Port-mirroring en switches 3COM

Port-mirroring es una configuración que podemos establecer en un switch, con el fin de que este envíe una copia de todos los paquetes que pasan por uno o más puertos (mirroring-port) a otro puerto concreto que llamamos monitor-port o, a otro switch. Esto es muy útil cuando necesitamos monitorizar el tráfico de red o detectar intrusiones en nuestra red. Dependiendo del fabricante podremos encontrarnos que,

• En Cisco el port-mirroring se suele llamar como Switched Port Analyzer (SPAN)
• Mientras en 3COM el port-mirroring se denomina Roving Analysis Port (RAP)

Antes de configurar nada, siempre deberíamos identificar los puertos del switch que queremos sniffar, mirroring-ports, (ejemplo: puertos del firewall, puertos donde están los servidores, etc... ) y el puerto al que queremos dirigir todo el tráfico y donde tendremos sniffer (monitor-port). Además sería recomendable identificar estos puertos o bocas del switch, en formato ID_EN_STACK/_FRONTAL_TRASERO/PUERTO. Una vez los tenemos identificados seguiremos la siguiente secuencia de pasos:

1. Conectarse como admin al switch por telnet desde HyperTerminal de Windows
2. Desactivar Spanning-Tree en la boca del switch que configuraremos como monitor-port (donde conectaremos el sniffer)

   sys
   interface GigabitEthernet 2/0/15
   stp disable
   q
   save

3. Configurar el grupo de mirroring y el puerto que se encargará del sniffing:

   mirroring­group 1 local
   mirroring­group 1 monitor­port GigabitEthernet 2/0/15

4. Agregar al grupo de mirroring los puertos que queremos monitorizar, los mirroring-ports (una linea por cada boca de la que queremos ver el tráfico):

   mirroring­group 1 mirroring­port GigabitEthernet 1/0/17 both 

5. Guardar los cambios:

   q
   save

6. Comprobar el resultado:

   display mirroring­group all

La foto la he sacado del album de philcampbell en flickr.