Hallo Leute, hat einer von euch schon mal versucht, einen kleinen Switch als Hub umzubauen? Den Hub brauche ich um mit dem wireshark eine bugy connection zu loggen
Kein Problem. Du musst nur praktisch das ganze Innenleben des Switches wegwerfen und durch entsprechende Technik eines Hubs ersetzen. ;-) Heutige Switches bestehen auf fertigen Fabric-ICs, die zumindestens das direkte Frame-Fowarding komplett selbst erledigen. Es liesse sich allenfalls die Firmware von Switches mit separatem Betriebsprogramm so anpassen, dass das Hardware-Forwarding nicht genutzt wird. Einfacher: Managebaren Switch verwenden, der Port-Mirroring unterstützt. Damit werden alle Frames an Port A auf Port B gespiegelt.
Nimm nen Switch der Ports spiegeln kann, oder kauf dir einen TAP. Ein TAP geht auch als Selbstbau: http://thnetos.wordpress.com/2008/02/22/create-a-passive-network-tap-for-your-home-network/ http://commons.oreilly.com/wiki/index.php/Snort_Cookbook/Installation_and_Optimization#Invisibly_Tapping_a_Hub
>Heutige Switches bestehen auf fertigen Fabric-ICs, die zumindestens das >direkte Frame-Fowarding komplett selbst erledigen. Genau. JEder Switch merkt sich, welche MAC-Adresse(n) an welchen Ausgängen angeschlossen sind, und leitet die Frames nur so entsprechend weiter. Ich hab aber mal gelesen, wenn du jetzt einen Port mit verschiedenen MAC-Adressen flutest, dann läuft irgendwann der interne Speicher für diesen Port über und der Switch arbeitet (zumindest auf dem Port) als Hub. Einfacher und empfehlenswerter ist das Nutzen eines echten Hubs oder eines managed Switch.
Es gibt eigentlich nur zwei sinnvolle Möglichkeiten: 1. Kauf dir nen alten spottbilligen 10 MBit Hub. Ja, bitte 10 MBit, denn die 10/100 MBit Hubs sind meistens keine reinen Hubs mehr und du siehst nicht den gesamten Traffic. http://wiki.wireshark.org/HubReference 2. Wenn du es öfters brauchst, dann nimm einen managed Switch mit Port Mirroring, vorzugsweise Gigabit. Ich hatte schon mehrfach den Fall, dass Probleme durch einen einfachen Hub verschwanden (gerade wenn es Hardwareprobleme sind), also besser mit der Bandbreite testen, mit der auch die Probleme auftreten.
Matthias Lipinsky schrieb: > Einfacher und empfehlenswerter ist das Nutzen eines echten Hubs oder > eines managed Switch. auch eine managed Switch arbeitet nicht auf alles Ports als HUBs. Die Frage ist also erstmal wozu er das braucht. Am anfang arbeitet auch jeder Switch als Hub, wenn er die ziel-MAC nicht kennt leitet er es doch auf jeden Port weiter.
A. K. schrieb: > Einfacher: Managebaren Switch verwenden, der Port-Mirroring unterstützt Der Netgear GS105E kann genau das. Hab einen hier. Das 'E' am Ende ist wichtig, gibt auch andere, die das nicht können. Kostet ca. 33€. Auf dem Gehäuse bei mir steht allerdings "unmanaged switch". Aber Port mirroring beherrscht er. Hab es benutzt für Wireshark.
Matthias Lipinsky schrieb: > Ich hab aber mal gelesen, wenn du jetzt einen Port mit verschiedenen > MAC-Adressen flutest, dann läuft irgendwann der interne Speicher für > diesen Port über und der Switch arbeitet (zumindest auf dem Port) als > Hub. Wahrscheinlicher: Wenn ein Switch in der Tabelle keine Alterskennung pflegt und sie überlauft, dann schmeisst er sie komplett weg und lernt sie neu.
A. K. schrieb: > Wahrscheinlicher: Wenn ein Switch in der Tabelle keine Alterskennung > pflegt und sie überlauft, dann schmeisst er sie komplett weg und lernt > sie neu. Nee stimmt schon, die meisten dummen Switche forwarden dann halt alles nach überall. Für ne einmalige bzw. seltene Aktion tut's auch ARP Poisoning am sniffenden Port. GIDF.
Bloss würde ich solche Spielchen nicht machen, wenn ich grad auf der Suche nach Netzwerkproblemen bin. Weil ich schon gerne wüsste, dass ich damit nicht noch neue Unwägbarkeiten mit einbringe.
Peter II schrieb: > auch eine managed Switch arbeitet nicht auf alles Ports als HUBs. Die > Frage ist also erstmal wozu er das braucht. Hat er doch gleich am Anfang geschrieben: Martin B. aus E. schrieb: > Den Hub brauche ich um mit dem wireshark eine bugy connection zu loggen Das gesuchte Gerät muß also auf einem Port den kompletten Transfer eines anderen Ports spiegeln können.
