Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Einen trunk Port (dot1q) über Wireshark monitoren, was sieht man was nicht?

Mitglied: NetzFuchs

NetzFuchs (Level 1) - Jetzt verbinden

11.11.2008, aktualisiert 13.11.2008, 10444 Aufrufe, 5 Kommentare

Hallo!
Ich habe heute eine Monitorsession von einem Uplink Port, der getrunkt ist, auf einen Netzwerkport gelegt der in meinem Recher endet.
Sowas kann man ja prima mit Catalyst Switchen (in diesem Fall einem 3750) machen.
So kann man schön alles sehen was durch den Port huscht.
Jetzt ist dieser Port ja ein Trunk, das heisst bis auf das native Lan, fließt da ja alles "encapsulated" durch (Stichwort Vlan).
Wireshark ist fleißig am mitschneiden gewesen.

Meine Frage: Was sieht Wireshark?

Nur das native Vlan, also dass was "untagged" durch die Leitung flutscht?
Kann bei mir irgendwie nicht sein, da waren Ip's dabei die im nativen Vlan nicht vorhanden sind.
Was ist mit den getagged Vlans die durch diesen Trunk fließen?


Falls jemand einen Anhaltspunkt hat oder weiß was Wireshark alles bekommt (und was nicht und warum) möge er es mir sagen, ich stehe total auf dem Schlauch!



viele Grüße
Luc
Mitglied: aqui
11.11.2008 um 18:30 Uhr
Sowas kann man nicht nur prima mit Catalysatoren machen sondern mit HP, NetGear, Foundry, Nortel usw. also allen anderen VLAN fähigen Netzwerkswitches am Markt, denn das Tagging nach 802.1q ist ein weltweiter Standard !!!
Das zeigt auch das du einen falschen Ausdruck für das benutzt was du meinst, denn "Trunking" wird gemeinhin für die Linkaggregation also das parallele Bündeln von mehreren Links benutzt.
Um für dich als Cisco Knecht zu sprechen ist Trunking was Cisco al Etherchannel oder Channeling bezeichent. Der Rest der Netzwerk Welt nennt es übrigens Trunking !
Nur soviel zu diesem Thema !

So, was sieht nun Wireshark ??
Gegenfrage: Warum hast du es nicht einfach mal ausprobiert ??? Dann hättest du dir diesen Thread ersparen können !!

Als allererstes musst du eine 802.1q (tagging) fähige Netzwerkkarte für den Wireshark haben sonst kann diese Karte .1q getaggte Frames im promiscous Modus schlicht und einfach gar nicht anzeigen und verwirft diese als sog. Giants, da diese Pakete nicht standardkonform sind für Karten die kein .1q verstehen !

Hast du aber so eine Karte im Wireshark Rechner, zeigt Wireshark dir natürlich brav auch diese getaggten Frames an wie sich das gehört für einen anständigen Sniffer.
Er nimmt dir auch den .1q Header auseinander, denn darin ist noch QoS sprich 802.1p versteckt und zeigt dir das sauber inkl. VLAN ID an so das du genau sehen kannst aus welchem VLAN diese Pakete kommen !

Der Rest ist ein normaler Ethernet Frame wie er auch bei ungetaggten Paketen angezeigt wird, denn .1q verändert das nicht.

Über den genauen Aufbau von .1q getaggten Frames kannst du dich hier informieren:
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
(Speziell Seite 4 !)
Bitte warten ..
Mitglied: NetzFuchs
11.11.2008 um 19:44 Uhr
Hallo!
Danke schonmal! (Auch für die kleine Lektüre über trunking und .1q ;).
Meine Netzwerkkarte ist NICHT dot1q fähig und ich habe schon mal mitgeschnitten.
Deswegen ja auch mein Beitrag:
Ich habe halt echt viel Verkehr mitbekommen, aber von Ip's zu Ip's die im nativen Vlan nicht vorkommen.
Und das native Vlan ist dann ja scheinbar das einzige was meine nicht .1q fähige Netzwerkkarte aus so einem gemonitorten Trunk mitnehmen kann.
Du hast leider meine Frage nicht beantwortet:
"Nur das native Vlan, also dass was "untagged" durch die Leitung flutscht?"
Falls dem so wäre, würde es keinen Sinn ergeben.
Deswegen mein Beitrag.

Danke für die Antwort!

Luc




Ich hab des Rätsels Lösung gefunden:
Ich versuche es so zu formulieren, das es allgemeine Gültigkeit hat:
Ich hab ja einen mit .1q getaggten Port gemonitort, indem ich ihn über (bei Cisco heisst es so) SPAN auf meinen Port "gespiegelt" habe.
"The default configuration for local SPAN session ports is to send all packets untagged. SPAN also does not normally monitor bridge protocol data unit (BPDU) packets and Layer 2 protocols, such as Cisco Discovery Protocol (CDP), VLAN Trunk Protocol (VTP), Dynamic Trunking Protocol (DTP), Spanning Tree Protocol (STP), and Port Aggregation Protocol (PAgP). "

Soll heissen er hat in der SPAN Session einfach alles schon aus dem .1q Header entpackt was er auf meinen Port gespiegelt hat. Ist eine feine Sache, muss man halt nur wissen ;).

