Hallo zusammen,
ich versuche gerade verzweifelt eine Port-Spiegelung bei GS-2326+ und GS-3152X Switchen zu aktivieren. Ziel ist die Überwachung des internen Netzwerk-Traffic mit einer IDS-Appliance.
Firmware GS-2326+: v3.32.0114
Firmware GS-3152X: 4.00.0070
Mir ist bekannt, dass es für beide Switche eine neuere Firmware gibt. In den Change-Logs stand jedoch nichts zu Problemen mit dem Port-Mirror.
Beide Switche haben eine VLAN Config, die annähernd identisch ist.
Port 1-8: PVID1, VLAN membership: 1
Port 9-16: PVID20, VLAN membership: 20
Port 17-24: PVID10, VLAN membership: 10
Folgende Konfiguration habe ich vorgenommen:
Port to Mirror to: Port 24
Port1-23: Enabled
Ich bekomme am Port 24 lediglich den Broadcast-Traffic aus allen "3" VLANs. Es ist auch egal, welche VLAN Settings ich an Port 24 setze - das Ergebnis bleibt identisch ... oder ich habe ggf. die korrekte Kombination der Einstellungen noch nicht rausbekommen. Auch am GS-3152X zeichnet sich das gleiche Bild ab.
Es ist egal ob ich nur 1, 2, oder 3 Ports auf Port 24 spiegle. Auch die VLAN-Mitgliedschaft, die VLAN Egress Rule, PVID, Port Type Einstellungen etc. haben in diversen Kombinationen keine Änderung gebracht.
Kennt jemand das Verhalten? Verpasse ich hier irgendwo einen Haken in der Config zu setzen?
Vielen Dank vorab für Eure Vorschläge.
Viele Grüße,
Norman.
Port-Mirror GS-2326+ und GS-3152X
Moderator: Lancom-Systems Moderatoren
-
lonesome_walker
- Beiträge: 52
- Registriert: 15 Mai 2012, 09:42
Re: Port-Mirror GS-2326+ und GS-3152X
Hi Norman,
ich bin mir nicht 100%ig sicher aber ich meine das man den MirrorPort nicht groß einschränken kann. Auf den MirrorPort wird alles gespiegelt was auf den anderen ausgewählten Ports passiert. Heißt wenn du alle anderen Ports auswählst, dann siehst auch alle VLANs. In deinem Beispiel würde ich aber auch erwarten das wenn du nur Port 16 auswählst, dass dann auch nur Pakete mit VLAN 20 auf dem MirrorPort auftauchen (sofern da jetzt nicht irgendwo was mit Trunk gemacht wird).
Wie gesagt, das wäre jetzt erstmal meine Erwartungshaltung. Ansonsten mal zum Vergleich mit nem Notebook auf den Port und mit Wireshark kurz gucken, ob da tatsächlich mehr rausfällt.
ich bin mir nicht 100%ig sicher aber ich meine das man den MirrorPort nicht groß einschränken kann. Auf den MirrorPort wird alles gespiegelt was auf den anderen ausgewählten Ports passiert. Heißt wenn du alle anderen Ports auswählst, dann siehst auch alle VLANs. In deinem Beispiel würde ich aber auch erwarten das wenn du nur Port 16 auswählst, dass dann auch nur Pakete mit VLAN 20 auf dem MirrorPort auftauchen (sofern da jetzt nicht irgendwo was mit Trunk gemacht wird).
Wie gesagt, das wäre jetzt erstmal meine Erwartungshaltung. Ansonsten mal zum Vergleich mit nem Notebook auf den Port und mit Wireshark kurz gucken, ob da tatsächlich mehr rausfällt.
Gruß
Pothos
Pothos
Re: Port-Mirror GS-2326+ und GS-3152X
Hi lonesome_walker,
Gruß
Backslash
hast du auch im "promiscous mode" gesnifft? Falls nein, dannn hat deine Netzwerkkarte alles bis auf die Broadcasts ausgefiltert...Ich bekomme am Port 24 lediglich den Broadcast-Traffic aus allen "3" VLANs.
Gruß
Backslash