Verständnisfrage Switch

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Verständnisfrage Switch

      ein switch soll doch dafür sorgen, das Pakete von einem Port nur an den Empfängerport weitergegeben werden (so habe ich es verstanden?)

      also soll doch zB FTP von 192.168.1.25 (Port3 am switch) nur an 192.168.1.30 (Port4 am switch) gehen wenn ich an dieses Gerät per FTP gehe

      wenn ich aber den Switch-Port 5 mit dem Gerät 192.168.1.40 per Port Mirroring auf Switch-Port 6 spiegel und dort ein Laptop anschließe, bekomme ich mit wireshark den Traffic von allen Ports gelistet, auch den vom obigen Beispiel ??


      könnt ihr mir zum Verständnis helfen?
      ============================================================================================

    • Beim Port-Mirroring erhält man die
      - gespiegelten Pakete von Quelle und Ziel
      - Broadcasts (z.B. ARP) und ggf. Multicasts
      - Pakete des lokalen Interfaces

      Wenn du wirklich alle Pakete erhälst, ist es kein Switch, sondern nur ein Hub/Switching Hub

    • Beim Port-Mirroring erhält man die
      - gespiegelten Pakete von Quelle und Ziel
      ja, ich schrieb ja ich spiegel es
      - Broadcasts (z.B. ARP) und ggf. Multicasts
      - Pakete des lokalen Interfaces
      sagt mir leider nichts, zu sehr Laie ?(


      Wenn du wirklich alle Pakete erhälst, ist es kein Switch, sondern nur ein Hub/Switching Hub
      ich sehe im wireshark pakete von Port 3 an Port 4
      das es ein switch ist bin ich sicher, so sehr Laie auch nicht ( HP 1810 24G)
      (was nicht bedeutet, das ich nicht irgendwo etwas falsch/zu wenig eingestellt haben könnte, das ist absolut möglich!)



      Es kann sein das der Port 5 ein Uplink Port ist, dort wird der gesamte Traffic durchgeleitet und nicht nach Mac Adressen gefiltert
      ich find da nix, um es einzustellen/zu verwalten (es ist nicht der Gateway-Port)
      nach welcher Bezeichnung kann ich suchen?
      (in diesem Fall ist an Port 5 ein NAS mit Trunk von 5+6)


      Nachtrag: Danke für das Beschäftigen und die Hilfsversuche
      ============================================================================================

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von shadowrider ()

    • - Broadcasts (z.B. ARP) und ggf. Multicasts
      Das sind alle Pakete, die als Ziel die Broadcast Adresse haben. Im Heimnetz (255'er Netz) enden diese immer mit .255 oder 255.255.255.255
      Windows Samba schickt extrem viele davon. Beispiel:

      Quellcode

      1. 43 17.242055 192.168.8.21 192.168.8.255 UDP 305 54915 → 54915 Len=263
      Siehe Wikipedia de.wikipedia.org/wiki/Broadcast
      Oder ARP Request:

      Quellcode

      1. 41 16.608057 AsustekC_XX:XX:XX Broadcast ARP 60 Who has 192.168.8.1? Tell 192.168.8.22
      Edit: Bei IPv6 kommen oben besagten Multicasts dazu, meist Neighbor Advertisement/Solicitation


      - Pakete des lokalen Interfaces
      Alle Pakete an dem Interface, am dem Wireshark läuft, werden auch von Wireshark empfangen - das kann man irgendwo abschalten, steht im Wireshark wiki. Oder Filter anlegen.

