SPAN: Redirigiendo tráfico a una sonda local

Una de esas cosas que en el mundo del networking toca hacer un montón de veces durante la vida es capturar el tráfico que está pasando por un puerto, normalmente suele ser relacionado con una de esas incidencias de difícil diagnóstico, en la cual desde un extremo del "cable" se ve una cosa, y desde el otro se ve otra.

Para todas esas incidencias en las que no esta claro lo que pasa en la red, SPAN, o sus hermanos RSPAN, ERSPAN suele ser la solución.

SPAN permite redireccionar los paquetes que entran/salen/ambos por un puerto/grupo de puertos/vlan/grupo de vlanes a un puerto de destino, el cual debe de tener conectado un analizador de paquetes.

A destacar dentro de los analizadores de paquetes wireshark para windows/mac que es una herramienta de facil manejo, o tcpdump para unix/linux que resulta un poquito mas difícil de utilizar, pero que por el contrario ya viene instalada con la mayoría de los sistemas operativos.

Configurar SPAN es muy sencillo:

router(config)# monitor session <nº> source <interface/vlan> <interfaces_o_vlans_capturadas> <rt/tx/both>
router(config)# monitor session <nº> destination interface <interfaz_o_interfeaces_destino>

<nº> Es el número de session, ojo con esto porque dependiendo del hardware que uses estará limitado a un cierto número de sesiones.
<rx/tx/both> Es para determinar si queremos capturar los paquetes enviados por esa interfaz(tx), los recibidos(rx), o ambos (both).

Con eso ya tienes configurado el reenvío de información al puerto de destino, ahora viene lo divertido, que es leerse la captura que hagas con tu tcpdump/wireshark, cosa que suele ser bastante mas entretenida, y que normalmente llevará consigo una buena taza de café.

Ejemplo:

En el gráfico se aprecia un servidor, que está conectado al puerto fa0/0 del switch, y del cual queremos copiar toda la información que entra y sale, con destino a un portatil que tenemos en el puerto fa0/1.

router(config)#monitor session 1 source interface Fa0/0
router(config)#monitor session 1 destination interface Fa0/1

R1#show monitor session 1
Session 1
---------
Source Ports:
    RX Only:       None
    TX Only:       None
    Both:          Fa0/0
Source VLANs:
    RX Only:       None
    TX Only:       None
    Both:          None
Destination Ports: Fa0/1
Filter VLANs:      None

 Como se puede ver, también admite filtro para VLANS.

Advertencia:

SPAN puede tener efectos en el performance de tu red, por tanto si tienes un switch al 99% de CPU lo normal es que la lies parda :) , además hay que tener en cuenta que el tráfico de origen y el de destino sean razonablemente parecidos, porque por ejemplo intentar hacer pasar 20 Gbps de tráfico a un puerto de 1Gbps suele ser mala idea.