ComputerBase Menü
Aktuelles

VLAN/PortMirroring/Monitoring HP 1810-8G

K

kallii

Lt. Commander
Registriert
Sep. 2010
Beiträge
1.423
Hallo, ich suche derzeit eine praktische Lösung um den Traffic, welcher zum Modem geht per Client Monitoren zu können (getrennt nach Protokollen wie HTTP, oder Ports wie 443, 80 usw) Es geht mir garnicht darum überwachen zu können auf welchen Internetseiten gesurft wird sondern einfach um eine detailierte und genaue Traffic Überwachung.

Zum einsatz kommt hierbei PRTG, derzeit betreibe ich das ganze per SNMP V2c. Ich habe 2 VLANS am Switch konfiguriert, eines für Port 2-3 (Modem und WAN vom router) und die restlichen Ports als "Clients" VLAN sozusagen. Das ganze funktioniert soweit auch ganz gut, nur seltsamerweise zeigen mir alle Ports Traffic an, wenn z.b. Auf port 4 oder 5 oder 6, egal auf welchem Port Traffic über das WAN rausgeht. (Resultiert darin, dass für Port 4-8, also den Client Ports nahezu identische Werte angezeigt werden).
Lediglich wenn ich direkt über das WLAN des Routers surfe, zeigen mir nur noch Port 2 und 3 Traffic an. Gibt es keine Möglichkeit, jeden einzelnen Port zu überwachen oder zumindest per Quell IP? (Port 1 ist übrigens unbelegt und dient als PoE Stromzufuhr und wäre mittels des Adapters nur mit max. 100Mbit benutzbar)

Ich habe von Port Mirroring gelesen, dies könnte ich ja mit dem switch betreiben um dann letzendlich die Daten auf einem weiteren Port abfangen zu können. Wisst ihr wie dies eingerichtet werden muss? Sagen wir Port 8 wird dann der Mirror Port und Port 2, welcher ans Modem geht ist dann der Quellport? Werden dann überhaupt alle andren Ports mit berücksichtigt?

Eine weitere Frage die aufkommt ist, ob auch Clients, welche am eigentlichen Router hängen auch mit gezählt werden, da sie ja letztendlich, zumindest wenn sie ins Internet wollen ja über Port 2 und 3 müssen (LAN Modem|WAN Router)

Die letzte Frage ist, ob der Monitoring PC nun zwei Netzwerkkarten benötigt (1x 1Gbit vorhanden), da ja ein Port nur die Daten eines anderen "spiegelt". Da ich von dem Thema noch bisher keine Ahnung habe, gehe ich mal davon aus, dass ich hierfür mind. 2 Netzwerkkarten im Monitoring PC brauche um mir weitere Konfigurationen ersparen zu können.

Wenn weitere Informationen benötigt werden, bitte einfach nachfragen, ich weiß nicht welche Faktoren noch weiterein für eine Antwort benötigt werden.

Vielen Dank schonmal

Switch HP 1810-8G
Router Asus RT-N66u
Monitoring Software Paessler PRTG

Übrigens, wen es interessiert, PRTG gibt's über einen Link aus der C't auch für bis zu 50 Sensoren kostenlos!
 
Zuletzt bearbeitet:
Ich glaube du verwechselst hier ein paar Dinge und mir fehlen ein paar Infos um genau zu verstehen, was du da konfiguriert hast. Mal so ganz allgemein:

Per SNMP fragst du ja nur irgendwelche Counter der Interface ab. Ein Counter kann z.B. die Datenmenge sein, die durch das Interface geht. Ein Interface kann ein physisches Interface sein (Port 1 z.B.) oder eben ein VLAN Interface (VLAN 2 z.B.). Wenn du ein physisches Interface abfragst, bekommst du natürlich nur die Infos zu diesem Interface. Wenn du ein VLAN abfragst, bekommst du natürlich die Menge aller Daten, die durch dieses VLAN laufen.

Du willst aber jetzt nicht nur bloß Traffic messen (Megabyte in und out), sondern genau analysieren welches Protokoll wieviel Traffic erzeugt hat. Das wirst du mit SNMP nicht hinbekommen. Dazu brauchst du dann das von dir erwähnte Mirroring. Abhängig davon wieviele Ports du als Quelle angeben kannst, musst du dir eine sinnvolle Konfiguration überlegen. Wenn dich nur der Internettraffic interessiert, reicht es sicher aus den Modemport zu spiegeln. Dann siehst du aber keinen Traffic der Clients untereinander. Als Zielport gibst du den Port an, an dem dein Monitoring PC hängt. Dort muss dann eine Analysesoftware laufen, die den gespiegelten Traffic auswertet. Das könnte z.B. nTop sein (http://www.ntop.org/products/ntop/). Für eine kurze Momentaufnahme reicht ggf. schon Wireshark oder ein anderer Sniffer.

