En ocasiones podemos necesitar monitorizar puertos, y para ello podemos necesitar que toda la información que pasa por este puerto sea enviada también a otro puerto desde el que podremos monitorizarlo todo.
Este tipo de acciones podemos usarlo para monitorizar puertos de un switch desde nuestro IDS, nuestro analizador de red, etc.
Hay que tener en cuenta que podemos mandar a un mismo puerto de destino varios puertos de origen, independientemente de las VLAN que se usen en cada puerto, pero lo que si que hay que tener en cuenta es que el tráfico máximo que soportara el puerto será el definido por el interface usado. De esta manera, un puerto a 1GB no podrá recibir nunca más de 1GB por lo que si le enviamos más información no toda será analizada.
A continuación vamos a ver cómo elaborar una configuración de port mirroring en un switch de Cisco Systems.
Lo primero que tenemos que tener es el puerto de origen. Este debe ser el puerto del que queremos leer el tráfico. La configuración no debe tener nada anormal.
|
interface GigabitEthernet1/10
description *** Origen Port Mirroring ***
switchport
switchport access vlan 100
switchport mode access
switchport nonegotiate
spanning-tree portfast
spanning-tree bpduguard enable
spanning-tree guard root
end
|
A continuación configuramos el puerto desde el que queremos monitorizar, que será el puerto donde tenemos nuestro equipo de análisis de red.
|
interface GigabitEthernet2/10
description *** Destino Port Mirroring ***
switchport
switchport access vlan 100
switchport mode access
switchport nonegotiate
spanning-tree portfast
spanning-tree bpduguard enable
spanning-tree guard root
end
|
Para hacer las modificaciones deberemos entrar en modo “enable”.
|
Switch 1 # enable
Switch 1 #
|
Y modo configuración del terminal.
|
Switch 1 # config terminal
Switch 1 (config)#
|
Configuramos el puerto de origen de los datos (el que queremos monitorizar).
|
Switch 1 (config)#monitor session 1 source interface gigabitEthernet 1/10
Switch 1 (config)#
|
Configuramos el puerto de destino de los datos.
|
Switch 1 (config)#monitor session 1 destination interface gigabitEthernet 2/10
Switch 1 (config)#
|
Para comenzar la monitorización salimos del modo configuración.
|
Switch 1 (config)# exit
Switch 1 #
|
Y comprobamos que el port mirroring está operativo.
Podemos comprobarlo de dos maneras:
1º) La manera abreviada que solo nos dice si está levantado.
|
Switch 1 # show monitor
Session 1
———
Type : Local Session
Source Ports :
Both : Gi1/10
Destination Ports : Gi2/10
Switch 1 #
|
2º) La manera avanzada que nos da algo de información.
|
Switch 1 #
show monitor detail
Session 1
———
Type : Local Session
Description : –
Source Ports :
RX Only : None
TX Only : None
Both : Gi1/10
Source VLANs :
RX Only : None
TX Only : None
Both : None
Source RSPAN VLAN : None
Destination Ports : Gi2/10
Filter VLANs : None
Dest RSPAN VLAN : None
Source IP Address : None
Source IP VRF : None
Source ERSPAN ID : None
Destination IP Address : None
Destination IP VRF : None
Destination ERSPAN ID : None
Origin IP Address : None
IP QOS PREC : 0
IP TTL : 255
Switch 1 #
|
Nos os olvidéis de salvar la configuración de la manera que prefiráis:
3º) Con un “write” (No soportado en todos los dispositivos).
|
Switch 1 # write
Building configuration…
[OK]
Switch 1 #
|
4º) O con un “copy run start”.
|
Switch 1 # copy run start
Building configuration…
[OK]
Switch 1 #
|
Realmente, desde el switch no podremos ver gran cosa ya que solo podremos compara el tráfico que tenemos en ambos puertos (teóricamente el mismo).
|
Switch 1 # show int gig 2/10
(salida abreviada)
Switch 1 #
|
Para aprovechar el port mirrorirng deberemos ir a la herramienta de monitorización implementada en el puerto de recepción.
Aprovecho para dar las gracias a Diego por su ayuda.
Un saludo
Eso si te puedes desplazar a los switches es lo ideal. Si no puedes, puedes usar remote span.http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/software/release/12.1_13_ea1/configuration/guide/swspan.html
Gracias por la información estimado, pero tengo una consulta,como sería cuando el puerto de origen este en el SW1 y el puerto Destino este en otro SW2.
Gracias por su pronta respuesta.
Saludos