Port-Mirror GS-2326+ und GS-3152X

Forum zu "managed" LANCOM Switches

Moderator: Lancom-Systems Moderatoren

Antworten
lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

Port-Mirror GS-2326+ und GS-3152X

Beitrag von lonesome_walker »

Hallo zusammen,

ich versuche gerade verzweifelt eine Port-Spiegelung bei GS-2326+ und GS-3152X Switchen zu aktivieren. Ziel ist die Überwachung des internen Netzwerk-Traffic mit einer IDS-Appliance.

Firmware GS-2326+: v3.32.0114
Firmware GS-3152X: 4.00.0070
Mir ist bekannt, dass es für beide Switche eine neuere Firmware gibt. In den Change-Logs stand jedoch nichts zu Problemen mit dem Port-Mirror.

Beide Switche haben eine VLAN Config, die annähernd identisch ist.

Port 1-8: PVID1, VLAN membership: 1
Port 9-16: PVID20, VLAN membership: 20
Port 17-24: PVID10, VLAN membership: 10

Folgende Konfiguration habe ich vorgenommen:

Port to Mirror to: Port 24
Port1-23: Enabled

Ich bekomme am Port 24 lediglich den Broadcast-Traffic aus allen "3" VLANs. Es ist auch egal, welche VLAN Settings ich an Port 24 setze - das Ergebnis bleibt identisch ... oder ich habe ggf. die korrekte Kombination der Einstellungen noch nicht rausbekommen. Auch am GS-3152X zeichnet sich das gleiche Bild ab.

Es ist egal ob ich nur 1, 2, oder 3 Ports auf Port 24 spiegle. Auch die VLAN-Mitgliedschaft, die VLAN Egress Rule, PVID, Port Type Einstellungen etc. haben in diversen Kombinationen keine Änderung gebracht.

Kennt jemand das Verhalten? Verpasse ich hier irgendwo einen Haken in der Config zu setzen?

Vielen Dank vorab für Eure Vorschläge.

Viele Grüße,
Norman.
Benutzeravatar
Pothos
Moderator
Moderator
Beiträge: 366
Registriert: 09 Feb 2012, 10:26
Wohnort: Jülich

Re: Port-Mirror GS-2326+ und GS-3152X

Beitrag von Pothos »

Hi Norman,

ich bin mir nicht 100%ig sicher aber ich meine das man den MirrorPort nicht groß einschränken kann. Auf den MirrorPort wird alles gespiegelt was auf den anderen ausgewählten Ports passiert. Heißt wenn du alle anderen Ports auswählst, dann siehst auch alle VLANs. In deinem Beispiel würde ich aber auch erwarten das wenn du nur Port 16 auswählst, dass dann auch nur Pakete mit VLAN 20 auf dem MirrorPort auftauchen (sofern da jetzt nicht irgendwo was mit Trunk gemacht wird).

Wie gesagt, das wäre jetzt erstmal meine Erwartungshaltung. Ansonsten mal zum Vergleich mit nem Notebook auf den Port und mit Wireshark kurz gucken, ob da tatsächlich mehr rausfällt.
Gruß
Pothos
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Port-Mirror GS-2326+ und GS-3152X

Beitrag von backslash »

Hi lonesome_walker,
Ich bekomme am Port 24 lediglich den Broadcast-Traffic aus allen "3" VLANs.
hast du auch im "promiscous mode" gesnifft? Falls nein, dannn hat deine Netzwerkkarte alles bis auf die Broadcasts ausgefiltert...

Gruß
Backslash
Antworten