INDRA PD BLOG: Cara monitoring IP traffic dengan Cisco Catalyst Switch (SPAN/Port Mirroring/)

Port Mirroring

Bismillahirrohmanirrohim. Kali ini ane mau nulis dengan ilmu Cisco ane yang sedikit (serius gan) tentang cara monitoring ip traffic di Cisco Catalyst dengan menggunakan SPAN (Switched Port Analyzer) atau disebut juga Port Mirroring. SPAN/Port Mirroring digunakan pada network switch untuk mengirimkan salinan (copy) packet data pada satu switch port (atau seluruh VLAN) ke switch port lain yang terhubung ke suatu network monitoring (sniffer) misal Wireshark. Kamu bisa mendapatkan buku Network Monitoring and Troubleshooting for Dummies secara gratis dari Riverbed di website Wireshark. Untuk belajar lebih lanjut tentang Wireshark sebaiknya (recommended) anda baca buku Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems

Network Engineer atau Administrator menggunakan port mirroring untuk menganalisa dan debug data atau mendiagnosa error/kesalahan pada network. Port Mirroring membantu administrator untuk monitoring performa network dan akan membantu memperingatkan ketika terjadi suatu masalah. Port Mirroring dapat digunakan untuk memonitor traffic ke dalam (inbound) atau ke luar (outbound) pada satu atau lebih interface/port. Sebenarnya ada cara lain untuk monitoring ip traffic di Cisco Catalyst dengan menggunakan VLAN Access maps. (tidak dibahas di artikel ini, tapi anda bisa lihat di sini)

Pertama-tama kita harus mensetup sebuah SPAN session pada Cisco Catalyst 2960 switch untuk memonitor port Fa0/2 dan Fa0/3 (1 port saja juga boleh). Pada dua port ini misal saya punya 2 Cisco IP Phones, yang akan digunakan untuk melakukan percakapan (kebetulan contohnya mau monitoring VOIP, untuk monitoring traffic data lain juga bisa kok misal http,ftp,streaming dll), dengan memantau 2 port ini kita akan dapat memantau percakapan keduanya.Pada port Fa0/7, saya mempunyai sebuah pc/laptop yang dilengkapi dengan Wireshark.

Berikut adalah perintah yang digunakan untuk membuat sebuah SPAN session:

Router1(config)#monitor session 1 source interface fa0/2, fa0/3 both
Router1(config)#monitor session 1 destination interface fa0/7

Untuk verifikasi session SPAN gunakan perintah berikut:

Router1#show monitor session 1

Session 1
----------
Type : Local Session
Source Ports :
Both : Fa0/2-3
Destination Ports : Fa0/7
Encapsulation : Native
Ingress: Disabled

Untuk melihat lalu lintas / traffic data yang terjadi, kita gunakan Wireshark yang berada di port Fa0/7. Saya tidak(belum) akan membahas penggunaan Wireshark di artikel ini karena saya juga masih belajar Wireshark dari link e-book diatas. Mungkin jika ada waktu dan kesempatan saya akan bahas lebih lanjut tentang penggunaan Wireshark. Tapi ane kasih deh bocoran gambarnya dibawah ini hehehe.

Wireshark

Berikut daftar Cisco Catalyst Switch Series yang dapat menggunakan SPAN/Port Mirroring :

Catalyst Switches	SPAN Support	RSPAN Support	ERSPAN Support
Catalyst Express 500 / 520 Series	Yes	No	No
Catalyst 6500/6000 Series	Yes	Yes	Yes Supervisor 720 with PFC3B or PFC3BXL running Cisco IOS Software Release 12.2(18)SXE or later. Supervisor 720 with PFC3A that has hardware version 3.2 or later and running Cisco IOS Software Release 12.2(18)SXE or later
Catalyst 5500/5000 Series	Yes	No	No
Catalyst 4900 Series	Yes	Yes	No
Catalyst 4500/4000 Series (includes 4912G)	Yes	Yes	No
Catalyst 3750 Metro Series	Yes	Yes	No
Catalyst 3750 / 3750E Series	Yes	Yes	No
Catalyst 3560 / 3560E Series	Yes	Yes	No
Catalyst 3550 Series	Yes	Yes	No
Catalyst 3500 XL Series	Yes	No	No
Catalyst 2970 Series	Yes	Yes	No
Catalyst 2960 Series	Yes	Yes	No
Catalyst 2955 Series	Yes	Yes	No
Catalyst 2950 Series	Yes	Yes	No
Catalyst 2940 Series	Yes	No	No
Catalyst 2948G-L3	No	No	No
Catalyst 2948G-L2, 2948G-GE-TX, 2980G-A	Yes	Yes	No
Catalyst 2900XL Series	Yes	No	No
Catalyst 1900 Series	Yes	No	No