Beschreibung:

Zur Analyse der Netzwerk-Kommunikation ist es häufig erforderlich Datenverkehr an einem Switch mitzuschneiden. Dies kann auf Managed Switches über ein Port-Mirroring realisiert werden. Dabei wird der Datenverkehr eines oder mehrerer Switch-Ports auf einen anderen Switch-Port gespiegelt, an dem ein Netzwerk-Teilnehmer den Datenverkehr mitschneidet.

In diesem Artikel wird beschrieben, wie Port-Mirroring auf einem Switch der GS-23xx Serie eingerichtet wird.

Wichtiger Hinweis zum Mitschneiden des Datenverkehrs an einem Mirror-Port per Wireshark auf einem Windows Computer


Das Betriebssystem Windows kann VLAN-Tags nicht verarbeiten. Daher wird hier ein Netzwerk-Treiber benötigt, welcher dies ermöglicht. Häufig werden die VLAN-Tags aber durch den Treiber gefiltert, sodass diese in einem Wireshark-Capture eines Mirror-Ports nicht enthalten sind. Dies kann die Analyse von VLAN-Problem im Netzwerk stark erschweren.

Bei einigen Herstellern ist es möglich Änderungen in der Treiber-Software vorzunehmen, damit die VLAN-Tags nicht mehr gefiltert werden. Bei anderen Herstellern müssen dafür Registry-Einträge gesetzt werden.

Weitergehende Informationen finden Sie auf der Wireshark-Webseite.  


Vorgehensweise:

1. Verbinden Sie sich per Webinterface mit dem Switch und wechseln in das Menü Configuration → Mirroring.

2. Passen Sie die folgenden Parameter an und klicken auf Apply:

  • Port to mirror to: Wählen Sie im Dropdownmenü den Ziel-Port aus. An diesem muss ein Netzwerk-Teilnehmer angeschlossen sein, der den Datenverkehr zur späteren Analyse aufzeichnet.
  • Port: Wählen Sie einen oder mehrere Quell-Port(s) aus, deren Datenverkehr an den Ziel-Port weitergeleitet werden soll und stellen den Mode auf Enabled. Dadurch wird jeglicher Datenverkehr an den Ziel-Port weitergeleitet. 

Statt jeglichen Datenverkehr weiterzuleiten, kann dies auch auf eingehenden Datenverkehr (Rx only) bzw. ausgehenden Datenverkehr (Tx only) eingeschränkt werden.

Die ausgehandelte Datenrate des Ziel-Ports muss mindestens der ausgehandelten Datenrate des / der Quell-Ports entsprechen. Ansonsten kann nicht aller Datenverkehr aufgezeichnet werden und die spätere Analyse wird stark erschwert oder ist sogar unmöglich. Dies ist besonders wichtig bei gleichzeitiger Verwendung mehrerer Quell-Ports.

Beispiele:

  • Quell-Port 1 GBit und Ziel-Port 1 GBit funktioniert
  • Quell-Port 10 GBit und Ziel-Port 1 GBit funktioniert nicht
  • Quell-Ports dreimal 1 GBit und Ziel-Port 10 Gbit funktioniert

3. Wechseln Sie in das Menü Maintenance → Save/Restore → Save Start und klicken auf Save, um die Konfiguration als Start-Konfiguration zu speichern.

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.


Wird der Port-Mirror nicht mehr benötigt, muss dieser deaktiviert werden:

  • Setzen Sie den Parameter Port to mirror to wieder auf Disabled.
  • Setzen Sie den Mode für alle Ports wieder auf Disabled.
  • Speichern Sie zuletzt die Konfiguration in dem Menü Save Start über die Schaltfläche Save wieder als Start-Konfiguration.