Skip to content

Port mirroring в Cisco Catalyst

Есть задача: проанализировать трафик для определенного сетевого устройства. При этом доступа на это устройство у нас нет, либо анализ сильно затруднен даже если такой доступ есть. Зато если имеется доступ на коммутатор, к которому это устройство подключено, то можно организовать зеркалирование (mirroring) трафика с порта, куда включено исследуемое устройство, на другой порт, куда мы можем подключить, к примеру, ноутбук с анализатором трафика (сниффером) таким как tcpdump или wireshark. В Cisco это называется SPAN (Switched Port Analyser). Пусть, для примера, анализируемое устройство подключено к 1-му порту коммутатора, а наш ноутбук – во 2-ой порт. Тогда для коммутаторов серий Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750 и 3750-E конфигурация будет выглядеть так:

Switch>configure terminal
Switch(config)#monitor session 1 source interface Fa0/1
Switch(config)#monitor session 1 destination interface Fa0/2
Switch(config)#^Z

В результате весь трафик с 1-го порта можно будет увидеть на 2-ом порту, как будто у нас не коммутатор, а старый добрый хаб (концентратор). Просмотр конфигурации:

Switch#show monitor session 1
Session 1
Source Ports:
    RX Only:       None
        TX Only:       None
        Both:          Fa0/1
Destination Ports: Fa0/2

Особенности и ограничения:

  • Коммутаторы Catalyst 2950 позволяют иметь только одну активную SPAN-сессию и могут зеркалировать только порты (но не VLAN-ы).
  • Коммутаторы Catalyst 3550, 3560, 3750 поддерживают до двух одновременных SPAN-сессий и могут зеркалировать как порты, так и VLAN-ы.
  • Коммутаторы Catalyst 3750 поддерживают размещение source- и destination-портов на любых компонентах стека.
  • Разрешён только один destination-порт на одну SPAN-сессию, и один и тот же порт не может быть destination-портом для нескольких SPAN-сессий.
  • На сниффере в описанной выше конфигурации невозможно увидеть некорректные фреймы, которые возникли на участке от устройства, подключенного в Fa0/1, до коммутатора, поскольку коммутатор отбросит такие фреймы после того, как они попадут на ingress порт (Fa0/1), не будет сохранять их в буфере и они не дойдут до порта Fa0/2. Если есть подозрение, что устройство, подключенное к Fa0/1, формирует некорректные фреймы, то сниффер и это устройство должны быть подключены к хабу, а не к коммутатору, так как хаб не выполняет никаких проверок на наличие ошибок.

Похожие заметки:

  1. Cisco ACL
  2. И снова о кошках: SDM templates
  3. Быстрая массовая правка конфигураций нескольких подинтерфейсов

Posted in Cisco.

Tagged with .

rev="post-484" 1 comment

By Admin 14.09.2009

One Response

Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.

  1. Alex V says

    А есть еще и RSPAN=)

    07.09.2010, 10:54

You must be logged in to post a comment.

« »