Cisco SPAN Y RSPAN

Muchas veces necesitamos monitorear el tráfico de un puerto especifico ya se para verificar que está pasando por ese puerto o para hacer un diagnóstico de un problema dado en la red de alguna aplicación específica, también como requerimiento de algunos appliances de monitoreo de red o proxy.

Que es SPAN Session

Por sus siglas en ingles Switched Port Analizer (SPAN), es una tecnología de los swiches Cisco cual permite que paquetes en un puerto origen (source port); ya sea paquetes entrantes o salientes, sean duplicados a un puerto destino (Destination Port) donde estará conectado un computador con el sniffer o aplicación de captura de paquetes como Wirelshark.

Por la naturaleza del swich, la comunicación entre dos nodos es única y ningún otro puerto en el switch recibe tráfico de la comunicación entre esos dos nodos, así como observamos en la figura 1

Figura 1

Con la funcionalidad de SPAN de los switches Cisco, es posible duplicar este tráfico a un puerto deseado como observamos en la figura 2, el tráfico que el computador A envía a al computador B es duplicado a un Puerto “C” el cual está conectado nuestro sniffer.

Figura 2

Terminología Básica

Antes de empezar para la configuración del SPAN sesión y RSPAN, debemos saber la terminología básica:

Ingress Traffic: Es el tráfico que  entra “ingresa” en una interfaz

Eggress Traffic: es el tráfico que sale ëgresa” de la interfaz

Source Span ports: son los puertos a ser monitoreados con la característica de SPAN

Source Span VLAN: Es la Vlan para ser monitoreada con la característica de SPAN

Destination Span Port: es el puerto que monitorea los Source Ports (puertos de origen), a este puerto es que se copiaran los datos que circulan en los puertos de origen.

Remote span VLAN: Es una vlan special utilizada para la session RSPAN esta transporta el trafico duplicado a través de varios Switches.

Figura 3

Como has podido notar también una Vlan puede ser monitoreada por la característica de SPAN J

Remote SPAN (RSPAN)

Remote SPAN nos permite monitorear uno o varios puertos o  vlans sin necesidad de que el puerto destino se encuentre en el mismo switch, esto es un alivio para los administradores de redes y seguridad que no tienen que trasladarse al edificio para realizar dicho procedimiento o instalar el equipo de monitoreo en dicha área.

Como podemos observar en la imagen, se utiliza una vlan especial llamada (remote SPAN Vlan) el cual transportara el trafico duplicado de los puertos seleccionados hacia el switch con el puerto destino


Figura 4

Después de la introducción vamos a nuestra receta. Para la configuración de SPAN necesitaremos lo siguiente en nuestro LAB

2 Switches Catalyst 2960 con vesion IOS 12.3 o superior

2 computadores

1 Wireshark o Software captura de paquetes de su preferencia que hará la función de Sniffer.

Debe tomar en consideración que las sintaxis de los comandos pueden variar según el modelo del switch y versión de IOS.

Configuración SPAN básica

En este primer ambiente configuraremos SPAN de manera local seleccionando 1 o varios puertos origen y el puerto destino.

Figura 5

  1. Primer lugar nos aseguramos que no exista ninguna sesión de monitoreo con el siguiente comando en el modo de configuración Global.

    no monitor sesion all

  2. Configuramos el puerto origen.

    monitor session 10 source interface fa0/10 both

    Con el comando establecimos el número de sesión 10 y que el origen será la interfaz fa0/10 y con la opcion “both” se selecciona el tráfico tanto de ingreso como egreso, si queremos agregar múltiples interfaces solo tenemos agregarlas en el mismo comando separados por coma.

  3. Configuramos el puerto destino

    monitor session 10 destination interface fa0/11

La configuración de tu Switch debe lucir más o menos así

monitor session 10 source interface fa0/10 both

monitor session 10 destination interface fa0/11

Con esto ya tenemos configurado el Puerto y deberíamos ver los paquetes que se está emitiendo en el puerto fa0/10. Con el comando show monitor session all deberás ver los puertos en monitor que configuraste en tu Switch.

La Función SPAN además que te permite monitorear puertos también te permite monitorear VLANs. Para lograr solo debes cambiar el comando el cual el source en vez de una interfaz sea una vlan.

monitor session 10 source vlan 30
both

monitor session 10 destination interface fa0/11

Configuración RSPAN

La configuración de RSPAN es muy sencilla, como explicamos anteriormente el trafico monitoreado utiliza una vlan especial para su funcionamiento. Tomando esto en cuenta procedemos a la configuración:

Figura 6

  1. Lo primero de que debemos hacer es crear una VLAN especial para el propósito de SPAN y designarla como RSPAN-VLAN,  debemos configurarla en ambos switches y deben tener el mismo número de VLAN

        Vlan 5

 RSPAN-VLAN

  1. procederemos a configurar nuestro puerto origen en el switch 1 que posee el puerto origen

                   monitor session 10 source interface fa0/10

  1. Nuestro destino del tráfico en el switch 1 será la vlan 5 especificado en el comando más abajo.

                  monitor session 10 destination remote vlan 5

  1. En el switch destino Switch2 configuramos el origen como la vlan designada a RSPAN, recuerde que debe de existir una vlan configurada como RSPAN VLAN en este Switch.

                  monitor session 10 source vlan 5

  1. Finalizamos Configurando el destination port en el puerto donde se encuentra nuestro sniffer.

                  monitor session 10 destination interface Fa0/11

Voila ya tenemos el ambiente listo para monitorear paquetes 😉

Existe mucha más información de esta funcionalidad puedes indagar más en la página de Cisco

Fuentes information:

Cisco. (n.d.). Catalyst 2940 Switch Software Configuration Guide. Retrieved from Cisco: http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2940/software/release/12-1_19_ea1/configuration/guide/2940scg_1/swspan.html

Singh, S. (2014, April 21). Catalyst Switched Port Analyzer (SPAN) Configuration Example. Retrieved 9 3, 2014, from Cisco: http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10570-41.html

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *