Cisco Switch에서 트래픽 모니터링, 보안 분석, 패킷 캡처를 위해 필요한 설정 명령어 Mirror Port 설정 방법을 단계별로 정리했습니다.
네트워크 장비를 관리하다 보면 갑자기 패킷 손실, 속도 저하, 특정 어플리케이션 오류 같은 문제가 발생할 때가 있습니다. 이럴 때 원인을 파악하기 위해 가장 많이 활용하는 기능이 바로 Cisco Switch Mirror Port입니다.
Mirror Port를 설정하면 특정 포트나 VLAN에서 오가는 트래픽을 다른 포트로 복제하여, Wireshark 같은 패킷 분석 툴로 상세하게 분석할 수 있습니다.
Mirror Port란?
Mirror Port는 흔히 SPAN(Session Port Analyzer) 기능이라고 부르며, 네트워크 트래픽을 분석할 때 핵심적으로 사용됩니다.
- Source Port (소스 포트): 모니터링할 트래픽이 발생하는 포트 또는 VLAN
- Destination Port (목적 포트): 복제된 트래픽을 전달받아 분석 장비(노트북/IDS/패킷 분석기)를 연결하는 포트
쉽게 말해, A 포트에서 오가는 데이터를 B 포트로 그대로 복사해서 보여주는 기능입니다.
Cisco Switch Mirror Port 설정방법
Switch# configure terminal
Switch(config)# monitor session 1 source interface GigabitEthernet 0/1
Switch(config)# monitor session 1 destination interface GigabitEthernet 0/24
Switch(config)# end명령어 설명
- monitor session 1 → SPAN 세션 번호 (여러 개 생성 가능)
- source interface GigabitEthernet 0/1 → 트래픽을 복제할 소스 포트
- destination interface GigabitEthernet 0/24 → 분석 장비를 연결할 목적 포트
설정 후, GigabitEthernet 0/24 포트에 Wireshark가 설치된 PC를 연결하면 실시간으로 트래픽을 캡처할 수 있습니다.
VLAN 기반 Mirror Port 설정 (추가 예시)
만약 특정 VLAN 전체 트래픽을 모니터링하고 싶다면 다음과 같이 설정합니다.
Switch(config)# monitor session 2 source vlan 10
Switch(config)# monitor session 2 destination interface GigabitEthernet 0/48VLAN 10에서 발생하는 모든 트래픽이 GigabitEthernet 0/48 포트로 복사됩니다.
보통 IPS/IDS 장비나 보안 솔루션이 이런 방식으로 연결됩니다.
실무에서 자주 발생하는 문제 & 해결 팁
목적 포트는 단일 사용
- Destination Port는 트래픽을 받는 역할만 하므로, 동시에 다른 용도로 쓰면 안 됩니다.
대역폭 주의
- Source에서 발생하는 트래픽이 너무 많으면 Destination 포트가 감당하지 못해 패킷 드롭이 발생할 수 있습니다.
- 필요한 포트/트래픽만 지정하는 것이 안정적입니다.
양방향 모니터링 설정
- 기본적으로 ingress(수신), egress(송신) 방향 중 선택할 수 있습니다.
- both 옵션을 사용하면 양방향 트래픽을 동시에 복제할 수 있습니다.
Switch(config)# monitor session 1 source interfaceGigabitEthernet 0/1 bothSPAN vs RSPAN 차이점
- SPAN은 같은 스위치 내에서만 가능
- RSPAN(Remote SPAN)은 여러 스위치 간 원격 모니터링 가능 → 대규모 네트워크에서 활용