Toon posts:

Monitor session op Cisco 29xx - unidirectioneel?

Pagina: 1
Acties:

donderdag 12 juni 2008 15:13

Acties:

Verwijderd

Topicstarter
All,

Ik gebruik regelmatig span poorten (monitor sessions op Cisco) om traces te nemen doorheen netwerken. Dit veelal op de grotere Cisco switches (6000 reeks).

Onlangs wou ik dit proberen op een access switch (2950) maar kreeg in m'n analyzer (Wireshark en ook anderen) enkel unidirectioneel verkeer te zien. Het leek alsof enkel Rx packets werden gekopieerd. De config is echter duidelijk gebeurd met het commando "mon ses .... both", wat dus zowel Rx als Tx zou moeten spannen. Een test met een 2960 gaf dezelfde resultaten.

Dezelfde opstelling, maar met een andere laptop, geeft geen problemen. Het probleem ligt dus aan m'n eigen laptop. Ik heb standaard instellingen als duplex/speed en dergelijke nagekeken maar kan niets vinden.

Heeft iemand dit ook al eens voorgehad, en hiervoor een oplossing kunnen vinden?

Alvast bedankt!

donderdag 12 juni 2008 15:43

Acties:

Verwijderd

Waarschijnlijk wordt het verkeer dot1q getagged en dropped je laptop dot1q tagged paketten

donderdag 12 juni 2008 15:52

Acties:
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Hmm...
Zou moeten werken...
When you specify source interfaces and do not specify a traffic type, for example, Tx, Rx, or both. "both" is used by default.
Zie:
http://www.ciscotaccc.com...g/showcase?case=K54818778

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

donderdag 12 juni 2008 19:21

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op donderdag 12 juni 2008 @ 15:43:
Waarschijnlijk wordt het verkeer dot1q getagged en dropped je laptop dot1q tagged paketten
Ik doe nergens aan tagging op de 29xx switches. Traces op een 6500 bvb wordt wel gedaan met tagged frames, en dat werkt netjes.
Alvast bedankt voor het meedenken, maar dat is het niet.


@ Bl@ckbird: Zou inderdaad moeten werken. En werkt ook netjes met een andere laptop, maar niet met de mijne...

Edit:
1) net ook even geprobeerd met de laptop van een collega, en die heeft hetzelfde fenomeen. Is wel zelfde type van laptop!!
2) de laptop waar het wel op werkt, heeft bovendien dezelfde netwerkkaart (broadcom netXtreme gigabit)

[ Voor 31% gewijzigd door Verwijderd op 12-06-2008 19:24 ]

donderdag 12 juni 2008 20:28

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

ff booten met een linux live cd. Er is er vast een met etherreal standaard geinstalleerd.

vrijdag 13 juni 2008 10:27

Acties:

Verwijderd

Topicstarter
TrailBlazer schreef op donderdag 12 juni 2008 @ 20:28:
ff booten met een linux live cd. Er is er vast een met etherreal standaard geinstalleerd.
Dat is inderdaad een optie. Probleem is dat we ook commerciële trace analyzers en agents gebruiken die niet draaien onder linux spijtig genoeg.

Het probleem moet in ieder geval ergens aan een instelling / driver / netwerkkaart liggen, maar ik heb echt geen idee meer.
Verder zoeken op internet levert alvast geen gekende problemen op met de combinatie broadcom/WinXP/catalyst 29xx/...

vrijdag 13 juni 2008 14:19

Acties:

Verwijderd

Ik doe nergens aan tagging op de 29xx switches.
Dat hoeft niet per se te betekenen dat de SPAN poort ook niet tagged:
Note: Catalyst 2950 Switches that use Cisco IOS Software Release 12.1.(9)EA1d and earlier releases in the Cisco IOS Software Release 12.1 train support SPAN. However, all packets that are seen on the SPAN destination port (connected to the sniffing device or PC) have an IEEE 802.1Q tag, even though the SPAN source port (monitored port) might not be an 802.1Q trunk port. If the sniffing device or PC network interface card (NIC) does not understand 802.1Q-tagged packets, the device can drop the packets or have difficulty as it tries to decode the packets.
Traces op een 6500 bvb wordt wel gedaan met tagged frames, en dat werkt netjes.
Dan is dat waarschijnlijk inderdaad niet het probleem...

