Beschreibung:

Zur Analyse der Netzwerk-Kommunikation ist es häufig erforderlich Datenverkehr an einem Switch mitzuschneiden. Dies kann auf Managed Switches über ein Port-Mirroring realisiert werden. Dabei wird der Datenverkehr eines oder mehrerer Switch-Ports auf einen anderen Switch-Port gespiegelt, an dem ein Netzwerk-Teilnehmer den Datenverkehr mitschneidet.

In diesem Artikel wird beschrieben, wie Port-Mirroring auf einem Switch der GS-3xxx Serie eingerichtet wird.

Wichtiger Hinweis zum Mitschneiden des Datenverkehrs an einem Mirror-Port per Wireshark auf einem Windows Computer


Das Betriebssystem Windows kann VLAN-Tags nicht verarbeiten. Daher wird hier ein Netzwerk-Treiber benötigt, welcher dies ermöglicht. Häufig werden die VLAN-Tags aber durch den Treiber gefiltert, sodass diese in einem Wireshark-Capture eines Mirror-Ports nicht enthalten sind. Dies kann die Analyse von VLAN-Problem im Netzwerk stark erschweren.

Bei einigen Herstellern ist es möglich Änderungen in der Treiber-Software vorzunehmen, damit die VLAN-Tags nicht mehr gefiltert werden. Bei anderen Herstellern müssen dafür Registry-Einträge gesetzt werden.

Weitergehende Informationen finden Sie auf der Wireshark-Webseite.  


Vorgehensweise:

1. Verbinden Sie sich per Webinterface mit dem Switch und wechseln in das Menü Diagnostics → Mirroring.

2. Passen Sie die folgenden Parameter an und klicken auf Apply:

  • Monitor Session: Wählen Sie eine Monitor Session aus. Es können maximal 5 Monitor Sessions gleichzeitig erstellt werden.
  • Monitor destination port: Wählen Sie im Dropdownmenü den Ziel-Port aus. An diesem muss ein Netzwerk-Teilnehmer angeschlossen sein, der den Datenverkehr zur späteren Analyse aufzeichnet.
  • Port: Wählen Sie einen oder mehrere Quell-Port(s) aus, deren Datenverkehr an den Ziel-Port weitergeleitet werden soll und stellen den Mode auf Enabled. Dadurch wird jeglicher Datenverkehr an den Ziel-Port weitergeleitet. 

Statt jeglichen Datenverkehr weiterzuleiten, kann dies auch auf eingehenden Datenverkehr (Rx only) bzw. ausgehenden Datenverkehr (Tx only) eingeschränkt werden.

Die ausgehandelte Datenrate des Ziel-Ports muss mindestens der ausgehandelten Datenrate des / der Quell-Ports entsprechen. Ansonsten kann nicht aller Datenverkehr aufgezeichnet werden und die spätere Analyse wird stark erschwert oder ist sogar unmöglich. Dies ist besonders wichtig bei gleichzeitiger Verwendung mehrerer Quell-Ports.

Beispiele:

  • Quell-Port 1 GBit und Ziel-Port 1 GBit funktioniert
  • Quell-Port 10 GBit und Ziel-Port 1 GBit funktioniert nicht
  • Quell-Ports dreimal 1 GBit und Ziel-Port 10 Gbit funktioniert

Screenshot einer Konfigurationsseite eines Netzwerkmonitors, die Einstellungen für Monitor-Sitzungen, Ziel- und Quellports zeigt, wobei mehrere Ports als deaktiviert markiert sind.

3. Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, um die Konfiguration als Start-Konfiguration zu speichern.

Die   Start-Konfiguration   bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.

Screenshot einer Benutzeroberfläche mit der Beschriftung LANCOM Per GSOXP DA, möglicherweise eines Konfigurationsmenüs in einer technischen Anwendung.


Wird der Port-Mirror nicht mehr benötigt, muss dieser deaktiviert werden:

  • Setzen Sie den Parameter Monitor destination port wieder auf Disabled.
  • Setzen Sie den Mode für alle Ports wieder auf Disabled.
  • Speichern Sie zuletzt die Konfiguration über das rote Disketten-Symbol in der rechten oberen Ecke wieder als Start-Konfiguration.

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH