(http://www.firewall.

cx)

FIREWALL.CX TEAM NEWS ALTERNATIVE MENU RECOMMENDED SITES FORUM CONTACT US ­ FEEDBACK

(/MEET­THE­TEAM.HTML) (/NEWS.HTML) (/SITE­MAP.HTML) (/RECOMMENDED­SITES.HTML) (/FORUMS.HTML) (/CONTACT­US.HTML)

(/) (/networking-topics.html) (/cisco-technical-knowledgebase.html)

HOME NETWORKING CISCO

(/microsoft-knowledgebase.html) (/linux-knowledgebase-tutorials.html) (/general-topics-reviews.html)

MICROSOFT LINUX MORE CONTENT

(/vpn.html) (/downloads.html)
VPN DOWNLOADS

THURSDAY, 13 APRIL 2017
search...

HOT DOWNLOADS

FREE NETWORK
SECURITY SCANNER

(/component/banners/click/3.html)

(http://www.acunetix.com/vulnerability­
CONFIGURING SPAN ON CISCO CATALYST SWITCHES ‐ MONITOR scanner/download/?

& CAPTURE NETWORK TRAFFIC/PACKETS utm_source=firewall&utm_medium=banner&utm_

WRITTEN BY ADMINISTRATOR. POSTED IN CISCO SWITCHES ­ CATALYST / NEXUS SWITCH CONFIGURATION (/CISCO­TECHNICAL­
KNOWLEDGEBASE/CISCO­SWITCHES.HTML)
FREE HYPER‐V &
 Rating 4.63 (16 Votes)
VMWARE BACKUP
Share Tweet Like Share 122 people like this. Sign Up to
see what your friends like.

Being  able  to  monitor  your  network  traffic  is  essential  when  it  comes  to  troubleshooting  problems,  performing  a  security  audit  or  even
casually checking your network for suspicious traffic.

Back  in  the  old  days  whenever  there  was  a  need  to  monitor  or  capture  network  traffic,  a  hub  would  be  introduced  somewhere  in  the
network  link  and,  thanks  to  the  hub’s  inefficient  design,  it  would  copy  all  packets  incoming  from  one  port  out  to  all  the  rest  of  the  ports,
making  it  very  easy  to  monitor  network  traffic.  Those  interested  in  hub  fundamentals  can  read  our  Hubs  &  Repeaters  (/networking­
(http://clixtrac.com/goto/?
topics/general­networking/235­hubs­repeaters.html) article.
210273)
Of  course  switches  work  on  an  entirely  different  principle  and  do  not  replicate  unicast  packets  out  of  every  port  on  the  switch,  but  keep
them isolated unless it’s a broadcast or multicast.
RECOMMENDED
Thankfully, monitoring network traffic on Cisco Catalyst switches is a straightforward process and does not require the presence of a hub. DOWNLOADS
The Cisco method is called Switched Port Analyser also known as  SPAN.
Web Vulnerability Scanner
(http://www.acunetix.com/web­
UNDERSTANDING SPAN TERMINOLOGY vulnerability­manager/?
Ingress Traffic: Traffic that enters the switch utm_source=firewall&utm_medium=banner_ch
Egress Traffic: Traffic that leaves the switch Network Management ­
Source (SPAN) port: A port that is monitored Monitor & Alert
Source (SPAN) VLAN: A VLAN whose traffic is monitored (http://clixtrac.com/goto/?
Destination (SPAN) port: A port that monitors source ports. This is usually the point to which a network analyser is connected. 225994)
Remote SPAN (RSPAN): When Source ports are not located on the same switch as the Destination port. RSPAN is an advanced
feature that requires a special VLAN to carry the monitored traffic and is not supported by all switches. RSPAN explanation and
 configuration will be covered in another article. Free Hyper­V & VMware
Backup
(http://clixtrac.com/goto/?
210270)
Free Network Security Scan
(http://www.acunetix.com/free­
network­security­scanner/?
utm_source=firewall&utm_medium=banner&ut
Cisco VPN Client
(/downloads/cisco­tools­a­
applications.html)
Unified Communications
(http://clixtrac.com/goto/?
236568)
Bandwidth Monitor
(http://clixtrac.com/goto/?
235210)

Figure 1. The network diagram above helps us understand the terminology and implementation of SPAN.
BANDWIDTH MONITOR
Source SPAN ports are monitored for received (RX ­ Ingress), transmitted (TX ­ Egress) or bidirectional (both) traffic.  Traffic entering or
exiting the Source SPAN ports is mirrored to the Destination SPAN port. Typically, you would connect a PC with a network analyser  on
the Destination SPAN port, and configure it to capture and analyse the traffic.

The amount of information you can obtain from a SPAN session really depends on how well the captured data can be interpreted and
understood. A reliable Network Analyser will not only show the captured packets but automatically diagnose problems such as TCP
retransmissions, DNS failures, slow TCP responses, ICMP redirect messages and much more. These capabilities help any engineer to
quickly locate network problems which otherwise could not be easily found.
(http://clixtrac.com/goto/?
  235160)

BASIC CHARACTERISTICS AND LIMITATIONS OF SOURCE PORT

UNIFIED
A source port has the following characteristics: COMMUNICATIONS
It can be any port type such as EtherChannel, Fast Ethernet, Gigabit Ethernet and so forth.
It can be monitored in multiple SPAN sessions.
It cannot be a destination port (that’s where the packet analyser is connected)
Each source port can be configured with a direction (ingress, egress, or both) to monitor. For EtherChannel sources, the monitored
direction applies to all physical ports in the group.
Source ports can be in the same or different VLANs.
For VLAN SPAN sources, all active ports in the source VLAN are included as source ports.
(http://clixtrac.com/goto/?
  236328)

BASIC CHARACTERISTICS AND LIMITATIONS OF DESTINATION PORT

NETWORK
Each SPAN session must have a destination port that receives a copy of the traffic from the source ports and VLANs. MONITORING
A destination port has these characteristics:

A destination port must reside on the same switch as the source port (for a local SPAN session).
A destination port can be any Ethernet physical port.
A destination port can participate in only one SPAN session at a time.
A destination port in one SPAN session cannot be a destination port for a second SPAN session.
A destination port cannot be a source port.
A destination port cannot be an EtherChannel group. (http://clixtrac.com/goto/?
225541)
 

LIMITATIONS OF SPAN ON CISCO CATALYST MODELS

JOIN US: (http://www.linkedin.com/groups?
(https://www.facebook.com/firewa
(http://twitter.com/firewallcx
(http://feeds.feedburne
Following are the limitations of SPAN on various Cisco Catalyst switches: home=&gid=1037867)

Cisco Catalyst 2950 switches are only able to have one SPAN session active at a time and can monitor source ports. These switches FACEBOOK ‐ LIKE US!

cannot monitor VLAN source.
Cisco Catalyst switches can forward traffic on a destination SPAN port in Cisco IOS 12.1(13)EA1 and later
Firewall…
Cisco Catalyst 3550, 3560 and 3750 switches can support up to two SPAN sessions at a time and can monitor source ports as well
Like Page
as VLANs
The Catalyst 2970, 3560, and 3750 Switches do not require the configuration of a reflector port when you configure an RSPAN
session.
The Catalyst 3750 Switches support session configuration with the use of source and destination ports that reside on any of the CISCO PRESS REVIEW
switch stack members. PARTNER
Only one destination port is allowed per SPAN session and the same port cannot be a destination port for multiple SPAN sessions.
Therefore, you cannot have two SPAN sessions that use the same destination port.

 
(/site­news/316­firewall­
CONFIGURING SPAN ON CISCO CATALYST SWITCHES ciscopress.html)
Our  test­bed  was  a  Cisco  Catalyst  3550  Layer  3  switch,  however,  the  commands  used  are  fully  supported  on  all  Cisco  Catalyst  2940,
2950, 2955, 2960, 2970, 3550, 3560, 3560−E, 3750, 3750−E and 4507R Series Switches.
Notify me of new articles
The diagram below represents a typical network setup where there is a need to monitor traffic entering (Ingress) and exiting (Egress) the Name
port to which the router connects (FE0/1). This strategically selected port essentially monitors all traffic entering and exiting our network.

E­mail

Subscribe

CISCO MENU

CISCO ROUTERS
(/cisco­technical­
knowledgebase/cisco­
routers.html)

CISCO SWITCHES
(/cisco­technical­
knowledgebase/cisco­
switches.html)
CISCO VOIP/CCME ­
CALLMANAGER
(/cisco­technical­
knowledgebase/cisco­
voice.html)

Since router R1 connects to the 3550 Catalyst switch on port FE0/1, this port is configured as the Source SPAN port. Traffic copied from CISCO FIREWALLS
FE0/1 is to be mirrored out FE0/24 where our monitoring workstation is waiting to capture the traffic. (/cisco­technical­
knowledgebase/cisco­
Once we have our network analyser setup and running, the first step is to configure FastEthernet 0/1 as a source SPAN port: firewalls.html)
CISCO WIRELESS
Catalyst­3550(config)# monitor session 1 source interface fastethernet 0/1
(/cisco­technical­
knowledgebase/cisco­
 
wireless.html)
Next, configure FastEthernet 0/24 as the destination SPAN port: CISCO SERVICES &
TECHNOLOGIES
Catalyst­3550(config)# monitor session 1 destination interface fastethernet 0/24 (/cisco­technical­
knowledgebase/cisco­
After  entering  both  commands,  we  noticed  our  destination’s  SPAN  port  LED  (FE0/24)  began  flashing  in  synchronisation  with  that  of services­tech.html)
FE0/1’s LED – an expected behaviour considering all FE0/1 packets were being copied to FE0/24.
CISCO AUTHORS & CCIE
INTERVIEWS
Confirming the monitoring session and operation requires one simple command, show monitor session 1:
(/cisco­technical­

Catalyst­3550#  show monitor session 1  knowledgebase/ccie­

Session 1  experts.html)

­­­­­­­­­  CISCO DATA CENTER USER
Type                  : Local Session  GROUP
Source Ports      :  (/cisco­technical­
    Both              : Fa0/1  knowledgebase/cisco­
Destination Ports: Fa0/24  datacenter­user­group.html)
    Encapsulation : Native 
          Ingress: Disabled
POPULAR CISCO
  ARTICLES
To display the detailed information from a saved version of the monitor configuration for a specific session, issue the show monitor
DMVPN Configuration (/cisco­
session 1 detail command:
technical­
knowledgebase/cisco­
Catalyst­3550# show monitor session 1 detail  routers/901­cisco­router­
Session 1  dmvpn­configuration.html)
­­­­­­­­­  Cisco IP SLA (/cisco­
Type              : Local Session  technical­
Source Ports      :  knowledgebase/cisco­
    RX Only         : None  routers/813­cisco­router­ipsla­
    TX Only         : None  basic.html)
    Both              : Fa0/1  VLAN Security (/cisco­
Source VLANs    :  technical­
    RX Only       : None  knowledgebase/cisco­
    TX Only       : None  switches/818­cisco­switches­
    Both            : None  vlan­security.html)
Source RSPAN VLAN : None  4507R­E Installation (/cisco­
Destination Ports      : Fa0/24  technical­
    Encapsulation       : Native  knowledgebase/cisco­
          Ingress:         Disabled  switches/948­cisco­switches­
 Reflector Port           : None  4507re­ws­x45­sup7l­e­
Filter VLANs              : None  installation.html)
Dest RSPAN VLAN    : None CallManager Express Intro
(/cisco­technical­
Notice how the Source Ports section shows Fa0/1 for the row named Both. This means that we are monitoring both RX & TX packets for knowledgebase/cisco­
Fa0/1, while the Destination Port is set to Fa0/24.  voice/371­cisco­ccme­part­
  1.html)
Turning to our network analyser, thanks to its predefined filters we were able to catch packets to and from the worksation monitored: Secure CME ­ SRTP & TLS
(/cisco­technical­
knowledgebase/cisco­
voice/956­cisco­voice­cme­
secure­voip.html)
Cisco Password Crack (/cisco­
technical­
knowledgebase/cisco­
routers/358­cisco­type7­
password­crack.html)
Site­to­Site VPN (/cisco­
technical­
knowledgebase/cisco­
routers/867­cisco­router­site­
to­site­ipsec­vpn.html)

