5
Wireshark - VLAN Tag wird im Ethernetpake nicht angezeigt
Hallo sicher wisst ihr mehr.
Ich nutze Wireshark v1.6.4 und möchte gerne aus dem Datenverkehr zwischen meinem VLAN das Ethernetpaket näher betrachten.
VLAN2 und VLAN3 können kommunizieren. Der Switch ist ein Cisco SG 200-08
Ich bin der Meinng, dass wenn ich von VLAN 3 ein Ping gesendet wird, die VLAN ID im Fram ist und über das Trunkkabel zum Router geht. Dabei kommt es ja am HUB vorbei. Hub darum, weil ja an alle seine Ports das Signal gegeben wird.
Kann mir jemand weiterhelfen, warum ich nix sniffen kann
Ich nutze Wireshark v1.6.4 und möchte gerne aus dem Datenverkehr zwischen meinem VLAN das Ethernetpaket näher betrachten.
Ich bin der Meinng, dass wenn ich von VLAN 3 ein Ping gesendet wird, die VLAN ID im Fram ist und über das Trunkkabel zum Router geht. Dabei kommt es ja am HUB vorbei. Hub darum, weil ja an alle seine Ports das Signal gegeben wird.
Kann mir jemand weiterhelfen, warum ich nix sniffen kann
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 177518
Url: https://administrator.de/contentid/177518
Printed on: April 18, 2024 at 21:04 o'clock
5 Comments
Latest comment
Hallo Zuluis,
zeichnet Wireshark gar nichts auf, oder siehst Du nur keine VLAN-IDs ?
Also ich würde am Cisco-Switch eine Port(Sniffer-Port) als trunked definieren und ihn in beide VLANs geben.
Dann würde ich einen Portspiegel einrichten von Ports 8 nach dem Port(Sniffer-Port) an dem Du sniffen willst.
Dann müsstest Du in Trace die VLAN-IDs sehen.
Welches OS hast Du auf dem Wireshark Rechner ?
Welche Netzwerkkarte hast Du in diesem Rechner ?
Unterstützt die Netzwerkkarte VLANs ?
Gruß
Anton
zeichnet Wireshark gar nichts auf, oder siehst Du nur keine VLAN-IDs ?
Also ich würde am Cisco-Switch eine Port(Sniffer-Port) als trunked definieren und ihn in beide VLANs geben.
Dann würde ich einen Portspiegel einrichten von Ports 8 nach dem Port(Sniffer-Port) an dem Du sniffen willst.
Dann müsstest Du in Trace die VLAN-IDs sehen.
Welches OS hast Du auf dem Wireshark Rechner ?
Welche Netzwerkkarte hast Du in diesem Rechner ?
Unterstützt die Netzwerkkarte VLANs ?
Gruß
Anton
Hallo Zulius,
Trunk heißt nicht zwingend, dass das VLAN3 auch auf dem Port anliegt.
Funktioniert das das Inter-VLAN-Routing?
Wohin geht der Ping? Ist dem Port überhaupt das VLAN zugeordnet? Welches VLAN-Protokoll wird benutzt.
VLAN1 ist das default VLAN und kann oft nicht ausgeschaltet werden - oft aus guten Grund. Ein Ersatzgerät könnte sonst oft nur schwer angeschlossen werden. Die Weboberfläche von den switchen benutze ich nicht. Oft sind nur Teile der Konfiguration sichtbar.
In jedem Falle sollte das CDP Protokoll gesehen werden. Darin steht auch die Portkonfiguration und das VLAN.
Gruß
Netman
Trunk heißt nicht zwingend, dass das VLAN3 auch auf dem Port anliegt.
Funktioniert das das Inter-VLAN-Routing?
Wohin geht der Ping? Ist dem Port überhaupt das VLAN zugeordnet? Welches VLAN-Protokoll wird benutzt.
VLAN1 ist das default VLAN und kann oft nicht ausgeschaltet werden - oft aus guten Grund. Ein Ersatzgerät könnte sonst oft nur schwer angeschlossen werden. Die Weboberfläche von den switchen benutze ich nicht. Oft sind nur Teile der Konfiguration sichtbar.
