RSPAN en tu red, comandos CISCO

Hoy vamos a dar al administrador de red que lo desconozca las pautas a seguir para la configuración e instalación de un analizador de red.

A veces nos encontramos con un problema en nuestra red y no tenemos en remoto más acceso que a nuestros dispositivos de comunicaciones (switches, routers…) Cuando el análisis de los logs de estos dispositivos o del servidor de logs que tengamos configurado (lo que perfectamente puede ser objeto de otro post, el volcado de información de log a un servidor centralizado) no nos da pistas acerca del problema de red que tenemos, puede resultar beneficioso disponer de un sniffer de red pinchado en nuestra red. Este sniffer no dejará de ser un sistema que nos permita analizar el tráfico de red pero en cualquier punto de la misma y con independencia del dispositivo en que se encuentre “pinchado”.

Esto se puede conseguir gracias al protocolo RSPAN, el protocolo no es nuevo en absoluto pero no he visto una información en castellano que realmente clarifique su funcionamiento a nivel conceptual, que teniéndolo claro es bien sencillo. Por otra parte sí es extensa la información que tenemos a nivel configuración y ejecución de comandos en toda la comunidad CISCO.

A nivel conceptual lo que vamos a hacer es colocar un PC (o servidor) y conectar una de sus interfaces de red en cualquier switch o punto de acceso a nuestra red con capacidad de hablar RSPAN. En primer lugar, hemos de crear una vlan, que debe extenderse a todos los elementos de nuestra red, que ha de configurarse como RSPAN VLAN. Bien, esta VLAN es la que va a servir de sopote para transportar el tráfico que desde el puerto del switch que se considere, de la VLAN que se considere, hasta el PC (o servidor) que se configure como analizador de red, con el software más sencillo, de momento, un sniffer como WireShark. Si tuviéramos habilitado VTP, esta tarea de extender nuetra RSPAN VLAN se simplificaría, pero eso es otro cantar… también para otro post.

Creamos la vlan y la configuramos como RSPAN:

router(config)# vlan <nº>
router(config-vlan)# remote-span
router(config-vlan)# exit

Se extiende a toda la red.

En el punto de la red (switch origen) que queramos analizar, ingresamos en la RSPAN VLAN el tráfico filtrado que deseamos analizar, sólo el puerto que queramos, de la VLAN que queramos:

router(config)# monitor session <nºsesion> source <interface/vlan> <the_interfaces_or_vlans> <rx/tx/both>
router(config)# monitor session <nºsesion> destination remote vlan <nº>

Esta operación, como se ha dicho, ingresa tráfico en la VLAN que podría ser visible en cualquier punto de la red. Y como se ha dicho, podría ingresar tráfico en esta VLAN cualquier dispositivo de la red, con lo que cuanto menos filtrado esté y más switches ingresen tráfico en esta VLAN más cargada va a estar la red en su conjunto y más trabajo se le está dando a todos los dispositivos de comunicación a nivel 2.

Bien, nosotros queremos ver este tráfico sólo en el puerto de red (swich destino) donde hayamos colocado nuestro analizador de red, por lo que configuramos:

router(config)# monitor session <nºsesion> source remote vlan <nº>
router(config)# monitor session <nºsesion> destination interace <interfaz_destino>

Configuramos la interfaz del analizador de red en modo promiscuo y la seleccionamos en el software que hayamos instalado para analizar el tráfico.

Se realizan las tareas necesarias de monitorización y finalmente, DESCONFIGURAMOS (switch origen) el ingreso de tráfico en la RSPAN VLAN para no recargar la red:

router(config)#no monitor session <nº sesion>

El analizador de red deberá tener otra interfaz de red para administrarlo si no queremos hacerlo en local, lógicamente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *