Lo que pretendemos con está configuración es enviar una copia de todo el tráfico que pasa por un switch, a otro puerto de ese mismo switch para tratarla, ya sea con algún analizador de monitoring/red, sistemas de seguridad, etc.. Normalmente se pone en el switch por el que viaja la gran mayoría del tráfico, osea en el que están los servidores, en el que puede ver el gateway, etc... también va en función a lo que queramos buscar.
Si queremos que vea todo el tráfico nos tenemos que asegurar que tenga visibilidad a todas las vlans.
Primero deberíamos asegurarnos que la carga de cpu del switch a configurar puede soportar un poco más de gestión (show process cpu history).
Empezemos a configurarlo:
Como vamos a definir "sesiones" para asignar estos puertos en espejo (mirror), lo primero es asegurarnos que no tenemos ninguna "sesión", una "sesión" será un número del 1 al 66 (sh monitor) o si las hay y no las usamos eliminarlas (no monitor session).
En este pantallazo eliminamos la sessión clasificada como: 1
Queremos que todo lo que pasa por el puerto Gigabitethernet 9, en mi caso es el enlace entre los switches de mis servidores y mis routers/gateways cisco y ...
...le envie copia al puerto Gigabitethernet0/34 donde tendremos nuestro sistema de monitoring
Para verificar que lo hemos hecho bien
No hay que olvidarse de guardar los cambios.
Para eliminar los cambios podemos hacer lo que hemos hecho en el primer paso o indicar la sesión a desactivar. Verificar si se percibe el incremento de cpu.
Otra manera de hacerlo podría ser en el mismo Switch:
Contra otro switch:
También podemos encontrar referencias a esta configuración como "configure Local SPAN "Para eliminar los cambios podemos hacer lo que hemos hecho en el primer paso o indicar la sesión a desactivar. Verificar si se percibe el incremento de cpu.
Otra manera de hacerlo podría ser en el mismo Switch:
Una vez configurado hay que tener presente según Cisco:
El puerto reflector es el mecanismo que copia paquetes en una VLAN RSPAN. El puerto reflector sólo reenvía el tráfico de la sesión RSPAN de origen con la que está afiliada. Cualquier dispositivo conectado a un puerto configurado como puerto reflector pierde la conectividad hasta que se desactiva la sesión RSPAN de origen.
El puerto reflector tiene estas características:
- Es un puerto configurado como bucle de retorno.
- No puede ser un grupo EtherChannel, no es troncal y no puede realizar el filtrado de protocolo.
- Puede ser un puerto físico asignado a un grupo EtherChannel, incluso si el grupo EtherChannel se ha especificado como origen SPAN. El puerto se elimina del grupo mientras se configura como puerto reflector.
- El puerto utilizado como reflector no puede ser un puerto de origen o de destino SPAN ni puede ser un puerto reflector para más de una sesión al mismo tiempo.
- Es invisible para todas las VLAN.
- La VLAN nativa para el tráfico con bucle de retorno en un puerto reflector es la VLAN RSPAN.
- El puerto reflector aplica un bucle de retorno al switch a todo el tráfico sin etiqueta. El tráfico se ubica luego en la VLAN RSPAN e inunda cualquier puerto troncal que transporte la VLAN RSPAN.
- El árbol de expansión se desactiva automáticamente en un puerto reflector.
- El puerto reflector recibe copias del tráfico enviado y recibido para todos los puertos de origen supervisados.
"
