Netzwerk/L2/Port/Mirroring: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(25 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Port Mirroring''' - Kopieren des Datenverkehrs einer Quelle (Ports, LAGs oder die CPU) an einen Zielport  
'''Port Mirroring''' - Kopieren des Datenverkehrs einer Quelle (Ports, LAGs oder die CPU) an einen Zielport  
== Beschreibung ==
; Motivation
* Verhalten von Endgeräte untersuchen


== Beschreibung ==
; Möglichkeiten
=== Motivation ===
* Verhalten von Endgeräte im Netzwerk untersuchen
* Port Mirroring am Switch
* Port Mirroring am Switch
* Andere günstige Lösung
* Netwerk-Tap


==== Problematik ====
==== Problematik ====
Zeile 12: Zeile 13:
* Aber schon bei 100MBit sind Switches im Einsatz und die entscheiden anhand der MAC-Adresse, was ich sehen kann
* Aber schon bei 100MBit sind Switches im Einsatz und die entscheiden anhand der MAC-Adresse, was ich sehen kann


; Allerdings gibt es bei "verwalteten" Switches oft die Möglichkeit, einen Port zu "Spiegeln" (Mirroring), d.h. alle Daten die auf einem Port raus und rein gehen, werden auf einem anderen Port als Kopie noch einmal ausgegeben.
; Allerdings gibt es bei "verwalteten" Switches oft die Möglichkeit, einen Port zu "Spiegeln" (Mirroring), d.h. alle Daten, die auf einem Port raus- und reingehen, werden auf einem anderen Port als Kopie noch einmal ausgegeben.
* So kann dann ein an diesem Port angeschlossener Analyseclient diese Daten mitschneiden und analysieren.
* So kann dann ein an diesem Port angeschlossener Analyseclient diese Daten mitschneiden und analysieren.


Zeile 22: Zeile 23:


; Verkehrsdatenerfassung
; Verkehrsdatenerfassung
* Wenn ihr Router/Switch kein SFLOW, NetFlow o.ä. Unterstützt, dann ist es durchaus eine Option die fragliche Leitung zu "spiegeln" und an einem anderen System die Datenpakete auf Quelle und Ziel zu untersuchen, z.B. mit NTOP o.ä. FehlersucheGanz generell ist so ein Mitschnitt immer dann ein Weg zur Fehlersuche, wenn alle anderen "offensichtlichen" Probleme nicht zutreffen.
* Wenn ihr Router/Switch kein SFLOW, NetFlow o.ä. unterstützt, dann ist es durchaus eine Option, die fragliche Leitung zu "spiegeln" und an einem anderen System die Datenpakete auf Quelle und Ziel zu untersuchen, z. B.  mit NTOP o.ä. Fehlersuche
* Selbst ein Netzwerkmonitor auf einem beteiligten Server sieht immer nur, was über den Netzwerkstack zur Netzwerkkarte geht aber nicht, was letztlich auf dem Kabel landet.
* Generell ist so ein Mitschnitt immer dann ein Weg zur Fehlersuche, wenn alle anderen "offensichtlichen" Probleme nicht zutreffen
* Ich kann mich gut an den Fall erinnern, als zwischen zwei Exchange Servern Mails mit 25 Empfänger nicht zugestellt wurden.
* Selbst ein Netzwerkmonitor auf einem beteiligten Server sieht immer nur, was über den Netzwerkstack zur Netzwerkkarte geht, aber nicht, was letztlich auf dem Kabel landet
* Ursache war ein fehlerhafter Netzwerktreiber, der das Paket nie auf die Leitung gesetzt hat.
* Ich kann mich gut an den Fall erinnern, als zwischen zwei Exchange Servern Mails mit 25 Empfänger nicht zugestellt wurden
* Das war in NETMON auf dem absendenden Server nicht zu sehen.
* Ursache war ein fehlerhafter Netzwerktreiber, der das Paket nie auf die Leitung gesetzt hat
* Das war in NETMON auf dem absendenden Server nicht zu sehen