vrijdag 13 juni 2008 14:43

Acties:

Verwijderd

Kan je een show run laten zien van je router, denk wel aan je passwords.

vrijdag 13 juni 2008 15:59

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op vrijdag 13 juni 2008 @ 14:43:
Kan je een show run laten zien van je router, denk wel aan je passwords.
Van de switch bedoel je? Ik ben dit momenteel nog wat verder aan het testen in ons labo, op een volledig niet-geconfigureerde 2960. (behalve de monitor session dan) Dit geeft dezelfde resultaten.

Ik ben er vrij zeker van dat het aan de client hardware/software moet liggen (HP nc6320 - Broadcom b57w2k1 NIC). Alleen kan ik niet vinden wat :-).
Linux live-cd heb ik nog niet geprobeerd, maar ik vermoed dat dit wel zal werken.

[ Voor 10% gewijzigd door Verwijderd op 13-06-2008 16:00 ]

vrijdag 13 juni 2008 16:17

Acties:
  • Meester_J
  • Registratie: April 2003
  • Laatst online: 07-03 09:57

Meester_J

Q 8.6: I'm running Wireshark on Windows; why am I not seeing any traffic
being sent by the machine running Wireshark?

A: If you are running some form of VPN client software, it might be causing
this problem; people have seen this problem when they have Check Point's VPN
software installed on their machine. If that's the cause of the problem, you
will have to remove the VPN software in order to have Wireshark (or any
other application using WinPcap) see outgoing packets; unfortunately,
neither we nor the WinPcap developers know any way to make WinPcap and the
VPN software work well together.

Also, some drivers for Windows (especially some wireless network interface
drivers) apparently do not, when running in promiscuous mode, arrange that
outgoing packets are delivered to the software that requested that the
interface run promiscuously; try turning promiscuous mode off.

FAQ....

[ Voor 111% gewijzigd door Meester_J op 13-06-2008 16:30 ]

vrijdag 13 juni 2008 16:26

Acties:

Verwijderd

Verwijderd schreef op vrijdag 13 juni 2008 @ 15:59:
[...]


Van de switch bedoel je? Ik ben dit momenteel nog wat verder aan het testen in ons labo, op een volledig niet-geconfigureerde 2960. (behalve de monitor session dan) Dit geeft dezelfde resultaten.

Ik ben er vrij zeker van dat het aan de client hardware/software moet liggen (HP nc6320 - Broadcom b57w2k1 NIC). Alleen kan ik niet vinden wat :-).
Linux live-cd heb ik nog niet geprobeerd, maar ik vermoed dat dit wel zal werken.
Ja he..sorry switch bedoel ik 8)7 , mits deze geconfigureerd is dus, maar waarschijnlijk heb je gelijk.Ik moet me hier niet meer mee bemoeien

zaterdag 14 juni 2008 10:48

Acties:

Verwijderd

Topicstarter
Meester_J schreef op vrijdag 13 juni 2008 @ 16:17:
Q 8.6: I'm running Wireshark on Windows; why am I not seeing any traffic
being sent by the machine running Wireshark?

....

Also, some drivers for Windows (especially some wireless network interface
drivers) apparently do not, when running in promiscuous mode, arrange that
outgoing packets are delivered to the software that requested that the
interface run promiscuously; try turning promiscuous mode off.

FAQ....
Ik zie weldegelijk verkeer in wireshark, maar enkel Rx van de source port. VPN client wordt niet gebruikt.


@ All: ik apprecieer jullie hulp in ieder geval!! Maandag zoek ik nog verder. Als ik iets vind zal ik het hier zeker posten. Andere tips zijn uiteraard nog steeds welkom :)

zaterdag 14 juni 2008 21:50

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 10-03 22:46

Kabouterplop01

chown -R me base:all

zie je met show int <source-port> daadwerkelijk verkeer uitgestuurd worden?
lijkt wel of er verkeer via een andere port uitgaat :S.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq