9
TP-Link TL-SG2008 Layer2-Switch filtert keine MAC-Adressen?
Hat jemand im Forum Erfahrung mit diesem Switch?
Habe auf Port 4 und 7 Clients im VLAN7 konfiguriert - beide Kommunizieren über Port8 (TRUNK) zu einem Router.
Wenn ich zb von Client auf Port 4 einen Ping absetze, den ich in ein anderes Netz schicke dann geht dies korrekter Weise über Port 8 auf einen anderen Switch zu einem Router der dies dann auch korrekt zustellt.
Nun sniffe ich auf Port 7 auf Pakete und sehe sowohl ICMP-Request sowie ICMP Reply Paket für den Client auf Port 4.
Die MAC-Adressen in den Paketen sind auch nur jene von Client von Port 4 und dem Router ... und nie vom Client auf Port 7.
Nun habe ich für Port 7 bereits einen Eintrag für Static-Adress unter dem Punkt MAC-Adressen, damit nur diese MAC-Adresse (also für Client hinter Port 7) durchgelassen wird (in meinem Fall E4-11-5B-23-xx-xx).
Trotzdem Empfange ich Pakete auf Client hinter Port 7 die zb SenderMAC 50-E5-49-5B-xx-xx (von Client hinter Port4) und EmpfängerMAC 74-D0-2B-90-xx-xx (von Router hinter Port 8) haben?
Auch habe ich schon Port-Isolation eingestellt, dass Port 4 nur auf Port 8 und Port 7 auch nur auf Port 8 kommunizieren darf.
Hat jemand einen Ahnung was ich falsch mache?
Habe auf Port 4 und 7 Clients im VLAN7 konfiguriert - beide Kommunizieren über Port8 (TRUNK) zu einem Router.
Wenn ich zb von Client auf Port 4 einen Ping absetze, den ich in ein anderes Netz schicke dann geht dies korrekter Weise über Port 8 auf einen anderen Switch zu einem Router der dies dann auch korrekt zustellt.
Nun sniffe ich auf Port 7 auf Pakete und sehe sowohl ICMP-Request sowie ICMP Reply Paket für den Client auf Port 4.
Die MAC-Adressen in den Paketen sind auch nur jene von Client von Port 4 und dem Router ... und nie vom Client auf Port 7.
Nun habe ich für Port 7 bereits einen Eintrag für Static-Adress unter dem Punkt MAC-Adressen, damit nur diese MAC-Adresse (also für Client hinter Port 7) durchgelassen wird (in meinem Fall E4-11-5B-23-xx-xx).
Trotzdem Empfange ich Pakete auf Client hinter Port 7 die zb SenderMAC 50-E5-49-5B-xx-xx (von Client hinter Port4) und EmpfängerMAC 74-D0-2B-90-xx-xx (von Router hinter Port 8) haben?
Auch habe ich schon Port-Isolation eingestellt, dass Port 4 nur auf Port 8 und Port 7 auch nur auf Port 8 kommunizieren darf.
Hat jemand einen Ahnung was ich falsch mache?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 247660
Url: https://administrator.de/contentid/247660
Printed on: April 19, 2024 at 22:04 o'clock
9 Comments
Latest comment
Filter wirken auf solchen Billigkomponenten immer nur inbound niemals aber outbound. Sonst könntest du das konfigurieren.
Dein Mac Filter wirkt also rein nur auf Pakete die vom Port bzw. Client in den Switch hineingehen nicht in die andere Richtung !
Folglich siehst du also immer Pakete die von überall her auf diese Mac Adresse gehen die hinter dem Port hängt denn outbound (also vom Switch raus auf den Port) greift der Filter nicht.
Das tut der Filterwirkung an sich aber keinen Abbruch, denn senden kann der Client so ja nicht mehr und damit bricht dann jegliche Kommunikation zu diesem Client ab.
Dein Mac Filter wirkt also rein nur auf Pakete die vom Port bzw. Client in den Switch hineingehen nicht in die andere Richtung !
Folglich siehst du also immer Pakete die von überall her auf diese Mac Adresse gehen die hinter dem Port hängt denn outbound (also vom Switch raus auf den Port) greift der Filter nicht.
Das tut der Filterwirkung an sich aber keinen Abbruch, denn senden kann der Client so ja nicht mehr und damit bricht dann jegliche Kommunikation zu diesem Client ab.
Bei all den "Plastik-Switches" die wir im Haus haben kann ich nicht mitsniffen, da die Pakete nur an die Ports zugestellt werden, wo auch die MAC-Adresse in den (nicht einsehbaren) MAC-Tabellen eingetragen ist.
