Muchas veces necesitamos monitorear el tráfico de un puerto especifico ya se para verificar que está pasando por ese puerto o para hacer un diagnóstico de un problema dado en la red de alguna aplicación específica, también como requerimiento de algunos appliances de monitoreo de red o proxy.
Que es SPAN Session
Por sus siglas en ingles Switched Port Analizer (SPAN), es una tecnología de los swiches Cisco cual permite que paquetes en un puerto origen (source port); ya sea paquetes entrantes o salientes, sean duplicados a un puerto destino (Destination Port) donde estará conectado un computador con el sniffer o aplicación de captura de paquetes como Wirelshark.
Por la naturaleza del swich, la comunicación entre dos nodos es única y ningún otro puerto en el switch recibe tráfico de la comunicación entre esos dos nodos, así como observamos en la figura 1
Figura 1
Con la funcionalidad de SPAN de los switches Cisco, es posible duplicar este tráfico a un puerto deseado como observamos en la figura 2, el tráfico que el computador A envía a al computador B es duplicado a un Puerto “C” el cual está conectado nuestro sniffer.
Figura 2
Terminología Básica
Antes de empezar para la configuración del SPAN sesión y RSPAN, debemos saber la terminología básica:
Ingress Traffic: Es el tráfico que entra “ingresa” en una interfaz
Eggress Traffic: es el tráfico que sale ëgresa” de la interfaz
Source Span ports: son los puertos a ser monitoreados con la característica de SPAN
Source Span VLAN: Es la Vlan para ser monitoreada con la característica de SPAN
Destination Span Port: es el puerto que monitorea los Source Ports (puertos de origen), a este puerto es que se copiaran los datos que circulan en los puertos de origen.
Remote span VLAN: Es una vlan special utilizada para la session RSPAN esta transporta el trafico duplicado a través de varios Switches.
Figura 3
Como has podido notar también una Vlan puede ser monitoreada por la característica de SPAN J
Remote SPAN (RSPAN)
Remote SPAN nos permite monitorear uno o varios puertos o vlans sin necesidad de que el puerto destino se encuentre en el mismo switch, esto es un alivio para los administradores de redes y seguridad que no tienen que trasladarse al edificio para realizar dicho procedimiento o instalar el equipo de monitoreo en dicha área.
Como podemos observar en la imagen, se utiliza una vlan especial llamada (remote SPAN Vlan) el cual transportara el trafico duplicado de los puertos seleccionados hacia el switch con el puerto destino
Figura 4
Después de la introducción vamos a nuestra receta. Para la configuración de SPAN necesitaremos lo siguiente en nuestro LAB
2 Switches Catalyst 2960 con vesion IOS 12.3 o superior
2 computadores
1 Wireshark o Software captura de paquetes de su preferencia que hará la función de Sniffer.
Debe tomar en consideración que las sintaxis de los comandos pueden variar según el modelo del switch y versión de IOS.
Configuración SPAN básica
En este primer ambiente configuraremos SPAN de manera local seleccionando 1 o varios puertos origen y el puerto destino.
Figura 5
-
Primer lugar nos aseguramos que no exista ninguna sesión de monitoreo con el siguiente comando en el modo de configuración Global.
no monitor sesion all
-
Configuramos el puerto origen.
monitor session 10 source interface fa0/10 both
Con el comando establecimos el número de sesión 10 y que el origen será la interfaz fa0/10 y con la opcion “both” se selecciona el tráfico tanto de ingreso como egreso, si queremos agregar múltiples interfaces solo tenemos agregarlas en el mismo comando separados por coma.
-
Configuramos el puerto destino
monitor session 10 destination interface fa0/11
La configuración de tu Switch debe lucir más o menos así
monitor session 10 source interface fa0/10 both
monitor session 10 destination interface fa0/11
Con esto ya tenemos configurado el Puerto y deberíamos ver los paquetes que se está emitiendo en el puerto fa0/10. Con el comando show monitor session all deberás ver los puertos en monitor que configuraste en tu Switch.
La Función SPAN además que te permite monitorear puertos también te permite monitorear VLANs. Para lograr solo debes cambiar el comando el cual el source en vez de una interfaz sea una vlan.
monitor session 10 source vlan 30
both
monitor session 10 destination interface fa0/11
Configuración RSPAN
La configuración de RSPAN es muy sencilla, como explicamos anteriormente el trafico monitoreado utiliza una vlan especial para su funcionamiento. Tomando esto en cuenta procedemos a la configuración:
Figura 6
-
Lo primero de que debemos hacer es crear una VLAN especial para el propósito de SPAN y designarla como RSPAN-VLAN, debemos configurarla en ambos switches y deben tener el mismo número de VLAN
Vlan 5
RSPAN-VLAN
-
procederemos a configurar nuestro puerto origen en el switch 1 que posee el puerto origen
monitor session 10 source interface fa0/10
- Nuestro destino del tráfico en el switch 1 será la vlan 5 especificado en el comando más abajo.
monitor session 10 destination remote vlan 5
-
En el switch destino Switch2 configuramos el origen como la vlan designada a RSPAN, recuerde que debe de existir una vlan configurada como RSPAN VLAN en este Switch.
monitor session 10 source vlan 5
- Finalizamos Configurando el destination port en el puerto donde se encuentra nuestro sniffer.
monitor session 10 destination interface Fa0/11
Voila ya tenemos el ambiente listo para monitorear paquetes 😉
Existe mucha más información de esta funcionalidad puedes indagar más en la página de Cisco
Fuentes information:
Cisco. (n.d.). Catalyst 2940 Switch Software Configuration Guide. Retrieved from Cisco: http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2940/software/release/12-1_19_ea1/configuration/guide/2940scg_1/swspan.html
Singh, S. (2014, April 21). Catalyst Switched Port Analyzer (SPAN) Configuration Example. Retrieved 9 3, 2014, from Cisco: http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10570-41.html