; Das Problem der großen Switches ist aber, dass Sie ein groß sind und damit eher stationär eingesetzt werden
; Das Problem der großen Switches ist aber, dass sie ein groß sind und damit eher stationär eingesetzt werden
* Weiterhin muss das Mirroring über die Managementfunktionen konfiguriert werden, die sich nicht immer auf Anhieb erschließen.
* Weiterhin muss das Mirroring über die Managementfunktionen konfiguriert werden, die sich nicht immer auf Anhieb erschließen
* Zudem sind solche Switches in der Regel etwas teurer.
* Zudem sind solche Switches in der Regel etwas teurer


=== Port-Spiegelung ===
=== Port-Spiegelung ===
Port Mirroring wird auf einem [https://en.wikipedia.org/wiki/Network_switch Netzwerk-Switch] verwendet, um eine Kopie von [https://en.wikipedia.org/wiki/Computer_network Netzwerk-] [https://en.wikipedia.org/wiki/Packet_(Informationstechnologie)-Paketen], die auf einem Switch-[https://en.wikipedia.org/wiki/Port_(Computer_Netzwerk)-Port] (oder einem gesamten [https://en.wikipedia.org/wiki/VLAN VLAN]) gesehen werden, an eine [https://en.wikipedia.org/wiki/Network_monitoring Netzwerküberwachung]-Verbindung auf einem anderen Switch-Port zu senden.
Port Mirroring wird auf einem [https://en.wikipedia.org/wiki/Network_switch Netzwerk-Switch] verwendet, um eine Kopie von [https://en.wikipedia.org/wiki/Computer_network Netzwerk-] [https://en.wikipedia.org/wiki/Packet_(Informationstechnologie)-Paketen], die auf einem Switch-[https://en.wikipedia.org/wiki/Port_(Computer_Netzwerk)-Port] (oder einem gesamten [https://en.wikipedia.org/wiki/VLAN VLAN]) gesehen werden, an eine [https://en.wikipedia.org/wiki/Network_monitoring Netzwerküberwachung]-Verbindung auf einem anderen Switch-Port zu senden.
* Dies wird üblicherweise für Netzwerkgeräte verwendet, die eine Überwachung des Netzwerkverkehrs erfordern, wie z. B. ein [https://en.wikipedia.org/wiki/Intrusion_detection_system Intrusion Detection System], [https://en.wikipedia.org/w/index.php?title=Passive_probing&action=edit&redlink=1 Passive Probe] oder [https://en.wikipedia.org/wiki/Real_user_monitoring Real User Monitoring] (RUM) Technologie, die zur Unterstützung von [https://en.wikipedia.org/wiki/Application_performance_management Application Performance Management] (APM) verwendet wird.
* Dies wird üblicherweise für Netzwerkgeräte verwendet, die eine Überwachung des Netzwerkverkehrs erfordern, wie z. B.  ein [https://en.wikipedia.org/wiki/Intrusion_detection_system Intrusion Detection System], [https://en.wikipedia.org/w/index.php?title=Passive_probing&action=edit&redlink=1 Passive Probe] oder [https://en.wikipedia.org/wiki/Real_user_monitoring Real User Monitoring] (RUM) Technologie, die zur Unterstützung von [https://en.wikipedia.org/wiki/Application_performance_management Application Performance Management] (APM) verwendet wird.
* Port Mirroring auf einem [https://en.wikipedia.org/wiki/Cisco_Systems Cisco Systems] Switch wird im Allgemeinen als Switched Port Analyzer (SPAN) oder Remote Switched Port Analyzer (RSPAN) bezeichnet.
* Port Mirroring auf einem [https://en.wikipedia.org/wiki/Cisco_Systems Cisco Systems] Switch wird im Allgemeinen als Switched Port Analyzer (SPAN) oder Remote Switched Port Analyzer (RSPAN) bezeichnet.
* Andere Hersteller haben andere Bezeichnungen dafür, z. B. Roving Analysis Port (RAP) auf [https://en.wikipedia.org/wiki/3Com 3Com]-Switches.
* Andere Hersteller haben andere Bezeichnungen dafür, z. B.  Roving Analysis Port (RAP) auf [https://en.wikipedia.org/wiki/3Com 3Com]-Switches.


