Cisco IOS SPAN y RSPAN

Posted on by admin

Contenido de la Lección

Los switches Cisco Catalyst tienen una función llamada SPAN (Analizador de puertos de conmutador) que le permite copiar todo el tráfico desde un puerto de origen o VLAN de origen a una interfaz de destino. Esto es muy útil por varias razones:

  • Si desea utilizar wireshark para capturar tráfico desde una interfaz que está conectada a una estación de trabajo, servidor, teléfono o cualquier otra cosa que desee rastrear.
  • Redirige todo el tráfico de una VLAN a un IDS / IPS.
  • Redirija todas las llamadas VoIP desde una VLAN para que pueda grabar las llamadas.

El origen puede ser una interfaz o una VLAN, el destino es una interfaz. Puede elegir si desea reenviar las direcciones transmitida, recibida o ambas a la interfaz de destino.

Ejemplo de Cisco SPAN

Cuando utiliza una interfaz de destino en el mismo conmutador que su conmutador, lo llamamos SPAN, cuando el destino es una interfaz remota en otro conmutador, lo llamamos RSPAN (Intervalo remoto). Al usar RSPAN, debe usar una VLAN para su tráfico RSPAN para que el tráfico pueda viajar desde el conmutador de origen al conmutador de destino.

ejemplo de rspan de conmutador cisco

Cuando utiliza RSPAN, necesita utilizar una VLAN que lleve el tráfico que está copiando. En la imagen de arriba se ve SW1 que copiará el tráfico de la computadora en una «RSPAN VLAN». SW2 no hace nada con él mientras SW3 recibe el tráfico y lo reenvía a un equipo que tiene wireshark en ejecución. Asegúrese de que los troncales entre los interruptores permiten la VLAN RSPAN.

SPAN y RSPAN son geniales, pero hay un par de cosas que debes tener en cuenta:

Restricciones

Tanto SPAN como RSPAN tienen algunas restricciones, te daré una descripción general de las más importantes:

  • La interfaz de origen puede ser cualquier cosa: puerto de conmutación, puerto enrutado, puerto de acceso, puerto troncal, etherchannel, etc.
  • Cuando configura un tronco como interfaz de origen, copiará el tráfico de todas las VLAN, sin embargo, hay una opción para filtrar esto.
  • Puede usar varias interfaces de origen o varias VLAN, pero no puede mezclar interfaces y VLAN.
  • Es muy sencillo sobrecargar una interfaz. Cuando selecciona una VLAN completa como origen y utiliza un destino de 100 Mbit interface…it podría ser demasiado.
  • Cuando configure un puerto de destino, «perderá» su configuración. De forma predeterminada, la interfaz de destino solo se utilizará para reenviar tráfico de SPAN a. Sin embargo, se puede configurar para permitir el tráfico entrante desde un dispositivo conectado a la interfaz de destino.
  • Los fotogramas de capa 2 como CDP, VTP, DTP y BPDU de árbol de expansión no se copian de forma predeterminada, pero puede indicarle a SPAN/RSPAN que los copie de todos modos.

Esto debería darle una idea de lo que SPAN / RSPAN son capaces de hacer. La configuración es bastante sencilla, así que permítanme darles algunos ejemplos

Configuración de alcance

Comencemos con una configuración simple. Usaré el ejemplo que te mostré antes:

Ejemplo de Cisco SPAN

Switch(config)#monitor session 1 source interface fa0/1Switch(config)#monitor session 1 destination interface fa0/2

Puede verificar la configuración de esta manera:

Switch#show monitor session 1Session 1---------Type : Local SessionSource Ports : Both : Fa0/1Destination Ports : Fa0/2 Encapsulation : Native Ingress : Disabled

Como puede ver, de forma predeterminada copiará el tráfico que se transmite y recibe (ambos) al puerto de destino. Si solo desea capturar el tráfico que va en una dirección, debe especificarlo de esta manera:

Switch(config)#monitor session 1 source interface fa0/1 ? , Specify another range of interfaces - Specify a range of interfaces both Monitor received and transmitted traffic rx Monitor received traffic only tx Monitor transmitted traffic only

Simplemente agregue rx o tx y estará listo para comenzar. Si interface FastEthernet 0/1 fuera un tronco, podría agregar un filtro para seleccionar las VLAN que desea reenviar:

Switch(config)#monitor session 1 filter vlan 1 - 100

Este filtro de arriba solo reenviará la VLAN 1 – 100 al destino. Si no desea utilizar una interfaz como fuente, sino una VLAN, puede hacerlo de esta manera:

Switch(config)#monitor session 2 source vlan 1Switch(config)#monitor session 2 destination interface fa0/3

No puedo usar la sesión 1 para esto porque ya estoy usando interfaces de origen para esa sesión. También es imposible usar la misma interfaz de destino para otra sesión. Es por eso que creé otro número de sesión y elegí FastEthernet 0/3 como destino.

Configuraciones

que Desee echar un vistazo por ti mismo? Aquí encontrará la configuración final de cada dispositivo.Interruptor 

hostname Switch!monitor session 1 source interface Fa0/1monitor session 1 destination interface Fa0/2monitor session 2 source vlan 1monitor session 2 destination interface Fa0/3end

¿Hasta ahora todo bien? ¡Echemos un vistazo a RSPAN!

Configuración de RSPAN

Para demostrar RSPAN utilizaré una topología con dos conmutadores:

cisco rspan sw1 sw2

La idea es reenviar el tráfico de FastEthernet 0/1 en SW1 a FastEthernet 0/1 en SW2. Hay un par de cosas que tenemos que configurar aquí:

SW1(config)#vlan 100SW1(config-vlan)#remote-span
SW2(config)#vlan 100SW2(config-vlan)#remote-span

Primero necesitamos crear la VLAN y decirle a los switches que es una vlan RSPAN. Esto es algo que se olvida fácilmente. En segundo lugar, configuraremos el enlace entre los dos interruptores como un tronco:

Deja una respuesta

Tu dirección de correo electrónico no será publicada.