SPAN, analizando puertos.

Los switches cisco soportan un método para redirigir el tráfico de un puerto o de una vlan a otro puerto en concreto. Éste método se llama SPAN (Switch Port Analyzer), podemos utilizar ésta técnica desde para grabar una llamada ip, para pasar los datos por un sensor ids o ips. El puerto de destino del puerto en espejo puede estar en el mismo switch o en otro switch.
Veamos un ejemplo de mirror de un puerto a otro puerto:

Router(config)#monitor session 1 source interface fa 0/2
Router(config)#monitor session 1 destination interface fa 0/3

Podemos especificar si es el tráfico entrante o saliente con rx o tx después de la interfaz.
Ejemplo de monitorización de una vlan

Router(config)#monitor session 1 source vlan 1
Router(config)#monitor session 1 destination interface fa 0/3

También podemos hacerlo sobre un puerto trunk y monitorizar solo las vlanes que creamos oportunas
si fa 2 fuera un puerto trunk

Router(config)#monitor session 1 source interface fa 0/2
Router(config)#monitor session 1 destination interface fa 0/3
Router(config)#monitor session 1 filter vlan 1-3, 229

Para verificar el resultado se puede hacer con show monitor session numero-sesion, el destino siempre tiene que ser puerto físico, aunque el origen pueda ser un puerto un portchannel o una vlan (o varias).

Router#show monitor session 1
Session 1
---------
Source Ports:
    RX Only:       None
    TX Only:       Fa0/0
    Both:          None
Source VLANs:
    RX Only:       None
    TX Only:       None
    Both:          None
Destination Ports: Fa0/2
Filter VLANs:      None