Netzwerktechniker oder -administratoren verwenden die Port-Spiegelung, um Daten zu analysieren und [https://en.wikipedia.org/wiki/Debugging debug] oder Fehler in einem Netzwerk zu diagnostizieren.
Netzwerktechniker oder -administratoren verwenden die Port-Spiegelung, um Daten zu analysieren und [https://en.wikipedia.org/wiki/Debugging debug] oder Fehler in einem Netzwerk zu diagnostizieren.
Zeile 45: Zeile 47:


=== Port-Mirroring ===
=== Port-Mirroring ===
; Beim Port-Mirroring spiegelt der Switch die Datenströme eines ausgewählten Ports (monitored Port) auf einen Ausgabe-Port (Monitoring-Port).
; Beim Port-Mirroring spiegelt der Switch die Datenströme eines ausgewählten Ports (monitored Port) auf einen Ausgabe-Port (Monitoring-Port)
* So kann der Datenstrom des ausgewählten Ports mittels einem am Monitoring-Port angeschlossenen Messgerät analysiert werden, wie in Abbildung 2-8 dargestellt.
* So kann der Datenstrom des ausgewählten Ports mittels einem am Monitoring-Port angeschlossenen Messgerät analysiert werden, wie dargestellt


[[Image:Bild14.png|top|alt="Bild :Datenverkehr auslesen mittels Port-Mirroring"]]
[[Image:Bild14.png|top|alt="Bild :Datenverkehr auslesen mittels Port-Mirroring"]]
Zeile 52: Zeile 54:
; Bild :Datenverkehr auslesen mittels Port-Mirroring
; Bild :Datenverkehr auslesen mittels Port-Mirroring


; Der verwendete Switch muss hierzu Port-Mirroring unterstützen.
; Der verwendete Switch muss hierzu Port-Mirroring unterstützen
* Die gesendeten und empfangenen Daten des zu überwachenden Ports (monitored Port) werden auf den Monitoring Port übertragen.
* Die gesendeten und empfangenen Daten des zu überwachenden Ports (monitored Port) werden auf den Monitoring Port übertragen
* Die Datenrate des Monitoring-Ports begrenzt dabei die zu analysierende Datenmenge.
* Die Datenrate des Monitoring-Ports begrenzt dabei die zu analysierende Datenmenge.
* Die Summe der ein- und ausgehenden Daten auf dem monitored Port darf die Datenrate des Monitoring-Ports nicht übersteigen.
* Die Summe der ein- und ausgehenden Daten auf dem monitored Port darf die Datenrate des Monitoring-Ports nicht übersteigen
 
* Port-Mirroring bietet eine einfache Methode, Datenströme auszulesen.
* Der verwendete Switch muss Port Mirroring unterstützen und es muss ein freier Port am Switch zur Verfügung stehen.
* Es können nur Daten erfasst werden, die den Switch durchlaufen.
* Von dem Einbauort des Switches hängt daher ab, welche Datenströme erfasst werden können.
* Die am Monitoring-Port ausgegebenen Pakete können sich von den ursprünglichen Paketen in Bezug auf ihren Aufbau (VLAN-Tag) sowie die zeitliche Zuordnung unterscheiden.
 