Wenn's nur mal fürs Mitlesen ist ... da gibts auch irgendwo im Web einen Schaltplan für einen passiven Hub, hier: http://www.eeweb.com/blog/circuit_projects/building-a-passive-ethernet-hub
Nachtrag: Das Original stammt von dieser Seite: http://www.zen22142.zen.co.uk/Circuits/Interface/pethhub.htm
Sorry Leute, ich war länger nicht online. Die Lösung mit den Dioden sieht simpel und gut aus. Warum frage ich das ganze: wie haben Kommunikation von Maschinensteuerungen via Ethernet zur Steuerrechnern die von anderen Gewerken geliefert werden. Als Protokoll läuft ModBus bzw. BACnet. Immer mal wieder kommt es vor, dass die Kommunikation nicht funktioniert oder ohne erkennbaren Grund zusammenbricht. Um herauszufinden wer die Korrekturen machen muss, braucht es den Wireshark als Diagnosehilfsmittel. Da unsere Monteure vor Ort sich hauptsächlich mit der Maschine auskennen und den PC und das Netzwerk nur als Werkzeug nutzen, muss ich eine Anordnung bereitstellen, die einfach und selbsterklärend ist, damit der Monteur die Kommunikation mitschneiden kann und zur Analyse ins Werk schickt. Mehr als eine Telfonische Hilfestellung bzw. ein remoteDesktop ist nicht drin. also muss die Hardware stabil funktionieren. Da das ganze aber selten passiert, es aber ca. 100 geografisch geschickt platzierte Monteure sind, muss sich der Invest für die Zusatzhardware im Rahmen halten.
Beachtet dabei bitte noch folgendes: GBit Ethernet ist Fullduplex um das komplett Mitscheiden zu können müsst ihr also irgendwie 2 GBit zu der Maschiene die Capturen soll bekommen. Es wird von den Geräten unterschiedlich gehandhabt wie damit verfahren wird. 100 MBit kann Full oder Halfduplex sein ... da tuts nen Mirror auf nen GBit Port.
Martin B. aus E. schrieb: > Da unsere Monteure vor > Ort sich hauptsächlich mit der Maschine auskennen und den PC und das > Netzwerk nur als Werkzeug nutzen, muss ich eine Anordnung bereitstellen, > die einfach und selbsterklärend ist, damit der Monteur die Kommunikation > mitschneiden kann und zur Analyse ins Werk schickt. Mehr als eine > Telfonische Hilfestellung bzw. ein remoteDesktop ist nicht drin. also > muss die Hardware stabil funktionieren. Gerade dann würde ich den oben vorgeschlagenen GS105E verwenden. Den konfigurierst Du vor und machst Aufkleber drauf in welche Buchse was kommt. > Da das ganze aber selten passiert, es aber ca. 100 geografisch geschickt > platzierte Monteure sind, muss sich der Invest für die Zusatzhardware im > Rahmen halten. So etwas über 30 EUR pro Monteur für nen Diagnosewerkzeug halte ich jetzt für günstig. Wenn Du mal überlegst was gescheite Multimeter, handheld-Oszis, Sensoreingangs-Kalibratoren etc. kosten sind die 30 EUR echt ein Taschengeld.
Gerade in einer betrieblichem Umgebung würde ich unbedingt managebare Switches einsetzen. Die haben nämlich Fehlerzähler für die einzelnen Ports und isolieren Ports von unabhängigen Produktiongeräten voneinander. Ein Hub oder ein solcher Diodenswitch hingegen koppelt Probleme zusammen. Vorbildlich ist die Weboberfläche, die ich beispielsweise vom HP Procurve 2524 kenne. Die liefert gleich auf der Einstiegseite eine gut verständliche Heuristik über potentielle Probleme an bestimmten Ports. Wenn es sich um Netzwerkprobleme handelt und nicht um Softwareprobleme, dann macht das Wireshark meist überflüssig. Solches Management kann bei entsprechender Netz-Infrastruktur auch aus der Ferne erfolgen. Auch proaktiv, also nicht erst wenn die Anwender Probleme melden. Also wenn die Lokationen netzmässig verbunden sind, oder zumindest Wartungszugang erlauben. Das erspart so manche Autobahnstunde.
Diese Art von TAPs sind doch einfach Dreck. Total Fehlanpassung oder?
gpc schrieb: > 1. Kauf dir nen alten spottbilligen 10 MBit Hub. Ja, bitte 10 MBit, denn > die 10/100 MBit Hubs sind meistens keine reinen Hubs mehr und du siehst > nicht den gesamten Traffic. Bei den 10/100 gibt es zwei Sorten, die einen switchen all ports, die anderen sind zwei HUBs einer 10 einer 100 die dann geswitched werden. Die passiven Ethernet Hubs gibt es fertig zu kaufen. z.B.: http://www.amazon.de/Belkin-RJ45-Cat5-Passiv-HUB/dp/B0002AF8VO Für ne Messanordnung ok, aber im Dauerbetrieb weniger zu Empfehlen. Die funktionieren nur wenn alle drei angeschlossenen Geräte aktiv sind.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.