In jedem Falle sollte das CDP Protokoll gesehen werden. Darin steht auch die Portkonfiguration und das VLAN.
Gruß
Netman
Danke dass ihr auf meinem Aufruf reagiert habt.
Ich möchte es noch mal etwas genauer beschreiben. Meine Karte ist eine :
Atheros AR8151 PCI-E Gigabit Ethernet Controller (NDIS 6.20)
und diese unterstütz auch VLANs. Das ganze läuft auf einem Windows7 PC. Das Netzwerk ansich funktioniert auch mit den VLANs und läuft. Wie gesagt nun wollte ich mal schauen wie die Pakete genau aussehn mit dem Hub. Ich werde es mit dem Portspiegel ma versuchen, aber warum geht es nicht mit dem Hub. Ich kann kann mit Wireshark ein Ethernet Paket empfangen dort und kann es auch untersuchen - nur die VLAN Option wird nicht angezeigt.
Der Portspiegel geht und ich kann sniffen. Hier das Ergebniss eines Pings.
Meine Wireshark Version müsste es auch können, dies habe ich schon im Internet raus bekommen.
Das Protokoll was du meinst habe ich auch gefunden. Dort sehe ich auch den Port vom Mikrotik Router. Nur keine VLAN ID und den Port vpm Cisco Switch sehe ich auch nich.
Kann es sein dass die VLAN IDs raus genonnem werden durch eine Fehleisntellung von mir am Cisco
Ich möchte es noch mal etwas genauer beschreiben. Meine Karte ist eine :
Atheros AR8151 PCI-E Gigabit Ethernet Controller (NDIS 6.20)
und diese unterstütz auch VLANs. Das ganze läuft auf einem Windows7 PC. Das Netzwerk ansich funktioniert auch mit den VLANs und läuft. Wie gesagt nun wollte ich mal schauen wie die Pakete genau aussehn mit dem Hub. Ich werde es mit dem Portspiegel ma versuchen, aber warum geht es nicht mit dem Hub. Ich kann kann mit Wireshark ein Ethernet Paket empfangen dort und kann es auch untersuchen - nur die VLAN Option wird nicht angezeigt.
Der Portspiegel geht und ich kann sniffen. Hier das Ergebniss eines Pings.
Das Protokoll was du meinst habe ich auch gefunden. Dort sehe ich auch den Port vom Mikrotik Router. Nur keine VLAN ID und den Port vpm Cisco Switch sehe ich auch nich.
Kann es sein dass die VLAN IDs raus genonnem werden durch eine Fehleisntellung von mir am Cisco
Hallo Zulius,
Diese Art von Fehleinstellungen gibt es immer. Einer meiner Wireshark's trägt Version 1.4.4.
Ich habe Wireshark mit einem ISL-getaggten Stream getestet. Er zeichnet sauber auf. man kann dazu auch "PlayCap is a GUI tool for playing back pcap/Wireshark captures (GPL, Linux/Windows). " Wireshark Webseite verwenden. Selbst auf dem eigenen Interface und auch an jedem anderen geswitchten Interface kann man einen Trace, der nicht zum Netzwerk gehört abhören und aufzeichnen.
Es besteht die Möglichkeit, das keine VLAN-IDs übetragen werden. Beim Spiegeln muss man da oft gut aufpassen und die VLAN-IDs am Spiegelport drin lassen oder besser wieder aktivieren.
Die Switche unterstützen auch das Spiegeln eines VLANs. Das ist ein gute Test um zu sehen, ob in dem VLAN überhaupt etwas ist. Der Port an dem die Daten aus dem Switch kommen ist typischer weise ohne VLAN-ID. Wenn es denn die VLANs so gibt. Dann müssten auch deutlich weniger Pakete ankommen.
Die Daten im Wireshark zeigen ja, dass geroutet wird, also kommen alle Pakete vorbei. Aber diese Konstellation würde eben auch ohne VLANs so funktionieren.
Über die Konfiguration des Routers wure aber noch nichts gesagt. Der muss natürlich das selbe VLAN-Protokoll unterstützen 802.1q.
