Description:
Zur Analyse der Netzwerk-Kommunikation ist es häufig erforderlich Datenverkehr an einem Switch mitzuschneiden. Dies kann auf Managed Switches über ein Port-Mirroring realisiert werden. Dabei wird der Datenverkehr eines oder mehrerer Switch-Ports auf einen anderen Switch-Port gespiegelt, an dem ein Netzwerk-Teilnehmer den Datenverkehr mitschneidet.
In diesem Artikel wird beschrieben, wie Port-Mirroring auf einem Switch der GS-24xx / GS-3xxx / XS-3xxx Serie eingerichtet wird.
Wichtiger Hinweis zum Mitschneiden des Datenverkehrs an einem Mirror-Port per Wireshark auf einem Windows Computer
Das Betriebssystem Windows kann VLAN-Tags nicht verarbeiten. Daher wird hier ein Netzwerk-Treiber benötigt, welcher dies ermöglicht. Häufig werden die VLAN-Tags aber durch den Treiber gefiltert, sodass diese in einem Wireshark-Capture eines Mirror-Ports nicht enthalten sind. Dies kann die Analyse von VLAN-Problem im Netzwerk stark erschweren.
Bei einigen Herstellern ist es möglich Änderungen in der Treiber-Software vorzunehmen, damit die VLAN-Tags nicht mehr gefiltert werden. Bei anderen Herstellern müssen dafür Registry-Einträge gesetzt werden.
Weitergehende Informationen finden Sie auf der Wireshark-Webseite.
Requirements:
- LANCOM Switch der folgenden Baureihen:
- GS-24xx
- GS-3xxx
- XS-3xxx
- LCOS SX ab Version 4.30 bei GS-24xx / GS-3xxx / XS-3xxx (download aktuelle Version)
- Beliebiger Web-Browser für den Zugriff auf das Webinterface
Procedure:
1. Verbinden Sie sich per Webinterface mit dem Switch und wechseln in das Menü Diagnostics → Mirroring.
2. Klicken Sie auf eine Session ID, um in die erweiterten Einstellungen zu gelangen.
Es ist möglich, mehrere Mirror Sessions zu konfigurieren (Mode auf Disabled). Es kann aber immer nur eine Mirror Session aktiv verwendet werden (Mode auf Enabled).
3. Wählen Sie bei Mode die Option Enabled aus und stellen sicher, dass bei Type die Option Mirror ausgewählt ist.
4. Wählen Sie bei dem Quell-Port unter Source die Option Both aus, damit sowohl ein-, als auch ausgehende Daten übertragen werden (Rx und Tx). Setzen Sie bei dem Ziel-Port den Haken unter Destination.
Klicken Sie anschließend auf Apply.
Statt jeglichen Datenverkehr weiterzuleiten (Both), kann dies auch auf eingehenden Datenverkehr (Rx only) bzw. ausgehenden Datenverkehr (Tx only) eingeschränkt werden.
Statt einen oder mehrere Quell-Port(s) auszuwählen, können Sie unter Source VLAN(s) Configuration auch ein oder mehrere VLANs angeben. Dadurch werden nur die in diesem Feld angegebenen VLANs an den Ziel-Port übertragen. Für das Mirroring können entweder ein oder mehrere Quell-Ports oder ein oder mehrere Quell-VLANs verwendet werden aber nicht beides.
Die ausgehandelte Datenrate des Ziel-Ports muss mindestens der ausgehandelten Datenrate des / der Quell-Ports entsprechen. Ansonsten kann nicht aller Datenverkehr aufgezeichnet werden und die spätere Analyse wird stark erschwert oder ist sogar unmöglich. Dies ist besonders wichtig bei gleichzeitiger Verwendung mehrerer Quell-Ports.
Beispiele:
- Quell-Port 1 GBit und Ziel-Port 1 GBit funktioniert
- Quell-Port 10 GBit und Ziel-Port 1 GBit funktioniert nicht
- Quell-Ports dreimal 1 GBit und Ziel-Port 10 Gbit funktioniert
5. Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, um die Konfiguration als Start-Konfiguration zu speichern.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.
Wird der Port-Mirror nicht mehr benötigt, muss dieser deaktiviert werden:
- Setzen Sie unter Global Settings den Parameter Mode wieder auf Disabled.
- Setzen Sie unter Port Configuration die Source für alle Ports wieder auf Disabled.
- Speichern Sie zuletzt die Konfiguration über das rote Disketten-Symbol in der rechten oberen Ecke wieder als Start-Konfiguration.