Gruß
Luc
Bitte warten ..
Mitglied: aqui
12.11.2008 um 15:57 Uhr
Ist aber dumm und eher hinderlich wenn man einen Trunk Port monitoren will mit dem Wireshark um auch .1q Pakete zu sehen, da nützt einem das dann nichts.

Der Wireshark hat übrigens einen Capture Filter mit dem man schon beim Capturen Traffic filtern kann den man nicht sehen will

Ein native VLAN was parallel untagged übertragen wird haben übrigens viele Hersteller gar nicht wie z.B. 3Com und andere obwohl der .1q Standard das so beschreibt...nur der Vollständigkeit halber !
Bitte warten ..
Mitglied: NetzFuchs
12.11.2008 um 19:51 Uhr
Hä?
"Ist aber dumm und eher hinderlich wenn man einen Trunk Port monitoren will mit dem Wireshark um auch .1q Pakete zu sehen, da nützt einem das dann nichts."
Das SPAN hat mir doch alles aus dem Trunk port aus dem .1q Header entpackt und als normale EthernetFrames rübergeschickt.
Das ist doch ne feine Sache und man kann alles sehen was komplett durch den Trunk fließt.

Hat mir schon viel geholfen, man muss halt nur wissen das es entpackt wird.
Bitte warten ..
Mitglied: aqui
13.11.2008 um 11:35 Uhr
Ok, aber wenn er das tut hast du keinerlei schnelle Kontrolle mehr wo (VLAN !) diese Pakete an diesem tagged Port herkommen.

Deine einzige Kontrolle ist dann nur die IP Adresse aus dem VLAN Subnetz um das VLAN zu identifizieren, was aber sehr hinderlich ist wenn du z.B. 30+ VLANs hast, was in großen Netzen nicht unüblich ist.

Auf alle Fälle ist es da sinnvoller auch die VLAN ID mit im Paket zu sehen.
Abgesehen davon ist in der VLAN ID auch das QoS Byte 802.1p enthalten was du dann auch nicht mehr siehst.
Damit ist das absolutes KO Kriterium wenn man im Netz VoIP hat und korrektes QoS Handling mit einem Sniffer überprüfen will.
Soviel Vorteile hat das also keineswegs auf den ersten Blick !!

Letztlich aber Geschmackssache....wer nur ein Popelnetz mit 2 VLANs z.B. hat kann sicher auch ohne VLAN ID damit leben.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Ungetaggte Pakete an Trunk-Ports
gelöst Frage von diemilzNetzwerkmanagement4 Kommentare

Hallo zusammen, ich habe eine kleine Verständnisfrage: Stimmt es, dass man in Netzen mit mehreren VLANs an Trunkports (VLAN-Ports ...

Monitoring
Port Mirroring mit Wireshark
gelöst Frage von Sideshow88Monitoring15 Kommentare

Hallo liebe Administratoren, kurze Frage bzw. kurzer Hilfegesuch: Wir haben aktuell das Problem, dass bei uns oft die Internetbandbreite ...

Netzwerkgrundlagen

Trunk - einen Port als Standby konfigurieren?

Frage von informatikkfmNetzwerkgrundlagen1 Kommentar

Hallo, ich habe hier eine Verbindung via Ethernet zwischen zwei HP-Switchen. Diese Verbindung wird nun durch eine W-LAN Bridge ...

LAN, WAN, Wireless

VLAN Trunk Port, ICMP nicht mehr möglich

Frage von mk1701LAN, WAN, Wireless10 Kommentare

Hallo, es geht um einen CISCO AccessSwitch 2960. Ports sind auf Access-Mode gestellt - ICMP im Netz ist möglich. ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 13 StundenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 13 StundenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 1 TagDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 1 TagSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
Exchange Server
Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .
gelöst Frage von YellowcakeExchange Server23 Kommentare

Hey ich habe da mal eine Denksport Aufgabe bekommen Genutzt wird ein Exchange Server 2010. hier gibt es den ...

Windows Server
Downgrade von Windows Server 2016 auf 2012 - Wie vorgehen?
Frage von EstefaniaWindows Server13 Kommentare

Guten Ich habe eine Frage an Erfahrene unter euch. Durch einen InPlace Upgrade wurde Windows Server 2012 auf die ...

Datenschutz
Telematikinfrastruktur Erfahrungsaustausch
Frage von MOS6581Datenschutz12 Kommentare

Moin, unter meinen Kunden befinden sich auch einige Ärzte, welche sich künftig mit der Telematikinfrastruktur-Geschichte der Gematik herumärgern dürfen. ...

Windows Server
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...