter Port sollte es ausgeben können.
Die einzigen Pakete, die bewußt nicht weiter gegeben werden sind kaputte, also welche mit CRC-Fehler. Der Rest wird nicht überprüft, darf nur in Grenzen überprüft werden.
Aber ein WOL Paket kann man auch an jedem anderen Port messen.
Es ist aber denkbar, dass beim Portspiegeln noch andere Parameter gesetzt werden können / müssen. Bei den kleinen Procurves Handbuch 1810G sollte höchsten bei Überbuchung ein Problem am Mirrorport auftreten. Überbuchung kann auch am Eingang vom Wireshark stattfinden.
Setze mal die Zähler (auf dem Switchinterface) zurück und vergleich die Anzahl der Pakete mit denen des Wireshark. Solange die Station nicht aufgewacht ist, dürfte sich nicht viel tun, danach ...
Aber es stellt sich noch die Frage ob WOL Pakete im Betriebssystem zu sehen sind. Teste das einfach mit dem Wireshark Rechner als Ziel.
GRuß
Netman
Also WOL ist kein Layer 3 Protokoll!
Ein gespiegelter Port sollte es ausgeben können.
Die einzigen Pakete, die bewußt nicht weiter gegeben werden sind kaputte, also welche mit CRC-Fehler. Der Rest wird nicht überprüft, darf nur in Grenzen überprüft werden.
Aber ein WOL Paket kann man auch an jedem anderen Port messen.
Es ist aber denkbar, dass beim Portspiegeln noch andere Parameter gesetzt werden können / müssen. Bei den kleinen Procurves Handbuch 1810G sollte höchsten bei Überbuchung ein Problem am Mirrorport auftreten. Überbuchung kann auch am Eingang vom Wireshark stattfinden.
Setze mal die Zähler (auf dem Switchinterface) zurück und vergleich die Anzahl der Pakete mit denen des Wireshark. Solange die Station nicht aufgewacht ist, dürfte sich nicht viel tun, danach ...
Aber es stellt sich noch die Frage ob WOL Pakete im Betriebssystem zu sehen sind. Teste das einfach mit dem Wireshark Rechner als Ziel.
GRuß
Netman
Das ist technisch nicht ganz richtig ! In der Tat nutzen WoL Pakete weitverbreitet auch UDP mit Port 9 (Discard)
Siehe: http://www.heise.de/netze/artikel/Port-Forwarding-224180.html
Damit ist das dann de facto IP !
So oder so ob IP oder nicht gehen solche Pakete (Broadcasts sowieso) IMMER an einem Mirror Port raus sofern natürlich an dem Ursprungs Port (der, der gemirrort wird) ein WoL Paket ankommt.
Es mag sein das du den Mirror falsch konfiguriert hast. Fast alle Switche lassen die Mirror Direction zu in der Konfig also ob das ein incoming oder outgoing Paket ist oder ob Bidirectional gemirrort werden soll (Both) !
Hast du das natürlich nicht auf "Both" stehen siehst du nur die Hälfte der Pakete...logo !
Kann natürlich auch sein das die HP Billiggurke einen Firmware Bug hat...
Neueste Firmware hast du auf den Switch geflasht ??
Genauso bei der NIC, da solltest du du immer die Treiber direkt von Intel nehmen !!
Siehe: http://www.heise.de/netze/artikel/Port-Forwarding-224180.html
Damit ist das dann de facto IP !
So oder so ob IP oder nicht gehen solche Pakete (Broadcasts sowieso) IMMER an einem Mirror Port raus sofern natürlich an dem Ursprungs Port (der, der gemirrort wird) ein WoL Paket ankommt.
Es mag sein das du den Mirror falsch konfiguriert hast. Fast alle Switche lassen die Mirror Direction zu in der Konfig also ob das ein incoming oder outgoing Paket ist oder ob Bidirectional gemirrort werden soll (Both) !
Hast du das natürlich nicht auf "Both" stehen siehst du nur die Hälfte der Pakete...logo !
Kann natürlich auch sein das die HP Billiggurke einen Firmware Bug hat...
Neueste Firmware hast du auf den Switch geflasht ??
Genauso bei der NIC, da solltest du du immer die Treiber direkt von Intel nehmen !!
Wenn es also Linux ist, dann gibt es doch auch Log-Dateien, die man vergleichen kann.
Also WOL Start und Normalstart vergleichen.
Und WOL Pakete solltes du auch ohne Spiegelung sehen können, wenn die Station so lange aus ist, dass die MAC nicht mehr bekannt ist.
Dann hast du auch hier den Vergleich ob Wireshark dir was vorenthält oder ob es am Serverport eigenartig ist.
Ist jetzt halt eine Indiziensuche...
Also WOL Start und Normalstart vergleichen.
Und WOL Pakete solltes du auch ohne Spiegelung sehen können, wenn die Station so lange aus ist, dass die MAC nicht mehr bekannt ist.
Dann hast du auch hier den Vergleich ob Wireshark dir was vorenthält oder ob es am Serverport eigenartig ist.
Ist jetzt halt eine Indiziensuche...