SPAN (Switched Port Analyzer) es una tecnologÃa de capa 2 que permite copiar o más bien hacer el espejo del tráfico que atraviesa un puerto de un Switch (origen) y enviarlo al puerto donde está conectado un Sniffer o cualquier equipo de monitoreo (destino). El destino puede ser una interfaz en el mismo Switch o en otro Switch en la red LAN.
- Si el puerto de origen y de destino se encuentran en el mismo Switch, se llama Local SPAN
- Si el puerto de origen y de destino están en Switches distintos en la red LAN, se llama RSPAN (Remote SPAN)
A continuación, les comparto algunos casos de uso.
Caso #1
A veces en el proceso de troubleshooting de una falla, los ingenieros de redes o de operaciones llegamos en un punto donde no se ve nada obvio, después de revisar configuracion, y realizar todos tipos de pruebas posibles en la red, la falla persiste. Ahà nos encontramos en la necesidad de analizar con un Sniffer el flujo de comunicación para detectar y segmentar la falla.
Caso #2
También puede ser que solo se requiere conectar un IDS (Intrusion Detection System) o Firewall en modo transparente para monitorear el tráfico en algún punto en la red.
Para estos 2 casos el uso de SPAN es fundamental ya que nos da la capacidad de obtener y visualizar el tráfico de interés a tiempo real. Es muy importante mencionar que actualmente existe muchas opciones para colocar el Sniffer o un IDS en la red, pero el más usado y recomendable es PORT MIRRORING o SPAN.
DEMO
N.B: Existe otros tipos de SPAN, pero en esta ocasión nos enfocaremos en demonstrar la configuración básica de SPAN Y RSPAN.
LAB -1
LOCAL SPAN
TopologÃa
A continuación, vamos a configurar local SPAN en SW-1 con el objetivo de observar en el SNIFFER el intercambio de paquetes ICMP entre PC-1 y R-1.
SW-1
- GigabitEthernet0/0 --> R-1 IP: 192.168.1.1/24
- GigabitEthernet0/1 --> PC-1 IP: 192.168.1.10/24
- GigabitEthernet0/2 --> Sniffer IP (Opcional)
PASO -1
La configuración es muy sencilla.
Tal como se observa en la imagen, en la primera lÃnea creamos una sesión (ID 1) e indicamos el puerto de origen. En la segunda lÃnea se reúsa la misma sesión(id) y especificamos la interfaz de destino.
- En este caso el origen es el Gi 0/1 donde está conectado PC-1 y el destino es la interfaz donde tenemos conectado el sniffer.
Verificación
Con el comando show monitor session Id, se verifica la configuración de la sesión. Ahà se ve el puerto de origen y de destino, y el tipo de SPAN que tenemos configurado.
PASO -2
Pruebas
Desde PC-1 vamos a enviar Pings hacia R-1. Tenemos que ver reflejado este tráfico en el SNIFFER, normalmente sin la configuración de SPAN seria imposible ver este tráfico.
Vista desde el SNIFFER (Wireshark)
Tal como se esperaba, desde el SNIFFER (Wireshark) se logra ver los paquetes ICMP que atraviesan el puerto Gi 0/1.
Asà concluyamos este demo de Local SPAN
LAB-2
REMOTE SPAN
A continuación, vamos a configurar RSPAN en SW-1 y SW-2 con el objetivo de visualizar desde el sniffer el flujo de comunicación entre PC-2 y R1
SW-1
- GigabitEthernet0/0 --> R-1 IP: 192.168.1.1/24
- GigabitEthernet0/1 --> PC-1 IP: 192.168.1.10/24
- GigabitEthernet0/3 --> Troncal entre SW1 Y SW2
- GigabitEthernet0/2 --> Sniffer IP (Opcional)
SW-2
- GigabitEthernet0/0 --> PC-2 IP: 192.168.1.20/24
- GigabitEthernet0/3 --> Troncal entre SW1 Y SW2
- GigabitEthernet0/2 --> Sniffer
- VLAN RSPAN --> VLAN 100
En este caso como la interfaz de origen y el sniffer están en Switches diferentes se requiere configurar una VLAN especial para inyectar el tráfico de SPAN.
PASO – 1
Configuracion de la VLAN RSPAN.
SW-1
SW-2
Al momento de crear la VLAN es sumamente importante especificarla como Remote-SPAN tal como se ve en las imágenes. La VLAN RSPAN no debe ser usada o asignada a ninguna interfaz a excepción del puerto troncal.
Paso – 2
CONFIGURACION DE RSPAN
SW-2 Config.
En SW-2 se encuentra el tráfico de interés (origen), el puerto Gi 0/0 (PC-2). Como el sniffer está localizado en otro Switch, se usa la VLAN RSPAN como destino.
SW-1 - Config.
En SW-1 el origen es la VLAN 100 (VLAN RSPAN) y el destino es el Gi 0/2 (SNIFFER)
Verificación
Con el comando show monitor session {Id}, se verifica la configuración de la sesión. Ahà se ve el puerto de origen y de destino, y el tipo de SPAN que tenemos configurado.
PASO-3
PRUEBAS Y VERIFICACIÓN
Igual como el ejemplo anterior, desde PC-2 vamos a enviar Pings hacia R-1. Tenemos que ver reflejado este tráfico en el SNIFFER, normalmente sin la configuración de REMOTE SPAN serÃa imposible ver este tráfico.
Vista desde el SNIFFER (Wireshark)
Validado , desde el SNIFFER en SW1 se logra apreciar los paquetes ICMP que atraviesan el puerto Gi 0/0 en SW2.
Llegamos al final de este DEMO, gracias por acompañarme en esa aventura.
Thierry PETIT-FRERE