Есть задача: проанализировать трафик для определенного сетевого устройства. При этом доступа на это устройство у нас нет, либо анализ сильно затруднен даже если такой доступ есть. Зато если имеется доступ на коммутатор, к которому это устройство подключено, то можно организовать зеркалирование (mirroring) трафика с порта, куда включено исследуемое устройство, на другой порт, куда мы можем подключить, к примеру, ноутбук с анализатором трафика (сниффером) таким как tcpdump или wireshark. В Cisco это называется SPAN (Switched Port Analyser). Пусть, для примера, анализируемое устройство подключено к 1-му порту коммутатора, а наш ноутбук – во 2-ой порт. Тогда для коммутаторов серий Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750 и 3750-E конфигурация будет выглядеть так:
Switch>configure terminal
Switch(config)#monitor session 1 source interface Fa0/1
Switch(config)#monitor session 1 destination interface Fa0/2
Switch(config)#^Z
В результате весь трафик с 1-го порта можно будет увидеть на 2-ом порту, как будто у нас не коммутатор, а старый добрый хаб (концентратор). Просмотр конфигурации:
Switch#show monitor session 1
Session 1
Source Ports:
RX Only: None
TX Only: None
Both: Fa0/1
Destination Ports: Fa0/2
Особенности и ограничения:
- Коммутаторы Catalyst 2950 позволяют иметь только одну активную SPAN-сессию и могут зеркалировать только порты (но не VLAN-ы).
- Коммутаторы Catalyst 3550, 3560, 3750 поддерживают до двух одновременных SPAN-сессий и могут зеркалировать как порты, так и VLAN-ы.
- Коммутаторы Catalyst 3750 поддерживают размещение source- и destination-портов на любых компонентах стека.
- Разрешён только один destination-порт на одну SPAN-сессию, и один и тот же порт не может быть destination-портом для нескольких SPAN-сессий.
- На сниффере в описанной выше конфигурации невозможно увидеть некорректные фреймы, которые возникли на участке от устройства, подключенного в Fa0/1, до коммутатора, поскольку коммутатор отбросит такие фреймы после того, как они попадут на ingress порт (Fa0/1), не будет сохранять их в буфере и они не дойдут до порта Fa0/2. Если есть подозрение, что устройство, подключенное к Fa0/1, формирует некорректные фреймы, то сниффер и это устройство должны быть подключены к хабу, а не к коммутатору, так как хаб не выполняет никаких проверок на наличие ошибок.