Die gute Lösung wäre Netflow. Aber ich weiß nicht, ob der HP Switch Netflow unterstützt.
 
Zuletzt bearbeitet:
Das mit dem NetFlow kam nir auch schon in den Sinn, das wird wohl aber eher primär von Cisco unterstüzt und dann fallen wir auch schon aus dem Heimanwender Preissegment raus hehe. Das das auslesen der detailierten Trafficdaten mittels SNMP nicht möglich ist, ist mir klar, jedoch war mir nicht bewusst, dass evtl. das VLAN das Problem sein könnte. Und letztendlich ist mir der Traffic zwischen den einzelnen PC's nicht so wichtig, bzw. nicht vorgesehen. Das seltsame ist aber, dass für jeden Port (1-8) einen eigenen Counter habe und wie beschrieben sich trotzdem jeder Traffic der rüber auf Port 2-3 geht auf alle Counter drauf schreibt.
 
pascallehall schrieb:
Das mit dem NetFlow kam nir auch schon in den Sinn, das wird wohl aber eher primär von Cisco unterstüzt und dann fallen wir auch schon aus dem Heimanwender Preissegment raus hehe. Das das auslesen der detailierten Trafficdaten mittels SNMP nicht möglich ist, ist mir klar, jedoch war mir nicht bewusst, dass evtl. das VLAN das Problem sein könnte. Und letztendlich ist mir der Traffic zwischen den einzelnen PC's nicht so wichtig, bzw. nicht vorgesehen. Das seltsame ist aber, dass für jeden Port (1-8) einen eigenen Counter habe und wie beschrieben sich trotzdem jeder Traffic der rüber auf Port 2-3 geht auf alle Counter drauf schreibt.
Zum Vergrößern anklicken....

Wenn dem so ist könnte das auch auf ein Problem hindeuten. Schonmal auf einem PC geschaut ob du Traffic für einen anderen PC siehst? Das klingt ja fast wie Broadcasts wegen fehlendem MAC Eintrag am Switch. Kannst du die Counter auch direkt auf dem Switch einsehen oder schaust du dir das nur über PRTG an?
 
Ich habe mich bisher außer mit dem HTTP Webinterface nicht mit dem Switch verbunden, ich muss auch zugeben, dass VLAN Tagging usw nicht gerade so meine Stärke ist hehe. Okay, das Volumenproblem ist behoben... richtig dummer Ablesefehler, ich poste mal das Bild...

Also stimmt es doch, was dort angezeigt wird, ich war verwirrt, dass so viele Sensoren etwas anzeigen, wenn eigentlich nur vier Stück betroffen sein müssten.



*facepalm* okay, jetzt die Frage zu dem Port mirroring, hat jemand eine Ahnung wie ich Port 2, welcher im VLAN 1 an das Modem führt spiegeln kann um somit die Trafficstatistiken mitschneiden zu können?

Also nochmal

Port 2-3 VLAN 1 (Port 2 an Modem, Port 3 an Router (WAN))
Port 4-8 VLAN 2 (Client Ports, wobei Port 4 wiederum auch zum Router wandert, ist eine schreckliche Lösung ich weiß, aber da es durch VLAN's sauber getrennt ist kein Problem. Und nein Am Asus Router selbst werde ich keine weiteren Clients anschließen, lediglich die WLAN clients, die dann ja der logik nach auch mitgemonitored werden, sobald sie im WAN Traffic verursachen.) Also sind theoretisch Ports 5-8 reine Client Ports, die sich über Port 4 ihre DCHP Leases vom eigentlichen Router holen.
 
Wie das Port Mirroring eingerichtet wird, steht im Handbuch. Einfach Source Port (Port 2) und Destination Port (der Port an dem der Monitoring PC steckt) auswählen.

Kapitel 4-3:
http://bizsupport1.austin.hp.com/bc/docs/support/SupportManual/c02563753/c02563753.pdf

Den Hinweis beachten: Der Destination Port kann keinen normalen Traffic mehr weiterleiten. D.h. da kannst du dann nur mitlesen, sonst nix. TX und RX bedeutet, dass du entscheiden kannst ob du nur ausgehenden oder auch eingehenden Traffic spiegeln willst. Beachtenswert ist dabei, dass sich die Bandbreite am Zielport theoretisch verdoppeln kann: Wenn du am Source Port 100 MBit rein und 100 MBit raus schickst und diesen Traffic mit TX und RX spiegelst, musst du am Zielport 200 MBit abgreifen können. Wahrscheinlich ist das aber für dich nicht relevant weil du a) Internettraffic spiegeln willst und b) wahrscheinlich Gigabit am Zielport hast.
 
