SPAN es el analizador de puertos conmutados que está disponible en algunos switches Cisco Catalyst. Puede utilizar SPAN en:
- Serie Catalyst Express 500/520
- Catalizador de la serie 1900
- Catalyst 2900XL Series
- Catalyst 2940 Series
- Catalizador 2948G-L2, 2948G-GE-TX, 2980G-A
- Catalyst 2950 Series
- Catalyst 2955 Series
- Catalyst 2960 Series
- Catalyst 2970 Series
- Catalyst 3500 XL Series
- Catalyst 3550 Series
- Catalyst 3560 / 3560E / 3650X Series
- Catalizador 3750 / 3750E / 3750X Series
- Catalyst 3750 Metro Series
- Catalizador 4500/4000 Series
- Catalyst 4900 Series
- Catalyst 5500/5000 Series
- Catalyst 6500/6000 Series
Nota: El proceso de configuración es diferente para cada modelo..
Contents
¿Qué es SPAN??
La función SPAN le permite conectar un sniffer de paquetes a un conmutador. Sin SPAN, el sniffer solo captaría mensajes de difusión porque el conmutador cierra un circuito entre dos dispositivos de comunicación, bloqueando el sniffer conectado a un puerto diferente. Con SPAN, todo el tráfico que pasa por el puerto se replica y se envía al puerto sniffer. Este proceso se conoce como “reflejo”.
El sistema SPAN es capaz de monitorear un solo puerto o muchos puertos. También es posible identificar la dirección del tráfico a ese puerto. Una variación de SPAN, llamada RSPAN (Remote Switch Port Analyzer) le permite monitorear el tráfico entre conmutadores. La opción RSPAN no está disponible en todos los conmutadores Catalyst: los conmutadores Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 y 2900XL no tienen la función RSPAN.
Puede configurar SPAN para monitorear un puerto VLAN y también puede especificar que debe monitorear todo el tráfico de VLAN. Un poco de terminología necesita ser explicada. Los términos “fuente“Y”destino,”Que se usan comúnmente en redes tienen significados ligeramente diferentes dentro de SPAN. Aquí, la “fuente” es cualquier puerto, no el origen del tráfico. El término “destino” en SPAN se refiere al puerto al que está conectado el sniffer de paquetes; no significa el destino del tráfico monitoreado.
Configurar SPAN en el interruptor
Cisco recomienda diferentes métodos para configurar la duplicación de puertos con SPAN de acuerdo con la versión del conmutador Catalyst. Estos pasos solo desviarán copias de los paquetes de tráfico al puerto al que conecta su dispositivo. La configuración de duplicación de puertos no almacenará ni analizará el tráfico. Puede usar cualquier software de análisis de red para procesar los paquetes que se envían a su dispositivo.
Configurar SPAN en conmutadores IOS
Para estos modelos de conmutadores, debe acceder al sistema operativo del dispositivo y emitir un comando para especificar el puerto SPAN y el puerto a monitorear. Esta tarea se implementa mediante dos líneas de comandos. Uno necesita especifique la fuente, lo que significa el puerto que tendrá su tráfico replicado, y el otro da el número de puerto al que está conectado el sniffer – esta es la línea de destino.
supervisar fuente de sesión [interfaz | remoto | vlan] [rx | tx | ambos] supervisar la interfaz de destino de la sesión
Una vez que haya terminado de definir el espejo, debe presionar CTRL-Z para finalizar la definición de configuración.
El número de sesión simplemente le permite crear varios monitores diferentes ejecutándose simultáneamente. Si utiliza el mismo número de sesión en un comando posterior, cancelará el rastreo original y lo reemplazará con la nueva especificación. Los rangos de puertos están definidos por un guión (“-“) y una secuencia de puertos está separada por comas (“,”).
El último elemento en la línea de comando para el puerto de origen (el puerto a monitorear) es la especificación de si el conmutador debe replicar los paquetes transmitidos desde ese puerto, o a ese puerto, o ambos.
Configurar SPAN en conmutadores CatOS
Las gamas Catalyst más recientes se envían con un sistema operativo más nuevo, llamado CatOS, en lugar del antiguo sistema operativo IOS. Los comandos utilizados para configurar la duplicación SPAN en estos conmutadores son un poco diferentes. Con este sistema operativo, puede crear reflejos con solo un comando en lugar de dos.
establecer intervalo [rx | tx | ambos] [inpkts] [aprendizaje] [multidifusión] [filtro] [crear]
Los puertos de origen están definidos por el primer elemento en este comando, que es la parte “src_mod / src_ports”. Un segundo identificador de puerto en el comando se lee automáticamente como el puerto de destino, es decir, el puerto al que está conectado el sniffer de paquetes. Los “rx | tx | ambos“Elemento le dice al conmutador que replique los paquetes transmitidos desde el puerto, o al puerto, o ambos.
