Mikrotik port mirroring hoe configureer je dit
Port mirroring is een techniek die gebruik wordt op switchen om een bepaalde switchpoort te spiegelen naar een andere poort. Men spreekt van de source poort en een target poort. Op deze manier kan je door middel van port mirroring het dataverkeer van de source poort uitlezen via de target poort. Dit gebeurt door al het dataverkeer van de source te kopiëren naar de target poort. Al het dataverkeer die afkomstig is van de source poort wordt bij wijze van spreken gestreamd naar de target poort. Je kan vervolgens een netwerkkabel in de target poort pluggen en verbinden met je laptop om dit verkeer uit te lezen en te analyseren. Een zeer gekend programma om het dataverkeer te analyseren is Wireshark. Maar wat zijn nu de punten die aandacht verdienen bij het configureren van port mirroring op de Mikrotik switchen of routers.
Wat is het doel van Port Mirroring
Indien je port mirroring configureert kan je de frames of datapakketten controleren. Dit is een groot voordeel doordat je abnormaliteiten in je netwerk kan opsporen.
Eens je een probleem hebt gevonden kan je deze gaan oplossen zodat je netwerk wordt geoptimaliseerd. Uiteraard is er kennis van zaken nodig want deze frames en/of pakketten uitlezen is niet zo eenvoudig. Maar in deze blogpost concentreer ik me uitsluitend tot het configureren van port mirroring op de Mikrotik toestellen. Ook hier is kennis van zaken geen overbodige luxe. Laat me dit even toelichten.
Configureer port mirroring op een correcte manier
Weet in de eerste plaats dat je port mirroring moet configureren op de switchchip. Dit is een vereiste want anders werkt het niet. Maar er zijn nog weetjes die je zeker niet in de wind mag slaan. Laat me eerst aan de hand van wat afbeeldingen verduidelijken wat er mis kan gaan bij deze configuratie. In de bovenstaande afbeelding zie je een CRS326 en daar is port mirroring op geconfigureerd. Ether1 die fungeert als WAN interface staat ingesteld als source poort. De Target poort is ether23 via deze poort wil ik het dataverkeer op de WAN interface uitlezen. Dit kan zonder problemen want deze switch heeft maar één switchchip. Maar wat moet je weten indien de Mikrotik switch of router is uitgerust met meerdere switchchips. Dit zien we verder in deze uiteenzetting.
Zoek de fout bij deze port mirroring configuratie
Als je deze situatie bekijkt zie je dat ik de WAN interface heb gekozen als source port. Dit is correct indien ik het verkeer van de WAN interface wil monitoren. Doch ik maak hier een grove fout. Je ziet verder dat ik ether10 gebruik als target poort en daar sluit ik mijn laptop aan. Wat is hier verkeerd aan? De RB4011 is uitgerust met 2 switchchips. De eerste switchchip stuurt de groep ether1 tot ether5 en de tweede switchchip stuurt ether6 tot ether10. De fout is dat beide switchchips niet met elkaar kunnen communiceren waardoor je nooit een werkende port mirroring configuratie kan aanmaken. Wat is nu de oplossing laat me dit verduidelijken met de onderstaande afbeelding.
De juiste port mirroring configuratie
Zoals je hierboven kan zien is de WAN interface nog steeds de source port. Doch de target poort is nu correct geconfigureerd want deze zit in dezelfde switchgroep namelijk switchchip1. Begrijp je nu waarom ik deze achtergrond informatie meegeef? Hou dit ook in gedachten bij het aansluiten van een NAS bijvoorbeeld en bij het configureren van Link Aggregation. Hier is het ook van cruciaal belang dat je binnen één switchchip blijft. Maar dit doet hier niets ter zake.
Ter verduidelijking een video over port mirroring
Hier zie je de configuratie van de Mikrotik port mirroring uitgevoerd met screenshots
-
Klik op het hoofd venster op "switch".
-
Vervolgens klik op het tabblad "switch".
-
dubbelklik op "switch1".
-
Selecteer bij "name" "switch1".
-
Selecteer vervolgens de mirror bron.
-
Verder selecteer "ether5" als mirror target.
-
bevestig met "ok" en de port mirroring is ingesteld.
Hier ping in naar een camera, niet duidelijk maar als je zelf je router hebt geconfigureerd zal je nog veel toffe momenten beleven met het uitlezen van de data. Niet dat ik daar alles van ken maar er bestaan mooie onderwerpen betreft wireshark.
1- Wireshark wiki
2- Wikiversity