Dies macht sich bemerkbar, wenn ich zb auf Port 2 sniffe und Port 3 Daten bekommt - sehe ich die nur kurz, wenn ich Client auf Port 3 auf 4 umstecke ... dann braucht er kurz, da er ja auf Port 3 keinen findet und stellt dann überall, also auch auf Port2 zu ... nach einer kurzen Zeit wird dann aber nur mehr auf Port 4 zugestellt und Client hinter Port 2 bekommt nichts mehr mit.
Ich dachte immer, dass ist das Standardverhalten von Switches?!
Sonst wäre er ja immer im HUB-Betrieb?!
Dies macht sich bemerkbar, wenn ich zb auf Port 2 sniffe und Port 3 Daten bekommt - sehe ich die nur kurz, wenn ich Client auf Port 3 auf 4 umstecke ... dann braucht er kurz, da er ja auf Port 3 keinen findet und stellt dann überall, also auch auf Port2 zu ... nach einer kurzen Zeit wird dann aber nur mehr auf Port 4 zugestellt und Client hinter Port 2 bekommt nichts mehr mit.
Ich dachte immer, dass ist das Standardverhalten von Switches?!
Sonst wäre er ja immer im HUB-Betrieb?!
kann ich nicht mitsniffen, da die Pakete nur an die Ports zugestellt werden
Wenn das reine "Plastikswitches" sind, also ungemanaged hast du Recht, das geht dann nicht. Bei allen anderen kann man einen Mirrorport konfigurieren und dann mitsniffern.Normal ist das Verhalten so das die Mac Forwarding Tabelle im Switch die Macs lernt wenn sie diese am Port "sieht". So weiss also der Switch wo an welchem Port welche Mac Adresse ist und kann so Pakete sauber forwarden auf Layer 2 Basis.
Broad- und Multicasts erkennt er an der Mac Adressstruktur und flutet diese generell auf alle Ports.
Tricky wird es wenn du umsteckst. Normale gute Switches flushen (löschen) dann bei einem Link Down oder Link Loss Event an einem Port sofort alle Mac Adressen aus der Forwarding Table die mit diesem Port assoziiert sind.
Wenn du umsteckst wird die Mac neu gelernt und alles ist OK. Das wäre sauberes Verhalten..
Manche Switches allerdings machen das nicht. Die sind ganz abhängig von dem Mac Aging Timer. Das ist der Timer der bestimmt wann eine Mac Adresse bei Inaktivität (also wenn sie an dem Port nicht mehr sichtbar ist) aus der Forwarding Tabelle verschwindet.
Lösung ist dann den Switch stromlos zu machen. Zuhause im Heimnetz sicher kein Thema, in der Firma ein NoGo und immer ein Grund solche Switches sofort zu entsorgen.
Das kann z.B. passieren wenn du an einem Switchport einen weiteren Biligswitch angeschlossen hast und der Rechner an diesem 2ten Switch hängt. Wenn du den dort abziehst und umhängst kann der "Coreswitch" das nur neu lernen über den Mac Aging Timer, denn der Link an dem der kaskadierte Switch hängt geht ja nicht down.
Hier ist jetzt dann die Frage wie der Aging Timer eingestellt ist bzw. welchen Wert der hat.
So ein Verhalten ist fatal oder kann fatal sein wenn es direkt auf einem Switch passiert, denn dann kann es passieren das die Mac 2mal gelernt wird. In der Regel ist das ein Bug in der Firmware kommt bei Billigprodukten aber leider hie und da mal vor. Vor dem Szenario mit kaskadierten Switches kann man sich so natürlich nicht retten. Dort hilft dann nur den Aging Timer zu verkleinern. Das wiederum kann aber wieder in erhöhten Broadcast Traffic resultieren, denn Macs die der Switch nicht kennt und neu lernen muss, muss er wie Broad- oder Multicasts an alle Ports fluten.
Bei großen rein flachen und damit doofen Layer 2 netzen kann das ein Problem werden, deshalb muss man gut abwägen wie man das customized.
Besser ist hier die goldenen regel immer zu segmentieren wie es verantwortungsvolle Netzwerker auch machen mit VLANs.
soweit gehe ich dacor ... ist auch meine Erfahrung was du gepostet hast.
Warum verhält sich mein TP-Link managed Layer 2 Switch nun anders als die Plastik-Switches?
Die lernen es sich über - wie du richtig geschrieben hast - über den Aging-Timer wann was verloren gehen soll - aber er switchet die Pakete (ausgenommen Muli/Unicast) nur an die Ports bei denen die Dst-MAC-Adresse eingetragen ist.
Bei meinem managed wird das Paket immer an alle Ports zugestellt auch wenn dort die MAC-Adresse nicht eingetragen ist?
Zur Info: die Mirror-Port-Funktion habe ich deaktiviert ...
Warum verhält sich mein TP-Link managed Layer 2 Switch nun anders als die Plastik-Switches?
Die lernen es sich über - wie du richtig geschrieben hast - über den Aging-Timer wann was verloren gehen soll - aber er switchet die Pakete (ausgenommen Muli/Unicast) nur an die Ports bei denen die Dst-MAC-Adresse eingetragen ist.
Bei meinem managed wird das Paket immer an alle Ports zugestellt auch wenn dort die MAC-Adresse nicht eingetragen ist?
Zur Info: die Mirror-Port-Funktion habe ich deaktiviert ...
Warum verhält sich mein TP-Link managed Layer 2 Switch nun anders als die Plastik-Switches?
In wie fern jetzt anders ?? Es ging doch um die Mac Accessliste und die wirkt eben nur inbound ! Also entspricht das doch genau dem von dir geschilderten Verhalten oder hab ich da jetzt was übersehen ?!Das dein Managed Switch diese Macs flutet bedeutet das er diese nicht in seiner Forwarding Tabelle hat, folglich also nicht kennt. Dann macht ein Switch das was er machen muss: Er flutet also diese Mac an alle seine Ports, da er hofft das sie irgendwo an einem seiner Ports ist, da er sie ja nicht kennt....
Works as designed also !
Wenn diese Mac allerdings in seiner Forwarding Tabelle ist und er flutet sie trotzdem, dann gibt es 2 Optionen zur Erklärung:
1.) Die max. Mac Address Kapazität der Forwarding Tabelle ist erschöpft. Dann wird jeder Switch generell zum Hub und flutet alle Macs, da er ja keine mehr in die Tabelle aufnehmen kann wenn die voll ist.
2.) Der Switch hat einen Firmware Bug !! Das du den TP-Link auf die aktuellste Firmware geflasht haben solltest bei solchen Billigteilen sollte hoffentlich klar sein ?!
ja dann ist es wohl 2.eres - denn 1. kann ich anhand der Statusübersicht ausschließen.
dann werde ich andere Switches besorgen lassen (dürfte ich eine Empfehlung Deinerseits haben?!) und TP-Link eine Email schreiben (mal schaun was da zurück kommt)
dann werde ich andere Switches besorgen lassen (dürfte ich eine Empfehlung Deinerseits haben?!) und TP-Link eine Email schreiben (mal schaun was da zurück kommt)
Welches Budget hast du denn ?? TP-Link Budget ?? Wenn ja....
Cisco SG-200 wenn es rein Layer 2 sein soll. 300 bei Layer 3 und 500 wenn du Stacken willst.
Zyxel ist auch noch eine gute Wahl, und gleichwertig !
Alles andere vernünftige wird vermutlich dein Budget sprengen ?!
Ansonsten die üblichen Verdächtigen in dem Billigbereich: D-Link, HP, NetGear, Longshine...
Cisco SG-200 wenn es rein Layer 2 sein soll. 300 bei Layer 3 und 500 wenn du Stacken willst.
Zyxel ist auch noch eine gute Wahl, und gleichwertig !
Alles andere vernünftige wird vermutlich dein Budget sprengen ?!
Ansonsten die üblichen Verdächtigen in dem Billigbereich: D-Link, HP, NetGear, Longshine...
TP-Link eine Email schreiben (mal schaun was da zurück kommt)
Die Antwort wäre in der Tat sehr spannend. Bitte unbedingt hier posten wenn du wirklich was zurückbekommst von denen !
Werde ich mal checken ...Budget ist relativ, da es nur um 4 Geräte geht - ich will einfach das es so funktioniert ohne große Anforderungen.
Anforderungen sind nur:
Das war es eigentlich schon
für das Routing von 8 VLAN-Netzen mit insgesamt ca. 50 Clients habe ich mir gestern ein Alix-Board APU.1C gecheckt ... nach den Berichten nach würde ich pfSense flashen. Müsste meiner Meinung nach von der Performance her passen.
Hast Du hier Erfahrungen?!
Anforderungen sind nur:
- VLAN fähig (802.1Q)
- PortMirror-Funktion
- Reines Layer2-Switching
Das war es eigentlich schon
für das Routing von 8 VLAN-Netzen mit insgesamt ca. 50 Clients habe ich mir gestern ein Alix-Board APU.1C gecheckt ... nach den Berichten nach würde ich pfSense flashen. Müsste meiner Meinung nach von der Performance her passen.
Hast Du hier Erfahrungen?!
Ja das passt.... Erfahrungen kannst du in diesem Forums Tutorial nachlesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mit der Cisco Billigschiene SG oder Zyxel machst du nichts falsch bei den Switches.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mit der Cisco Billigschiene SG oder Zyxel machst du nichts falsch bei den Switches.
