Cuando utilizamos equipos Cisco tenemos un feature que nos da la capacidad de copiar todo el trafico entrante y saliente de un puerto o vlan hacia otro puerto de destino, esto nos da la oportunidad de poder analizar el trafico de cierto(s) equipo(s), lo mas común es conectar una laptop o pc con Wireshark en el puerto de destino (SPAN), aunque para un análisis mas a fondo en donde quizá se requiera capturar por mas de un día y en donde las capturas se inicien o paren de manera remota se utiliza un equipo dedicado (analizador de protocolos).
A continuación se muestra el ejemplo para configurar el SPAN.
Topologia SPAN básico
Tenemos la topologia en donde C1 tiene instalado Wireshark y estara capturando todo el trafico que genera C2, la configuracion necesaria para crear el puerto SPAN o mirror es la siguiente:
SW1(config)#int fa0/0
SW1(config-if)#description Puerto SPAN
SW1(config-if)#speed 100
SW1(config-if)#duplex full
SW1(config-if)#switchport mode access
SW1(config)#int fa0/1
SW1(config-if)#description Conexion a C2
SW1(config-if)#speed 100
SW1(config-if)#duplex full
SW1(config-if)#switchport mode access
SW1(config)#monitor session 1 source interface fastEthernet 0/1
SW1(config)#monitor session 1 destination interface fastEthernet 0/0
Para verificar lo configurado tenemos
SW1#sh int fa0/0
FastEthernet0/0 is up, line protocol is down (monitoring)
Hardware is Fast Ethernet, address is c200.0cfc.f101 (bia c200.0cfc.f101)
Description: Puerto SPAN
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
SW1#sh monitor session 1
Session 1
———
Source Ports:
RX Only: None
TX Only: None
Both: Fa0/1
Source VLANs:
RX Only: None
TX Only: None
Both: None
Destination Ports: Fa0/0
Filter VLANs: None
La diferencia entre conectar una PC vs Analizador de protocolos radica en que el analizador requiere de una ip de gestión para que remotamente estemos iniciando y deteniendo las capturas, utilizaríamos la configuración anterior y solo faltaría asignar un puerto del switch y configurarlo como acceso en la vlan de gestión.
Con la configuración mostrada anteriormente tenemos nuestro puerto SPAN configurado 🙂
capa8 