[https://www.profinet.felser.ch/port-mirroring.html https://www.profinet.felser.ch/port-mirroring.html]


== Anwendungen ==
; Port-Mirroring bietet eine einfache Methode, Datenströme auszulesen
* Der verwendete Switch muss Port Mirroring unterstützen und es muss ein freier Port am Switch zur Verfügung stehen
* Es können nur Daten erfasst werden, die den Switch durchlaufen
* Von dem Einbauort des Switches hängt daher ab, welche Datenströme erfasst werden können
* Die am Monitoring-Port ausgegebenen Pakete können sich von den ursprünglichen Paketen in Bezug auf ihren Aufbau (VLAN-Tag) sowie die zeitliche Zuordnung unterscheiden


== Sicherheit ==
<noinclude>
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/Port}}
----
* [[T2600G/Maintenance/Mirroring]]


== Siehe auch ==
==== Links ====
# [https://en.wikipedia.org/wiki/VLAN_access_control_list VLAN access control list] (VACL)
===== Weblinks =====
 
* [https://en.wikipedia.org/wiki/VLAN_access_control_list VLAN access control list] (VACL)
=== Dokumentation ===
==== RFC ====
==== Man-Pages ====
==== Info-Pages ====
=== Links ===
==== Einzelnachweise ====
<references />
==== Projekt ====
==== Weblinks ====
* https://www.juniper.net/documentation/us/en/software/junos/network-mgmt/topics/topic-map/port-mirroring-and-analyzers.html
* https://www.juniper.net/documentation/us/en/software/junos/network-mgmt/topics/topic-map/port-mirroring-and-analyzers.html
* https://www.msxfaq.de/tools/3rdparty/portmirroring.htm
* https://www.msxfaq.de/tools/3rdparty/portmirroring.htm
Zeile 103: Zeile 97:
* [http://searchnetworking.techtarget.com/definition/port-mirroring Port mirroring (roving analysis port)] - TechTarget, 2014
* [http://searchnetworking.techtarget.com/definition/port-mirroring Port mirroring (roving analysis port)] - TechTarget, 2014
* [https://www.techopedia.com/definition/16134/port-mirroring Port Mirroring] - Technopedia
* [https://www.techopedia.com/definition/16134/port-mirroring Port Mirroring] - Technopedia
* https://www.msxfaq.de/tools/3rdparty/portmirroring.htm


; https://www.msxfaq.de/tools/3rdparty/portmirroring.htm
[[Kategorie:Switch]]
[[Kategorie:Netzwerk/L2/Port]]


== Testfragen ==
</noinclude>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>

Aktuelle Version vom 2. Februar 2024, 02:11 Uhr

Port Mirroring - Kopieren des Datenverkehrs einer Quelle (Ports, LAGs oder die CPU) an einen Zielport

Beschreibung

Motivation
  • Verhalten von Endgeräte untersuchen
Möglichkeiten
  • Port Mirroring am Switch
  • Netwerk-Tap

Problematik

Der Einsatz von NetMon 3 und WireShark erfordert, dass man die Pakete auch geliefert bekommt, die man anschauen will
  • Das funktioniert auf einem "shared Medium" wie dem alten BNC-Kabel (10MBit) oder einem Hub recht einfach
  • Aber schon bei 100MBit sind Switches im Einsatz und die entscheiden anhand der MAC-Adresse, was ich sehen kann
Allerdings gibt es bei "verwalteten" Switches oft die Möglichkeit, einen Port zu "Spiegeln" (Mirroring), d.h. alle Daten, die auf einem Port raus- und reingehen, werden auf einem anderen Port als Kopie noch einmal ausgegeben.
  • So kann dann ein an diesem Port angeschlossener Analyseclient diese Daten mitschneiden und analysieren.
Einsatzbereich