Perfekte antwort, werde ich heute abend noch probieren, richtig nur den Wan Traffic, und da der sich maximal bislang auf 107Mbit beschränkt sollte das kein Problem sein, da ja am Zielport (Monitoringserver) Gigabit vorhanden ist. Meinst du, durch das Monitoring werde ich Verluste durch die CPU Leistung des Switches erleiden auf dem weg vom Modem zum Ziel.. also aufgrund des Mirrorings und dessen verursachte "Last" die wo auch immer stattfindet. Also habe ich richtig erkannt, dass ich am Server dann eine zusätzliche (also zweite) NIC mit 1Gbit brauche?


Okay eine Frage fehlt an der Stelle dann noch, diese Aktion verschleißt ja fast alle Ports, werden die Geräte, welche auch Direkt am Router angeschlossen sind mitgeloggt?

Problem ist ja, dass vom Switch eigentlich 2 Kabel an den Router gehen. Und auch der Router die Clients an den Restlichen Ports versorgt oder ist das kein Problem, ja klar ich weiß die Power begrenz sich dann unter den Clients dann auf maximal gleichzeitig 1Gbit wenn sie gleichzeitig untereinander kommunizieren aber den weg zunächst über den Router nehmen müssen, sehe ich das auch richtig so? Ist ja sozusagen nur ein "Uplink"...
 
Zuletzt bearbeitet:
pascallehall schrieb:
Perfekte antwort, werde ich heute abend noch probieren, richtig nur den Wan Traffic, und da der sich maximal bislang auf 107Mbit beschränkt sollte das kein Problem sein, da ja am Zielport (Monitoringserver) Gigabit vorhanden ist. Meinst du, durch das Monitoring werde ich Verluste durch die CPU Leistung des Switches erleiden auf dem weg vom Modem zum Ziel.. also aufgrund des Mirrorings und dessen verursachte "Last" die wo auch immer stattfindet. Also habe ich richtig erkannt, dass ich am Server dann eine zusätzliche (also zweite) NIC mit 1Gbit brauche?
Zum Vergrößern anklicken....

Würde ich so machen, ja. Der Monitoring Port ist ja sozusagen tot. Wenn der Server aber noch über das Netz kommunizieren soll, dann hilft nur eine zweite Netzwerkkarte.

pascallehall schrieb:
Okay eine Frage fehlt an der Stelle dann noch, diese Aktion verschleißt ja fast alle Ports, werden die Geräte, welche auch Direkt am Router angeschlossen sind mitgeloggt?
Zum Vergrößern anklicken....

Wenn du den Modem Port spiegelst, spiegelst du alles, was an diesem Port rein oder raus geht. Mehr nicht. Dabei spielt es keine Rolle woher die Daten kommen. Wenn du die Pakete sehen willst, ist es nur wichtig, dass sie über den Modem Port fließen. In deinem Falle ist das eben alles, was raus ins Internet geht.

pascallehall schrieb:
Problem ist ja, dass vom Switch eigentlich 2 Kabel an den Router gehen. Und auch der Router die Clients an den Restlichen Ports versorgt oder ist das kein Problem, ja klar ich weiß die Power begrenz sich dann unter den Clients dann auf maximal gleichzeitig 1Gbit wenn sie gleichzeitig untereinander kommunizieren aber den weg zunächst über den Router nehmen müssen, sehe ich das auch richtig so? Ist ja sozusagen nur ein "Uplink"...
Zum Vergrößern anklicken....

Ja klar. Wenn du 3 Clients direkt am Router anschließt und 3 Clients am Switch, dann ist die Engstelle eben der Uplink zwischen Router und Switch.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

linuxnutzer
Neues Konzept mit Mikrotik CRS Switch / RouterOS, Fritzbox, VLAN, etc.
2 3 4
Antworten
75
Aufrufe
16.258
linuxnutzer
linuxnutzer
N
Cisco SG 200 VLAN - Ports isolieren
Antworten
6
Aufrufe
2.502
Masamune2
M
M
PPPoE vom ASUS-Router weitergeleitet an HP 1810-8 Switch möglich?
Antworten
10
Aufrufe
1.694
DonConto
DonConto
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz