Bei Cisco-Switchen gibt es mehrere Optionen des Port-Mirroring. So können einzelne oder mehrere Ports, komplette Etherchannels oder VLAN’s gespiegelt werden.

Hier erstmal ein paar Span-Regeln :

• Der Source-Port kann nicht Destination-Port sein, der Destination-Port kann auch nicht Source-Port sein.
• Es gibt pro Span-Session nur einen einzigen Destination-Port. Zwei Span-Sessions können nicht den selben Destination-Port benutzen.
• Ein Etherchannel kann zwar ein Source-Port sein, aber kein Destination-Port.
• Bei Span-Source-Ports ist es möglich für einen Port den Transmit-Trafiic zu überwachen, den Receive-Traffic für mehrere Ports.
• Ein Span-Destination-Port arbeitet nicht mehr wie ein gewöhnlicher Switchport, nur definierter Traffic wird weitergeleitet.
• Ein Trunk kann ebenfalls ein Source-Port sein, der Destination-Port gibt die Encapsulation mit weiter (falls ebenfalls mit Encapsulation konfiguriert, ansonsten als Native).
• Aus Trunks können bestimmte Vlans herausgefiltert werden.

Spiegelung eines Switch-Ports

Nachfolgend stelle ich einfach mal die Befehle mit passenden Kommentaren zusammen :

switch(config)# no monitor session 1

Falls noch eine Session 1 vorhanden war, wird sie nun gelöscht. Sollte nämlich noch eine Session vorhanden sein, könnte durch die nächsten Konfigurationen die vorhandene Session erweitert werden (aber das wollen wir hier gerade nicht).

switch(config)# monitor session 1 source interface fastEthernet 0/1

Der Port FastEthernet 0/1 wird als Source-Port ausgewählt. Heißt, aller eingehender und ausgehender Traffic auf diesem Port wird dann an den Destination-Port gespiegelt.

switch(config)# monitor session 1 destination interface fastEthernet 0/12

Hier wird der Destination-Port festgelegt. Alle Pakete werden nun zu diesem Port geschickt. Das Mirroring beginnt erst, wenn beide Ports auch aktiv sind.

Spiegelung eines VLANs

Nachfolgend stelle ich einfach mal die Befehle mit passenden Kommentaren zusammen :

switch(config)# no monitor session 2

Falls noch eine Session 2 vorhanden war, wird sie nun gelöscht. Sollte nämlich noch eine Session vorhanden sein, könnte durch die nächsten Konfigurationen die vorhandene Session erweitert werden (aber das wollen wir hier gerade nicht).

switch(config)# monitor session 2 source vlan 3-5 rx

Die Vlans 3 bis 5 werden als Source-Ports ausgewählt. Das Kürzel rx steht für Receive, heißt, aller eingehender Traffic in diese Vlans wird dann an den Destination-Port gespiegelt.

switch(config)# monitor session 2 destination interface gigabitethernet 0/8

Hier wird der Destination-Port festgelegt. Alle Pakete werden nun zu diesem Port geschickt. Das Mirroring beginnt erst, wenn alle Ports auch aktiv sind.

Spiegelung eines Trunks, bestimmte Vlans

Nachfolgend stelle ich einfach mal die Befehle mit passenden Kommentaren zusammen :

switch(config)# no monitor session 1

Falls noch eine Session 1 vorhanden war, wird sie nun gelöscht. Sollte nämlich noch eine Session vorhanden sein, könnte durch die nächsten Konfigurationen die vorhandene Session erweitert werden (aber das wollen wir hier gerade nicht).

switch(config)# monitor session 1 source interface gigabitethernet 0/1 rx

Der Trunk-Port Gi0/1 wurde als Source-Ports ausgewählt. Das Kürzel rx steht für Receive, heißt, aller eingehender Traffic in diesen Trunkport wird dann an den Destination-Port gespiegelt.

switch(config)# monitor session 1 filter vlan 3-5, 8

Allerdings sollten von diesem Trunkport nur die Vlans 3 bis 5 und Vlan 8 gespiegelt werden. Dazu dient o.g. Befehl.

switch(config)# monitor session 1 destination interface gigabitethernet 0/8

Hier wird der Destination-Port festgelegt. Alle Pakete werden nun zu diesem Port geschickt. Das Mirroring beginnt erst, wenn alle Ports auch aktiv sind.

Wie immer kann hier nur grob die ganze Thematik angerissen werden. Für nähere Beratungen und konkrete Fragestellungen steht Ihnen die Unternehmensberatung Lemberg  gerne zur Verfügung. Bitte kontaktieren Sie uns !