Diese Art von Fehleinstellungen gibt es immer. Einer meiner Wireshark's trägt Version 1.4.4.
Ich habe Wireshark mit einem ISL-getaggten Stream getestet. Er zeichnet sauber auf. man kann dazu auch "PlayCap is a GUI tool for playing back pcap/Wireshark captures (GPL, Linux/Windows). " Wireshark Webseite verwenden. Selbst auf dem eigenen Interface und auch an jedem anderen geswitchten Interface kann man einen Trace, der nicht zum Netzwerk gehört abhören und aufzeichnen.
Es besteht die Möglichkeit, das keine VLAN-IDs übetragen werden. Beim Spiegeln muss man da oft gut aufpassen und die VLAN-IDs am Spiegelport drin lassen oder besser wieder aktivieren.
Die Switche unterstützen auch das Spiegeln eines VLANs. Das ist ein gute Test um zu sehen, ob in dem VLAN überhaupt etwas ist. Der Port an dem die Daten aus dem Switch kommen ist typischer weise ohne VLAN-ID. Wenn es denn die VLANs so gibt. Dann müssten auch deutlich weniger Pakete ankommen.
Die Daten im Wireshark zeigen ja, dass geroutet wird, also kommen alle Pakete vorbei. Aber diese Konstellation würde eben auch ohne VLANs so funktionieren.
Über die Konfiguration des Routers wure aber noch nichts gesagt. Der muss natürlich das selbe VLAN-Protokoll unterstützen 802.1q.
Hallo Mr Hetman
schön dass du soviel Nerven mit mir hast
BTTE denk dir mal die SPI Regeln weg und meine Firewall Regeln sehn so aus. Aber an sich denke ich, dass ich einfunktonierendes VLAN gebaut habe.
Möchte noch mal sagen, es ist nur ein Versuchsmodel. Also nicht wundern, warum ich plötzlich VLAN2 und VLAN3 verbinden möchte.
schön dass du soviel Nerven mit mir hast
Diese Art von Fehleinstellungen gibt es immer. Einer meiner Wireshark's trägt Version 1.4.4.
Ich habe eine Fehleinstellung? Welche ist es denn und wie kann ich sie beheben?Es besteht die Möglichkeit, das keine VLAN-IDs übetragen werden. Beim Spiegeln muss man da oft gut aufpassen und die
VLAN-IDs am Spiegelport drin lassen oder besser wieder aktivieren.
Es kann gut sein, dass sie nciht drin sind, aber wie bekomme ich sie wieder rein? Irgentwo müssen sie ja sein, weil wenn sie über den Trunk gehn - müssen sie ja wissen wo sie landen sollenVLAN-IDs am Spiegelport drin lassen oder besser wieder aktivieren.
Die Switche unterstützen auch das Spiegeln eines VLANs. Das ist ein gute Test um zu sehen, ob in dem VLAN überhaupt
etwas ist. Der Port an dem die Daten aus dem Switch kommen ist typischer weise ohne VLAN-ID. Wenn es denn die VLANs so gibt.
Du meinst jetzt einen normalen Port des VLANs oder? Ich aber bin ja von dem Trunk Port ausgegangen und der müsste die doch führen.etwas ist. Der Port an dem die Daten aus dem Switch kommen ist typischer weise ohne VLAN-ID. Wenn es denn die VLANs so gibt.
Über die Konfiguration des Routers wure aber noch nichts gesagt. Der muss natürlich das selbe VLAN-Protokoll
unterstützen 802.1q.
unterstützen 802.1q.
/ip firewall filter
add action=accept chain=forward comment="Traffic von VLAN2 nach VLAN3 erlauben" disabled=no in-interface=vlan2 out-interface=vlan1
add action=accept chain=forward comment="Traffic von VLAN3 nach VLAN2 erlauben" disabled=no in-interface=vlan1 out-interface=vlan2
add action=drop chain=forward comment="Alles andere verbieten" disabled=no Möchte noch mal sagen, es ist nur ein Versuchsmodel. Also nicht wundern, warum ich plötzlich VLAN2 und VLAN3 verbinden möchte.
