top of page
Rechercher

Port Mirroring

  • 20 nov. 2025
  • 2 min de lecture

1. Le Concept : À quoi ça sert ?


Dans un switch normal, le trafic est isolé. Si la Machine A parle à la Machine B, la Machine C ne voit rien. C'est bien pour la sécurité, mais c'est problématique pour le dépannage ou l'analyse.


Le SPAN permet de dire au switch : "Copie tout ce qui passe par le port de B et envoie une copie au port de C pour que je puisse analyser le trafic avec Wireshark."


2. Configuration expliquée


Tu utilises deux commandes principales pour créer une "session" de surveillance.


Étape A : Définir la source



conf t
monitor session 1 source int fa0/11

  • session 1 : C'est l'identifiant de ta règle de surveillance.

  • source int fa0/11 : C'est le port que tu veux espionner (celui connecté à la Machine B).


Étape B : Définir la destination (la sonde)



conf t
monitor session 1 destination int fa0/1

  • destination int fa0/1 : C'est le port où est connecté ton PC avec Wireshark (Machine C).

  • Important : Une fois cette commande passée, le PC C perd généralement sa connexion réseau normale. Son interface réseau devient une pure "oreille" qui ne fait qu'écouter. Il ne pourra plus envoyer de données sur le réseau (sauf configuration spécifique "ingress").


3. Vérification de la configuration


Avant de lancer le test, tu vérifies que le switch a bien compris les ordres.



show monitor session 1

Ce qu'il faut regarder dans la sortie :

  • Session Type : Local Session (généralement)

  • Source Ports : Fa0/11

  • Destination Ports : Fa0/1

  • Status : Admin Enabled (doit être actif)


4. Le Test (Ping et Wireshark)


C'est le moment de vérité.

  1. L'action : La Machine A (extérieure) envoie un Ping (ICMP Echo Request) à la Machine B (sur le port Fa0/11).

  2. Le flux normal : Le paquet arrive au switch et va vers Fa0/11. La Machine B répond.

  3. L'effet du Mirroring : Le switch voit le paquet passer sur Fa0/11. Il en fait une copie instantanée et l'envoie vers Fa0/1.

  4. L'analyse (Machine C) :

    • Tu ouvres Wireshark sur la Machine C.

    • Tu devrais voir des lignes protocoles ICMP.

    • Tu verras à la fois les Echo (ping) request (venant de A vers B) et les Echo (ping) reply (venant de B vers A).


Note : Sans cette configuration, Wireshark sur la machine C n'aurait vu absolument aucun paquet ICMP, car le switch ne diffuse pas les paquets unicast aux autres ports.


5. Diagnostic des interfaces


Tu as mentionné l'utilisation de sh int fa0/1 et sh int fa0/11. Voici ce que cela t'apporte comme informations techniques :



sh int fa0/11 (Le port surveillé)

  • Tu regardes les compteurs de paquets normaux (packets input, packets output). Ils doivent augmenter à chaque ping.



sh int fa0/1 (Le port espion/destination) :

  • C'est ici que c'est intéressant. Tu devrais voir beaucoup de packets output (le switch envoie les copies vers ton PC Wireshark).

  • Par contre, tu ne verras probablement aucun packet input, car l'interface de destination SPAN cesse d'accepter du trafic entrant pour éviter les boucles réseaux.

 
 

© 2025 par Arthur FORMENTIN

bottom of page