Los conmutadores hacen que la resolución de problemas de la red sea un poco más difícil porque no todo el tráfico se envía a todos los puertos como en un centro de red anterior. El cambio del tráfico mejora la velocidad porque el ancho de banda está reservado solo para las conexiones en ese puerto y la seguridad generalmente es mejor porque se necesita más que un sniffer de red libre simple como Wireshark para sisar el tráfico en ese segmento.
Para trabajar en torno a esto para la solución y el análisis, Se requiere un espejo de hardware de red, con mayor frecuencia llamado toque, o un espejo (a veces llamado un tramo) en el interruptor. La mayoría de los interruptores de clase empresarial tienen esta característica. Cisco incluye el espejo de puerto en todos sus interruptores.
Configure un espejo en el puerto 1 como este.
my_switch (config)# Monitor Sesión 1 Interfaz de origen FA0/1 Ambos
my_switch (config)# Monitor Sesión 1 Interfaz de destino FA0/10
La opción ambas en el comando le dice al conmutador que envíe los paquetes de transmisión y recepción al puerto de destino. Una vez que se configura un switchport como un puerto de espejo de destino, el puerto no aceptará el tráfico. Un sniffer no puede transmitir datos, solo puede escuchar.
Los interruptores Cisco en realidad le permiten crear más de un espejo, aunque el número de espejos permitidos depende del modelo de interruptor Cisco. Para crear un segundo espejo, simplemente designe una segunda sesión de espejo.
my_switch (config)# Monitor Session 2 Interfaz de origen FA0/2 Ambos
my_switch (config)# << B> Monitor Sesión 2 Interfaz de destino FA0/11
La sintaxis de Cisco también le permite especificar múltiples fuentes en un solo puerto o una sola fuente a múltiples destinos. Esto es útil al configurar sistemas de detección de intrusos que monitorean la red.
my_switch (config)# Interfaz de origen de la sesión 2 de monitor fa0/2 ambos
my_switch (config)## Sesión de monitor 2 Interfaz de destino FA0/11
my_switch (config)# Sesión de monitor 2 Interfaz de destino FA0/12
En algunos casos, mirando En el tráfico, solo un puerto no es lo suficientemente bueno o el número de espejos necesarios excede la cantidad de espejos del que el interruptor es capaz. En ese caso, los interruptores de Cisco le permiten crear un espejo VLAN que agarra el tráfico de toda la VLAN o VLAN y lo envía a un puerto de destino para monitorear.
my_switch (config)# Sesión 1 de monitor 1 fuente VLAN 33 RX
my_switch (config)# Sesión de monitor 1 Interfaz de destino GI1/1
Especificar ambos en el comando de origen crearía paquetes duplicados como paquetes Entra y sale de la VLAN, por lo que solo especifique recibir o transmitir con las opciones tx o rx
. Ambas opciones se verían como un eco de red desde una perspectiva rastreadora.
El comando show monitor resume todos los espejos configurados en todo el interruptor.
my_switch> show monitor monitor
Sesión 1
———
Tipo: Sesión local
Puertos de origen:
RX SOLO: NINGUNO
TX SOLO: NINGUNO
Ambos: FA0/1
VLAN de origen:
RX SOLO: Ninguno
solo TX: Ninguno
Ambos: Ninguno
Fuente RSPAN VLAN: Ninguno
Puertos de destino: FA0/10 < br> encapsulación: nativo
puerto reflector: ninguno
vlan de filtro: ninguno
dest rspan vlan: ninguno
Sesión 2
———
Tipo: Sesión local
Puertos de origen:
RX SOLO: Ninguno
solo TX: Ninguno
Ambos: FA0/2
VLAN de origen:
RX solamente: Ninguno
TX Solo: ninguno
Ambos: ninguno
Fuente RSPAN VLAN: Ninguno
Puertos de destino: FA0/11
Encapsulación: Native
Puerto reflector: Ninguno
VLAN de filtro: Ninguno
DEST RSPAN VLAN: Ninguno
Los espejos se pueden deshabilitar de dos maneras:
my_switch (config)# No Session de monitor 1
Este comando solo eliminará la sesión 1.
my_switch (config)# sin monitor
El comando no monitor eliminará todos los monitores en el conmutador.
