Hvordan logger jeg LAN trafik gennem min switch ?

Det er rigtigt nok med de switch'es du omtaler.
Man kalder dem for layer 3 switch'es, og de skulle kunne arbejde med de logiske adr. på et netværk.
det skulle jo så kunne give den mulighed du ønsker. Det skal lige siges at jeg endnu ikke har afprøvet sådan en "svend" de skulle vist være lidt peberet på prisen endnu.
Men altså en layer 3 switch.

Du er formodentlig på udkig efter noget i stil med HP 2500-serien, http://www.hp.com/rnd/products/switches/switch2524-2512/summary.htm
Hvis du vil have switchen til selv at logge, hvad der foregår, skal du kigge efter RMON. Det er dog forholdsvis begrænset hvad switchen kan nå at samle op og analysere, så som regel bruger man det, som HP kalder Port Monitoring. Her kan du tage pakkerne fra en eller flere porte, eller et helt VLAN og kopiere til en "monitoring port".
Hvis der er mere trafik end monitor-porten kan klare droppes der pakker. Dette kan f.eks. ske, hvis du overvåger to maskiner, der tilsammen sender mere end 100 Mbit og din monitor-port er kun 100 Mbit. Manualen til 2500-serien ligger på ftp://ftp.hp.com/pub/networking/software/59692354.pdf, så kan du selv læse lidt mere.
En tilsvarende switch fra Cisco er 2950, http://www.cisco.com/warp/public/cc/pd/si/casi/ca2950/ evt 2924XL, hvis du ikke har brug for muligheden for at smide Gigabit i.

Og jeg svarer også lige :-)
Det er ikke nødvendigt med layer 3 funktionalitet for at få den til at kopiere trafikken ud på en port. Layer 3 fortæller normalt, at switchen har en begrænset router-funktionalitet.

fint...
Så blev jeg da også klogere i dag

Hejsa !!

Tak for hjælpen. Det var vist det jeg ledte efter.
Men hvis man skal logge 100%, så skal man altså have 1000 mbit på logporten ik ??

- kondi.koder :-)

Hvis du skal logge 100%, skal du have mindst den samme kapacitet på monitor-porten, som du har tilsammen på de andre. Dvs, hvis din monitor-pc tilsluttes en 100 Mbit-port, kan du have f.eks. 10*10Mbit eller 1*100Mbit, hvis du vil være (forholdsvis) sikker på ikke at miste pakker. Hvis du vil være helt sikker, er du nødt til at have lidt margen, da en port typisk ikke kan udnyttes 100%.
2500-serien kan udvides med en Gigabit-port. Så kan du i princippet aflytte 10*100Mbit.
I praksis er det sjældent noget problem, jeg aflytter ofte op til 50 maskiner via en 100 Mbit-port. Det kommer an på anvendelsen. Du kan f.eks. få problemer, hvis du vil aflytte bare 3-4 hårdt belastede servere i et firma-netværk, da de ofte kører fuld duplex og derfor i princippet kræver det dobbelte af monitor-porten.

For at svare kort på spørgsmålet, så er 1000 Mbit langt fra nok til at være sikker, hvis du har anvendt alle 24 porte til 100Mbit fuld duplex-forbindelser, da det svarer til 4800 Mbit.

I praksis vil det formodentlig være nok. Du skal dog være opmærksom på, om den tilsluttede maskine kan følge med, hvis trafik-mængden begynder at snige sig opad.