Analyse von Endgeräten

  • Ich schaue schon mal gerne einem VoIP-Telefon auf die Finger
  • in welcher Reihenfolge es versucht Namen aufzulösen und Hosts zu erreichen
  • Auch "Smart-TVs" sind durchaus für eine weitere Untersuchung interessant
Verkehrsdatenerfassung
  • Wenn ihr Router/Switch kein SFLOW, NetFlow o.ä. unterstützt, dann ist es durchaus eine Option, die fragliche Leitung zu "spiegeln" und an einem anderen System die Datenpakete auf Quelle und Ziel zu untersuchen, z. B.  mit NTOP o.ä. Fehlersuche
  • Generell ist so ein Mitschnitt immer dann ein Weg zur Fehlersuche, wenn alle anderen "offensichtlichen" Probleme nicht zutreffen
  • Selbst ein Netzwerkmonitor auf einem beteiligten Server sieht immer nur, was über den Netzwerkstack zur Netzwerkkarte geht, aber nicht, was letztlich auf dem Kabel landet
  • Ich kann mich gut an den Fall erinnern, als zwischen zwei Exchange Servern Mails mit 25 Empfänger nicht zugestellt wurden
  • Ursache war ein fehlerhafter Netzwerktreiber, der das Paket nie auf die Leitung gesetzt hat
  • Das war in NETMON auf dem absendenden Server nicht zu sehen
Das Problem der großen Switches ist aber, dass sie ein groß sind und damit eher stationär eingesetzt werden
  • Weiterhin muss das Mirroring über die Managementfunktionen konfiguriert werden, die sich nicht immer auf Anhieb erschließen
  • Zudem sind solche Switches in der Regel etwas teurer

Port-Spiegelung

Port Mirroring wird auf einem Netzwerk-Switch verwendet, um eine Kopie von Netzwerk- [1], die auf einem Switch-[2] (oder einem gesamten VLAN) gesehen werden, an eine Netzwerküberwachung-Verbindung auf einem anderen Switch-Port zu senden.

  • Dies wird üblicherweise für Netzwerkgeräte verwendet, die eine Überwachung des Netzwerkverkehrs erfordern, wie z. B.  ein Intrusion Detection System, Passive Probe oder Real User Monitoring (RUM) Technologie, die zur Unterstützung von Application Performance Management (APM) verwendet wird.
  • Port Mirroring auf einem Cisco Systems Switch wird im Allgemeinen als Switched Port Analyzer (SPAN) oder Remote Switched Port Analyzer (RSPAN) bezeichnet.
  • Andere Hersteller haben andere Bezeichnungen dafür, z. B.  Roving Analysis Port (RAP) auf 3Com-Switches.

Netzwerktechniker oder -administratoren verwenden die Port-Spiegelung, um Daten zu analysieren und debug oder Fehler in einem Netzwerk zu diagnostizieren.

  • Es hilft Administratoren, die Netzwerkleistung genau im Auge zu behalten und alarmiert sie, wenn Probleme auftreten.
  • Es kann verwendet werden, um entweder eingehenden oder ausgehenden Datenverkehr (oder beides) auf einer oder mehreren Schnittstellen zu spiegeln.
  1. https://en.wikipedia.org/wiki/Port_mirroring

Port-Mirroring

Beim Port-Mirroring spiegelt der Switch die Datenströme eines ausgewählten Ports (monitored Port) auf einen Ausgabe-Port (Monitoring-Port)
  • So kann der Datenstrom des ausgewählten Ports mittels einem am Monitoring-Port angeschlossenen Messgerät analysiert werden, wie dargestellt

"Bild :Datenverkehr auslesen mittels Port-Mirroring"

Bild
Datenverkehr auslesen mittels Port-Mirroring
Der verwendete Switch muss hierzu Port-Mirroring unterstützen
  • Die gesendeten und empfangenen Daten des zu überwachenden Ports (monitored Port) werden auf den Monitoring Port übertragen
  • Die Datenrate des Monitoring-Ports begrenzt dabei die zu analysierende Datenmenge.
  • Die Summe der ein- und ausgehenden Daten auf dem monitored Port darf die Datenrate des Monitoring-Ports nicht übersteigen
Port-Mirroring bietet eine einfache Methode, Datenströme auszulesen
  • Der verwendete Switch muss Port Mirroring unterstützen und es muss ein freier Port am Switch zur Verfügung stehen
  • Es können nur Daten erfasst werden, die den Switch durchlaufen
  • Von dem Einbauort des Switches hängt daher ab, welche Datenströme erfasst werden können
  • Die am Monitoring-Port ausgegebenen Pakete können sich von den ursprünglichen Paketen in Bezug auf ihren Aufbau (VLAN-Tag) sowie die zeitliche Zuordnung unterscheiden


Anhang

Siehe auch


Links

Weblinks