POPULAR LINUX
ARTICLES
Linux Init & RunLevels (/linux­
knowledgebase­tutorials/linux­
administration/845­linux­
administration­runlevels.html) 
Linux Groups & Users (/linux­
knowledgebase­tutorials/linux­
This completes our discussion on SPAN configuration and how to monitor/capture packets on a Cisco Catalyst switch. Upcoming articles
administration/842­linux­
will  cover  RSPAN  and  more  advanced  packet  capturing  techniques  using  dedicated  VLANs  for  captured  traffic  and  other  complex
groups­user­accounts.html) 
scenarios.
Linux Performance Monitoring
Back to Cisco Switches Section (/cisco­technical­knowledgebase/cisco­switches) (/linux­knowledgebase­
tutorials/linux­
administration/837­linux­
8 Comments Sort by  Oldest
system­resource­
monitoring.html) 
Linux Vim Editor (/linux­
Add a comment... knowledgebase­tutorials/linux­
administration/836­linux­
vi.html) 
Linux Samba (/linux­
Darragh Delaney · Claremorris
knowledgebase­
You can download a free Windows based tool for setting up SPAN ports on Cisco switches at this link
tutorials/system­and­network­
http://www.netfort.com/downloads/free­software.
services/848­linux­services­
Like · Reply ·  2 · 29 January 2013 03:37 samba.html) 
Linux DHCP Server (/linux­
Canaan Kalengo · Maintenance Technician at Zamtel
knowledgebase­
this is cool.
tutorials/system­and­network­
Like · Reply ·  1 · 30 January 2013 02:02 services/849­linux­services­
Reza Setiawan · Engineer, Voice and Data Network at PT Freeport Indonesia dhcp­server.html) 
Linux Bind DNS (/general­
Perfect..
topics­reviews/linuxunix­
Like · Reply · 7 February 2013 01:44
related/829­linux­bind­
Mohamed Abozaid · Mansoura University introduction.html) 
good Linux File & Folder
Permissions (/general­topics­
Like · Reply ·  1 · 28 March 2013 02:32
reviews/linuxunix­
Dedi Subandi · Works at G4S Cash Services related/introduction­to­
i already try on catalyst 3560, but does't work and i get new problem connecting to the backbone disconnected after linux/299­linux­file­folder­
i running the configuration, so i rollback the configuration. permissions.html) 
Like · Reply · 23 January 2014 01:49 Linux OpenMosix (/general­
topics­reviews/linuxunix­
related/openmosix­linux­
Load 3 more comments supercomputer.html) 
Linux Network Config (/linux­
knowledgebase­tutorials/linux­
Facebook Comments Plugin
administration/851­linux­
services­tcpip.html)

ARTICLES TO READ NEXT:

RSS SUBSCRIPTION
 SPANNING TREE BPDUGUARD AND FORCING A CISCO CATALYST SWITCH CISCO 4507R+E LAYER 3 Subscribe to Firewall.cx RSS
ERRDISABLE INTERFACE AUTOMA... TO USE 3RD PARTY SFP MO... INSTALLATION: REDUNDANT WS­X45­ Feed by Email
(/CISCO­TECHNICAL­ (/CISCO­TECHNICAL­ SU... (/CISCO­TECHNICAL­
(http://feedburner.google.com/fb/a/mailverify?
KNOWLEDGEBASE/CISCO­ KNOWLEDGEBASE/CISCO­ KNOWLEDGEBASE/CISCO­
SWITCHES/1169­SPANNING­TREE­ SWITCHES/866­CISCO­SWITCHES­3RD­ SWITCHES/948­CISCO­SWITCHES­ uri=firewallcx&loc=en_US)
PROTOCOL­BPDU­GUARD­ PARTY­SFP.HTML) 4507RE­WS­X45­SUP7L­E­
DEPLOYMENT­CONFIGURATION.HTML) INSTALLATION.HTML)

CCENT/CCNA CISCO ROUTERS VPN SECURITY CISCO HELP WINDOWS 2012 LINUX
ROUTER BASICS (/CISCO­ SSL WEBVPN UNDERSTAND DMVPN VPN CLIENT WINDOWS 8 NEW FEATURES FILE PERMISSIONS
TECHNICAL­ SECURING ROUTERS GRE/IPSEC VPN CLIENT WINDOWS 7 LICENSING WEBMIN
KNOWLEDGEBASE/CISCO­ POLICY BASED ROUTING CONFIGURATION CCP DISPLAY PROBLEM HYPER­V / VDI GROUPS ­ USERS
ROUTERS/250­CISCO­ ROUTER ON­A­STICK SITE­TO­SITE IPSEC VPN CISCO SUPPORT APP. INSTALL HYPER­V SAMBA SETUP
ROUTER­BASICS.HTML) IPSEC MODES
SUBNETTING
OSI MODEL
IP PROTOCOL

FIREWALL.CX TEAM NEWS ALTERNATIVE MENU RECOMMENDED SITES FORUM CONTACT US ­ FEEDBACK

(/MEET­THE­TEAM.HTML) (/NEWS.HTML) (/SITE­MAP.HTML) (/RECOMMENDED­SITES.HTML) (/FORUMS.HTML) (/CONTACT­US.HTML)
© Copyright 2000­2017 Firewall.cx ­ All Rights Reserved
Information and images contained on this site is copyrighted material.

Firewall.cx ­ Cisco Networking, VPN ­ IPSec, Security, Best VPN Service, Cisco Switching, Cisco Routers, Cisco VoIP­ CallManager Express, Windows Server, Virtualization, Hyper­V, Web Security, Linux
Administration