Зеркалирование порта на Catalyst 2940, 2950, 2955, 2970, 3550, 3560 и 3750 серии (Catalyst port mirroring)

Зеркальное копирование портов (Port Mirroring) позволяет копировать трафик на контрольный порт (тот, на который копируется трафик), чтобы можно было анализировать трафик на контролируемом порту, не вмешиваясь в поток.

Пример зеркалирования порта для анализирования трафика на Catalyst 2940, 2950, 2955, 2970, 3550,3560 и 3750 серии. В Cisco эта технология называется SPAN — Switch Port Analyzer и RSPAN — Remote Switch Port Analyzer.

Различают две технологии SPAN это сам по себе SPAN, который работает в пределах одного коммутатора, и RSPAN, который может зеркалировать и передавать трафик между коммутаторов. (Когда у нас в сети несколько коммутаторов в цепочке, нам не нужно идти к этому коммутатору, подключаться к нему, настраивать порт мониторинга и сливать трафик. Вместо этого мы настраиваем RSPAN и передаем трафик на порт удаленного коммутатора.

Этот пример показывает, как настроить SPAN, мониторинг порта fastEthernet0/1 и зеркалирование трафика на порт fastEthernet0/10:

Switch(config)# no monitor session 1
Switch(config)# monitor session 1 source interface fastEthernet0/1
Switch(config)# monitor session 1 destination interface fastEthernet0/10 encapsulation dot1q
Switch(config)# end
Switch#show monitor session 1

Этот пример показывает, как настроить RSPAN, мониторинг портов fastEthernet0/10 tx, fastEthernet0/2 tx, fastEthernet0/3 tx, port-channel 102 rx и зеркалирование их на свободный порт reflector-port fastEthernet0/1 в vlan901 и передача собранного с портов на порт мониторинга fastEthernet0/5 vlan901. Так же эту vlan901 можно передать на другое устройства для мониторинга удаленно.

Switch(config)# no monitor session 1
Switch(config)# monitor session 1 source interface fastEthernet0/10 tx
Switch(config)# monitor session 1 source interface fastEthernet0/2 rx
Switch(config)# monitor session 1 source interface fastEthernet0/3 rx
Switch(config)# monitor session 1 source interface port-channel 102 rx
Switch(config)# monitor session 1 destination remote vlan 901 reflector-port fastEthernet0/1
Switch(config)# monitor session 1 source remote vlan 901
Switch(config)# monitor session 1 destination interface fastEthernet0/5
Switch(config)# end 

Для обработки информации на порту мониторинга можно использовать утилиты tcpdump и wireshark

Официальная документация Cisco

Источники:

— avz.org.ua/wp/2009/09/14/catalyst-port-mirroring/

— ps523.ru/span-switch-port-analyzer-rspan-remote-switch-port-analyzer-%D1%82%D0%B5%D0%BE%D1%80%D0%B5%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B5-%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B/

— admindoc.ru/788/spanrspan/

— elims.org.ua/blog/cisco-span-i-rspan/

— supportforums.cisco.com/docs/DOC-2632