También hay un comando set span para desactivar la duplicación:
establecer span deshabilitar [dest_mod / dest_port | all]
Configure SPAN en los switches Catalyst Express 500 y Catalyst Express 520
Si tiene un switch Catalyst Express 500 o Catalyst Express 520, no ingrese la configuración de SPAN en el sistema operativo. Para comunicarse con el conmutador y modificar su configuración, debe instalar el Asistente de red de Cisco (CNA) Este software de administración de red es gratuito y se ejecuta en el entorno de Windows. Siga estos pasos para activar SPAN en el conmutador.
- Inicie sesión en el conmutador a través de la interfaz CNA.
- Selecciona el Smartports opción en el CNA menú. Esto mostrará un gráfico que representa la matriz de puertos del conmutador.
- Haga clic en el puerto al que desea conectar el sniffer de paquetes y seleccione el Modificar opción. Esto mostrará una ventana emergente.
- Seleccione Diagnósticos en el Papel enumere y seleccione el puerto que controlará su tráfico desde Fuente la lista desplegable. Si desea monitorear específicamente una VLAN, selecciónela desde VLAN de entrada lista. Si no tiene la intención de observar el tráfico de una VLAN, deje este valor en su valor predeterminado. Haga clic en Okay para guardar la configuración.
- Haga clic en Okay y entonces Aplicar en el Smartports pantalla.
- Un problema con el método CNA es que el software solo se ejecuta en versiones de Windows hasta Windows 7.
Monitoreo del tráfico de red
Obtener el puerto SPAN definido en su conmutador es solo la mitad de la tarea de capturar el tráfico de red. Los procedimientos explicados anteriormente harán que los paquetes se repliquen y se envíen a un puerto específico en el conmutador. A continuación, debe conectar una computadora a ese puerto y colocar un software de análisis de tráfico para almacenar y analizar estos paquetes..
Puede encontrar más información sobre el software de análisis de tráfico en el artículo Los 9 mejores rastreadores de paquetes y analizadores de red para 2023. También debe tener en cuenta que la amplia duplicación de puertos puede generar una gran cantidad de datos que ocuparán espacio de almacenamiento, así que trate de ser selectivo con respecto a los puertos que supervisa y no permita que el proceso de captura de paquetes se ejecute durante demasiado tiempo..
Sistemas de monitoreo de tráfico de Cisco
La captura y el almacenamiento completos de paquetes pueden ocasionarle problemas con la confidencialidad de los datos. Aunque la mayor parte del tráfico que pasa por su red estará encriptada, si está destinada a sitios externos, no todo el tráfico interno estará encriptado. A menos que su organización haya decidido implementar seguridad adicional para los correos electrónicos, el tráfico de correo alrededor de su red no se cifrará de manera predeterminada.
Como técnica alternativa de análisis de tráfico, podría considerar usar NetFlow. Este es un sistema de mensajería que está habilitado en todos los dispositivos Cisco y reenviará solo los encabezados de los paquetes a un monitor central. Puede leer sobre los monitores de red que recopilan datos de NetFlow en el artículo Los 10 mejores analizadores y colectores NetFlow gratuitos y premium.
Una vez que tenga toda la información a su alcance sobre todas las capacidades de monitoreo de tráfico de sus conmutadores Cisco, estará en una mejor posición para decidir qué método de captura de paquetes usar.
SPAN es una herramienta muy útil para monitorear el tráfico de red en los switches Cisco Catalyst. Esta función permite conectar un sniffer de paquetes a un puerto y replicar todo el tráfico que pasa por ese puerto, lo que facilita el análisis y la solución de problemas en la red. SPAN está disponible en muchos modelos de switches Catalyst, pero el proceso de configuración puede variar según el modelo. Es importante tener en cuenta que SPAN no almacena ni analiza el tráfico, solo lo replica y lo envía al puerto sniffer. En resumen, SPAN es una herramienta esencial para cualquier administrador de red que desee monitorear y optimizar el rendimiento de su red.