En este articulo vamos a revisar y explicar cómo configurar Port-Mirror o SPAN Port en un switch Cisco de una manera fácil para poder aplicarlo en una VLAN o en puerto trunk.
A veces es necesario conocer el tráfico (visualizar mediante un analizador de protocolos) de otro host conectado a un switch para propósitos de desarrollo, auditoría o seguridad.
Port mirroring es una función que tienen los switches para copiar todo el tráfico de una interface específico a otra interface y así poder capturarlo con alguna herramienta tipo tcpdump o whireshark.
El port mirroring o puerto espejo se utiliza en un switch de red o en un router para enviar una copia de los paquetes de red vistos en los puertos especificados (puertos de origen) a otros puertos especificados (puertos de destino). La duplicación de puertos es ampliamente aplicada, por ejemplo, los ingenieros de red pueden utilizar la duplicación de puertos para analizar, depurar datos o diagnosticar errores en sus redes sin afectar las capacidades de procesamiento de paquetes en los dispositivos de red.
Pasos para Configurar Port-Mirror o SPAN Port
1.- Identificar los puertos de origen y destino. Una vez identificado los puertos, vamos a validar si en el mismo switch existe algun port mirror o span port configurado para tener claro el número de identificador para el port mirror que vamos a configurar.
Con el siguiente comando validamos si existen más port mirror configurados
Switch#show monitor session all
Como veran en el switch de pruebas no hay otro port mirror configurado
Switch#sh monitor session all No SPAN configuration is present in the system. Switch#
2.- Configurar port mirror con los datos del puerto origen y destino.
Para el ejemplo utilizaremos el puerto 4 como origen y puerto 5 como destino.
Switch(config)#monitor session 1 source interface fastEthernet 0/4 both
Switch(config)#monitor session 1 destination interface fastEthernet 0/5
Con los comandos aplicados ya tendríamos la configuración completa para el port mirror, solo faltaría conectar el equipo que va a realizar las capturas con alguna aplicación para tal fin como TCPdump o wireshark.
3.- Validamos que el port mirror está activo
Switch#show monitor session 1
Session 1
Type : Local Session
Source Ports :
Both : Fa0/4
Destination Ports : Fa0/5
Encapsulation : Native
Ingress : Disabled
Switch#
4.- Para borra el port mirror, se puede realizar mediante el comando que se muestra abajo, el numero 1 es el numero identificador del port mirror
Switch(config)#no monitor session 1
5.- Validamos que el port mirror ya no este activo
Switch#show monitor session 1
No SPAN configuration is present in the system for session [1].
Switch#
¿Qué es SPAN Port?
Port Mirroring, también conocido como SPAN (Switch Port Analyzer), son puertos designados en un dispositivo de red (switch), que están programados para enviar una copia de los paquetes de red vistos en un puerto (o una VLAN completa) a otro puerto, donde los paquetes pueden ser analizado.
Este es un monitoreo del tráfico de red que reenvía una copia de cada paquete entrante y saliente desde uno o más puertos o VLAN de un “switch” a otro puerto donde el analizador de tráfico de red está conectado. SPAN se usa con mucha frecuencia en sistemas más simples para monitorear múltiples estaciones a la vez.
La cantidad exacta de tráfico de red que esta herramienta puede monitorear depende precisamente de dónde está instalado el SPAN en relación con el equipo del centro de datos.
Es posible que obtengas solo lo que deseas ver y puedes terminar viendo mucho más de lo que se necesita. Abarcar una VLAN completa, por ejemplo, puede resultar en múltiples copias de los mismos datos, lo que dificulta la resolución de problemas de LAN, además de afectar la velocidad del CPU del “switch” o afectar las pruebas de rendimiento de Ethernet.
Puntos para considerar para Configurar Port-Mirror o SPAN Port
– Proporcionar acceso a paquetes para el monitoreo.
– Diseñado para control de bajo rendimiento.
– Las sesiones SPAN no interfieren con el funcionamiento normal del switch.
– Procesamiento de baja prioridad: el switch eliminará los paquetes SPAN si se utiliza mucho o si hay un exceso de procesamiento.
– Puede duplicar paquetes si se utilizan varias VLAN.
– El uso de puertos SPAN/Mirror puede cambiar la sincronización de las interacciones de tramas, alterando los tiempos de respuesta.
¿Como podemos leer la información de una captura de tráfico?
Wireshark es una utilidad que mostrará los paquetes vistos por un dispositivo. Los paquetes contienen los datos que se transmiten entre computadoras. Ver esta información a menudo puede ayudar en el diagnóstico de problemas que pueden estar ocurriendo en una red.
Es posible que un dispositivo no vea todos los paquetes transmitidos en una red si un dispositivo está cableado. En este caso, es posible que el dispositivo solo vea paquetes de transmisión y paquetes dirigidos a él debido a la funcionalidad de los equipos de red modernos.
Me considero una persona apasionada por la tecnología y/o todo lo relacionado a servicios de TI, me gusta conocer un poco mas de todo lo nuevo que va saliendo y que puede hacer las cosas más sencillas y seguras, lo que busco plasmar en mis artículos es una manera sencilla de entender las cosas que he aprendido con el paso del tiempo y tratar de compartir un poco mas a detalle de algunos procesos y estructuras de TI.
Soy Ingeniero en Sistemas con certificaciones en redes Cisco, comparto lo poco o mucho de mi experiencia en el mundo de las tecnologías.
