Im Prinzip scheint es einfach: Am Switch einen Port spiegeln, daran ein Linux System anschließen und mit tcpdump den Traffic ansehen. Je nach Menge des Datenverkehrs rauschen hier aber sehr viele Daten vorbei. Aber dafür gibt es ja Filter. Mit einem
tcpdump -n host 192.168.1.1
ist es ja ein leichtes, nur die Verbindungen von und zu einer IP zu sehen.
Was aber, wenn hier plötzlich keine Daten mehr kommen? Ohne Filter sieht man alles, inkl. des Verkehrs von und zu der gefilterten IP. Was ist los?
In meinem Fall lag es daran, dass der gespiegelte Port die Datenpakete taggt. Diese Info muss also in den Filter mit einfließen. Wenn die Daten also nicht über das Default VLAN 1 laufen, sondern z. B. über Vlan 250, so sieht der Filter dann so aus:
tcpdump -n vlan 250 and host 192.168.1.1
Im übrigen gilt gleiches Problem bei den Capture Filtern von Wireshark, wobei die Capture Filter genauso funktionieren, wie die von/für tcpdump.
Quellen:http://wiki.wireshark.org/CaptureFilters