Ed eccomi qua a scrivere per AreaNetworking :-) In questo primo articolo cercherò di spiegarvi lo Switched Port Analyzer (SPAN), funzionalità spesso chiamata come ‘Port Mirroring’ o ‘Port Monitoring’.
Ma che cosa è lo SPAN e quando implementarlo? Lo SPAN è una feature che permette di replicare interamente tutto il traffico generato da/verso una o più vlan/interfacce verso una interfaccia fisica (per esempio una gigabitethernet). Su tale porta di destinazione solitamente troveremo connesso sonde o network analyzer, permettendoci di conoscere meglio la nostra rete oltre a creare statistiche e report di vario genere.
Detto questo passiamo a come configurare una SPAN port. La configurazione è estremamente semplice e servono implementare solamente 2 comandi:
- Quale traffico replicare
- Su quale interfaccia il traffico verrà replicato
Supponiamo di avere la configurazione seguente: sullo switch vi sono connessi 2 hosts (pc A / pc B) rispettivamente sulla porta fastethernet0/1 e fastethernet0/2, mentre sulla porta fastethernet0/24 vi è connesso un network analyzer.
Pertanto se volessimo monitorare i 2 hosts mediante il network analyzer, la configrazione dello SPAN sarebbe la seguente:
Ciscozine(config)#monitor session 1 source interface fastethernet 0/1, fastethernet 0/2 bofh Ciscozine(config)#monitor session 1 destination interface fastethernet 0/3
Una volta implementato lo SPAN, è possibile visionare la configurazione mediante il seguente comando:
Ciscozine#show monitor session 1 Session 1 --------- Source Ports: RX Only: None TX Only: None Both: Fa0/1, Fa0/2 Destination Ports: Fa0/24 Ciscozine#
Tenete però presente che il numero delle sessioni e il numero delle interfacce monitorabili dipende dal tipo di apparato utilizzato. Per esempio uno switch Catalyst 3550 permette di gestire fino a 2 sessioni di span, ma non permette di monitorare più di una interfaccia sulla stessa sessione. Per intenderci se dovessimo eseguire il comando:
Ciscozine(config)#monitor session 1 source interface fastethernet 0/1, fastethernet 0/2 bofh
Il sistema ci restituirebbe il segente messaggio di errore:
% This platform allows a maximum of 1 TX monitor interface(s)
Occorre inoltre ricordare che “A destination port receives copies of sent and received traffic for all monitored source ports. If a destination port is oversubscribed, it can become congested. This congestion can affect traffic forwarding on one or more of the source ports.”
Infine, alcuni tool famosi che permettono l’analisi del traffico mediante uno SPAN port sono i seguenti. Con l’occasione consiglio di leggere anche il Corso su Wireshark presente qui, su AreaNetworking.it: Corso Wireshark , prima lezione.
- Packetyzer: http://sourceforge.net/projects/packetyzer/
- Wireshark: http://www.wireshark.org/
- TCPdump: http://www.tcpdump.org/
- NTOP: http://www.ntop.org
Alcuni commenti sull’articolo presenti anche QUI, su LinkedIn.