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von Banana Joe ()

    • Eventuel (weiß nicht wie es genau lauft in der Realität) kanns es das auch geben nachdem Geräte oder der Switch aus war weil der Switch seine Forwarding Table updaten muß: wenn Gerät 1 (auf Port 1) was zu Gerät 2 (auf Port 2) schicken will weiß der switch noch nicht wo Gerät 2 ist, es gibt ein Broadcast nach alle Ports (die Pakete werden weggeschmießen durch alle andere Geräte die das Paket auch bekommen weil die MAC nicht stimmt). Der Switch merkt sich das Gerät 1 auf Port 1 sitzt (die Mac Adresse und der Port kommt in einer Liste). Gerät 2 antwortet, der switch weiß schon das die Mac von Gerät 1 auf Port 1 sitzt also kein Broadcast mehr. Da er jetzt auch weiß wo Gerät 2 ist weiß er auch wie er zukünftige Pakete für Gerät 2 forwarden muss. Eventuell werden Einträge gelöscht nach einer weil wenn ein Gerät eine Zeit lang nicht mehr aktiv ist.
      Dieser Algorithmus (der vermutlich vor allem mit ARP Pakete funktioniert weil das typisch die ersten Pakete sind die ein Gerät schickt) funktioniert nur wenn man (wenn der Switch nicht managed ist) keine Loops machst.

      @shadowrider Ich schick dir mal was per PN
      Docendo Discimus
      KEIN SUPPORT PER PN!

    • vielen Dank euch, heißt ich muss jetzt erstmal mich mit den Filtern beschäftigen

      die Menge an Broadcast ARP irritiert mich, irgendwann müssen doch alle Beteiligten wissen wer wer ist im Netz
      evtl muss ich da mal STP aktivieren
      ============================================================================================

    • hatte es schon probiert, gibt ja aber mehr broadcast als arp ;)
      zudem würde ich Filter gerne dauerhaft setzen und nicht bei jedem Neustart wieder eingeben müssen
      (irgendwie interssiert es nicht, was in Aufzeichnungen-Mittschnittfilter drin steht?)
      ============================================================================================

    • Na dann einfach logisch verknüpfen,
      z.b:

      eth.addr == ff:ff:ff:ff:ff:ff and not arp and not ip.dst==192.168.1.255/32

      Dann auf "save" klicken und namen vergeben, damit wird ein Knopf in der Leiste erstellt - der auch bei Neustart da bleibt.

      Nachtrag: Die Häugifkeit speziell bei ARP Anfragen ist meines Wissens Implementierungsabhängig; es gibt Gerätschaften, die fragen alle 2 Minuten, andere wiederum nur alle 10-20 Minuten.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Banana Joe ()

    • ich experimentiere ;-), dabei helfen die Hinweise sehr
      verknüpfen geht auch mit && hab ich bemerkt

      leider sind das aber eben Display-Filter, heißt generell kommt es ja erstmal mit
      es wäre aber zB grade broadcast geeignet, um es gleich vom capture auszunehmen
      ============================================================================================

    • Richtig.
      Broadcast wird zwangsläufig immer empfangen, weil sonst wäre es ja kein Broadcast

      Es gibt allerdings (hochpreisige) Switche, die unterstützen Broadcast/Multicast Suppression.
      Die HP 18xx und 19xx Switche können das allerdings nicht (habe gerade zufällig einen hier)

    • habe testweise grad mal Trunk für die beiden NAS-Leitungen entfernt und beide wieder getrennt dran, schlagartig um riesige Datenmengen ruhiger?
      einzig Spanning Tree kommt nun als häufigstes rein

      edit: Schlafmütze ich bin, musste natürlich Mirroring wieder auf die Ports setzen
      ============================================================================================

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von shadowrider ()

    • irgendwas kann da nicht richtig sein



      mirroring ist Port 17/IP 192.168.1.70 + Port 18/IP 192.168.1.71 auf Port 24 192.168.68.40

      gelistet wird zB. TCP 192.168.1.1 an 192.168.1.47
      das darf doch hier nicht ankommen??
      ============================================================================================

    • Öh... nein, sollte eigentlich nicht ankommen. Es sei denn, die 192.168.1.47 ist der Rechner, auf dem Wireshark läuft.
      Du sparst dir übrigens viel Arbeit und eventuelles Durcheinander, wenn du auf dem PC auf dem Wireshark läuft (Windows?) , alle Protokolle, also ipv4, ipv6 in den Netzwerkeinstellungen deaktiviert.