Cet article décrit comment configurer un port mirroring sur un commutateur Cisco afin de recopier le trafic souhaité sur un port servant à écouter.

Sur les équipements relativement anciens, tels que les Cisco 2900XL et 3500XL, la manipulation est la suivante :

Il faut tout d’abord rentrer dans la configuration de l’interface destinée à recevoir les paquets à analyser. Prenons par exemple l’interface FastEthernet 0/24 :

Ensuite, il faut indiquer les ports sources sur lesquels nous souhaitons analyser le traffic réseau (par exemple les ports FastEthernet0/1 et FastEthernet0/2 :

Il est possible d’indiquer un vlan à la commande port monitor, cependant, celui-ci fait uniquement référence à l’interface administrative du switch qui se situe dans ce VLAN. De plus, il n’est pas possible de monitorer le port d’un switch qui se situe dans un autre VLAN que le port où sera connecté l’analyseur.

Sur les équipements plus récents (2950, 2960, 3550, 3560 ..), il faut passer par une commande globale pour configurer le SPAN.

Pour cela, la procédure est la suivante pour configurer un port mirroring du port FastEthernet 0/1 vers le 0/24 :

Il est à noter qu’il est possible de configurer le monitor session avec un VLAN entier comme source (même un VLAN partagé par plusieurs switches), en remplaçant simplement l’interface rentrée en source par le VLAN concerné.

Si vous désirez avoir des informations plus détaillées sur toutes les configurations possibles du SPAN, je vous recommande le lien suivant : http://www.cisco.com/warp/public/473/41.html