SPAN
A configuração de span ou port mirror pode ser utilizada em diversas situações como para monitorar o tráfego de uma porta com um sniffer, para efetuar gravações de ligações, entre outras.
Existem diversos modos de fazer esta configuração, as que eu conheço são:
1 - SPAN em CatOS
2 - SPAN IOS
3 - RSPAN em IOS
4 - ERSPAN em IOS
1 - Esta configuração é para monitorar uma interface de um SW que utiliza CatOS, neste caso a porta "espelho" deve ser no mesmo switch da porta monitorada.
Para habilitar:
set span <source> <destination>
Neste exemplo estamos monitorando a porta 1/1 para a porta 1/5
ex: set span 1/1 1/5
Neste exemplo estamos monitorando o range de portas desde 1/1 ate 1/4 para a porta 1/5.
ex: set span 1/1-4 1/5
2 - Esta configuração é para monitorar uma interface de um SW que utiliza IOS, neste caso a porta "espelho" deve ser no mesmo switch da porta monitorada.
Neste exemplo estamos monitorando a porta 1/1 para a porta 1/5
ex:
monitor session 1 source interface fastethernet 1/1
monitor session 1 destination interface fastethernet 1/5
3 - Este terceiro exemplo é o RSPAN, quando a porta que precisamos monitorar não esta no mesmo switch que será a interface de destino, E OS SWITCHS DE INTERCONEXÃO SÃO LAYER 2.
Basicamente é preciso criar uma vlan de span em ambos sws (se houver nos intermediarios tbm).
Router(config)# vlan X
Router(config)# remote span
No sw que vc quer fazer o span, vc coloca a porta de origem e como destino esta vlan de span
monitor session 2 source interface fastethernetX/X
monitor session 2 destination remote vlan x
No sw que vc quer colocar o sniffer, vc faz o inverso, puxa da vlan de span para a porta.
monitor session 2 source remote vlan x
monitor session 2 destination interface fastethernetX/X
Segue uma referência desta config:
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.1E/native/configuration/guide/span.html#wp1037601
4 - Este terceiro exemplo é o ERSPAN, quando a porta que precisamos monitorar não esta no mesmo switch que será a interface de destino, E OS SWITCHS DE INTERCONEXÃO SÃO LAYER 3.
Para ser sincero estou tentando en tender esta config agora rsss, segue exemplo que peguei do site
monitor session 12 type erspan-source
description SOURCE_SESSION_FOR_VRF_GRAY
source interface Gi8/48 rx
destination
erspan-id 120
ip address 10.8.1.2
origin ip address 32.1.1.1
vrf gray
monitor session 12 type erspan-destination
description DEST_SESSION_FOR_VRF_GRAY
destination interface Gi4/48
source
erspan-id 120
ip address 10.8.1.2
vrf gray
Segue uma referência desta config:
http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SXF/configuration/guide/span.html#wp1063324