はじめに

Cisco 2960 スイッチの実機を用いてポートミラーリング実験をしてみました。スイッチの特定のポートを流れるパケットを別ポートにミラーリングして、Wireshark でパケットキャプチャできることを確認しました。

構成

今回作成した実機の環境は、下図の通りです。PC が繋がっている Fa0/2 ポートに流れるパケットを Fa0/24 にコピーして、この先に繋がっている別 PC で Wireshark を動かして待機しています。

PC とスイッチ間の通信をキャプチャする (例えば、スイッチに管理用 IP アドレスを割り当てて、それに対して ping を打つ) 場合は、ルータは必要ありません。今回は PC とルータの通信 (ping) をキャプチャしてみたので、構成にルータも含めています。

方法

Cisco Catalyst スイッチには、SPAN (Switched Port Analyzer) と呼ばれるミラーリング機能があります。これによって、スイッチの特定のポートを流れるパケットを他のポートにコピーして転送することができます。今回の例で言うと、Fa0/2 ポートに流れるパケットを Fa0/24 にコピーします。

設定するのは、ミラーリングする元のポート (Fa0/2) とコピーしたパケットを流すポート (Fa0/24) です。

Alice-SW01#conf t
Alice-SW01(config)#monitor session 1 source interface fastEthernet 0/2
Alice-SW01(config)#monitor session 1 destination interface fastEthernet 0/24
Alice-SW01(config)#end
Alice-SW01#show monitor session 1
Session 1
---------
Type                   : Local Session
Source Ports           : 
    Both               : Fa0/2
Destination Ports      : Fa0/24
    Encapsulation      : Native
          Ingress      : Disabled

これで、ミラーリングの準備はできました。

あとは、Fa0/24 に繋がっている PC で Wireshark を起動します。私の PC では、インターフェース en4 になっています。

パケットキャプチャ

邪魔なレコードを消すために、mdns と IPv6 パケットは非表示にしています。今、PC に IP アドレスを設定していないので、PC が DHCP サーバを探していることがわかります。また、ルータから送られてきている RIPv2 のマルチキャスト宛のパケットも確認できました。

(構成図には載っていませんが、ルータが2台繋がっており、RIP をしゃべっています。passive interface の設定をしていないので、余計なパケットが届いてしまっています。)

試しに、PC からルータに ping を打ってみると、ICMP のエコー、リプライがしっかりと確認できました。

おわりに

ネットワーク系のいろいろな実験をするにあたって、パケットキャプチャできたらな・・・と思うことは多々あると思います。今回は Cisco 2960 のポートミラーリング設定の方法について紹介しました。実機を用いた実験を行う際は、ぜひポートミラーリングが設定できるコマンドがないか調べてみてください。