SPAN et RSPAN de Cisco IOS

Les commutateurs Cisco Catalyst ont une fonctionnalité appelée SPAN (Switch Port Analyzer) qui vous permet de copier tout le trafic d’un port source ou d’un VLAN source vers une interface de destination. Ceci est très utile pour un certain nombre de raisons:

• Si vous souhaitez utiliser wireshark pour capturer le trafic à partir d’une interface connectée à un poste de travail, un serveur, un téléphone ou toute autre chose que vous souhaitez renifler.
• Redirigez tout le trafic d’un VLAN vers un IDS/IPS.
• Redirigez tous les appels VoIP d’un VLAN afin que vous puissiez enregistrer les appels.

La source peut être une interface ou un VLAN, la destination est une interface. Vous pouvez choisir si vous souhaitez transférer les directions transmises, reçues ou dans les deux sens vers l’interface de destination.

Lorsque vous utilisez une interface de destination sur le même commutateur que votre commutateur, nous l’appelons SPAN, lorsque la destination est une interface distante sur un autre commutateur, nous l’appelons RSPAN (SPAN distant). Lorsque vous utilisez RSPAN, vous devez utiliser un VLAN pour votre trafic RSPAN afin que le trafic puisse passer du commutateur source au commutateur de destination.

Lorsque vous utilisez RSPAN, vous devez utiliser un VLAN qui transporte le trafic que vous copiez. Dans l’image ci-dessus, vous voyez SW1 qui copiera le trafic de l’ordinateur sur un « RSPAN VLAN ». SW2 n’en fait rien pendant que SW3 reçoit le trafic et le transmet à un ordinateur sur lequel wireshark est en cours d’exécution. Assurez-vous que les liaisons entre les commutateurs permettent le VLAN RSPAN.

SPAN et RSPAN sont géniaux, mais il y a quelques choses que vous devez garder à l’esprit

Restrictions

SPAN et RSPAN ont toutes deux des restrictions, je vais vous donner un aperçu des plus importantes:

• L’interface source peut être n’importe quoi – port de commutation, port routé, port d’accès, port de jonction, etherchannel, etc.
• Lorsque vous configurez un joncteur réseau comme interface source, il copie le trafic de tous les VLAN, mais il existe une option pour filtrer cela.
• Vous pouvez utiliser plusieurs interfaces source ou plusieurs VLAN, mais vous ne pouvez pas mélanger les interfaces et les VLAN.
• Il est très simple de surcharger une interface. Lorsque vous sélectionnez un VLAN entier comme source et utilisez une destination de 100 Mbits interface…it c’est peut-être trop.
• Lorsque vous configurez un port de destination, vous « perdrez » sa configuration. Par défaut, l’interface de destination ne sera utilisée que pour transférer le trafic SPAN vers. Cependant, il peut être configuré pour autoriser le trafic entrant d’un périphérique connecté à l’interface de destination.
• Les trames de couche 2 telles que CDP, VTP, DTP et BPDU spanning-tree ne sont pas copiées par défaut, mais vous pouvez quand même dire à SPAN/RSPAN de les copier.

Cela devrait vous donner une idée de ce dont SPAN / RSPAN sont capables. La configuration est assez simple, alors laissez-moi vous donner quelques exemples

SPAN Configuration

Commençons par une configuration simple. Je vais utiliser l’exemple que je vous ai montré plus tôt:

Switch(config)#monitor session 1 source interface fa0/1Switch(config)#monitor session 1 destination interface fa0/2

Vous pouvez vérifier la configuration comme ceci:

Switch#show monitor session 1Session 1---------Type : Local SessionSource Ports : Both : Fa0/1Destination Ports : Fa0/2 Encapsulation : Native Ingress : Disabled

Comme vous pouvez le voir, par défaut, il copiera le trafic transmis et reçu (les deux) vers le port de destination. Si vous voulez seulement capturer le trafic dans une direction, vous devez le spécifier comme ceci:

Switch(config)#monitor session 1 source interface fa0/1 ? , Specify another range of interfaces - Specify a range of interfaces both Monitor received and transmitted traffic rx Monitor received traffic only tx Monitor transmitted traffic only

Ajoutez simplement rx ou tx et vous êtes prêt à partir. Si l’interface FastEthernet 0/1 était un joncteur réseau, vous pouvez ajouter un filtre pour sélectionner les VLAN que vous souhaitez transférer:

Switch(config)#monitor session 1 filter vlan 1 - 100

Ce filtre ci-dessus transférera seulement VLAN 1 – 100 à la destination. Si vous ne souhaitez pas utiliser une interface comme source mais un VLAN, vous pouvez le faire comme ceci:

Switch(config)#monitor session 2 source vlan 1Switch(config)#monitor session 2 destination interface fa0/3

Je ne peux pas utiliser la session 1 pour cela car j’utilise déjà des interfaces source pour cette session. Il est également impossible d’utiliser la même interface de destination pour une autre session. C’est pourquoi j’ai créé un autre numéro de session et choisi FastEthernet 0/3 comme destination.

hostname Switch!monitor session 1 source interface Fa0/1monitor session 1 destination interface Fa0/2monitor session 2 source vlan 1monitor session 2 destination interface Fa0/3end

Jusqu’à présent, tout va bien? Regardons RSPAN!

Configuration RSPAN

Pour démontrer RSPAN, j’utiliserai une topologie avec deux commutateurs:

L’idée est de transférer le trafic de FastEthernet 0/1 sur SW1 à FastEthernet 0/1 sur SW2. Il y a quelques choses que nous devons configurer ici:

SW1(config)#vlan 100SW1(config-vlan)#remote-span

SW2(config)#vlan 100SW2(config-vlan)#remote-span

Nous devons d’abord créer le VLAN et dire aux commutateurs qu’il s’agit d’un vlan RSPAN. C’est quelque chose qui est facilement oublié. Deuxièmement, nous allons configurer la liaison entre les deux commutateurs en tant que joncteur réseau: