Fitur Switched Port Analyzer (SPAN) sering digunakan sebagai network analyzer dengan cara port mirroring atau port monitoring network traffic yang berasal dari switched port. Oleh karena switch port, maka fitur ini hanya bekerja pada switches layer 2 dan switches Layer3.
Lalu bagaimana jika kita akan melakukan monitoring pada router? Tentu saja fitur SPAN ini tidak berjalan. Bagaimana cara mendapatkan data “trafik jaringan” ini?
Salah satu cara yang bisa dilakukan adalah kita bisa memanfaatkan fitur “IP Traffic Export” pada router, dengan cara mengekspor IP packets kepada interface lain melalui LAN atau VLAN interface.
Bagaimana cara memanfaatkan IP traffic export
Dalam gambar ini, kita akan mengcopy trafik dari “Dialer1” ke IDS host (Mac address: 0015.61b9.2abb).
Step #1: Definisikan profile traffic export
Router#conf t Router(config)#ip traffic-export profile sr-test mode export Router(conf-rite)#bidirectional Router(conf-rite)#interface fastEthernet 0/0 Router(conf-rite)#mac-address 0015.61b9.2abb
Step #2: Apply profile kepada ingress interface
Router(config)#interface dialer 1 Router(config-if)#ip traffic-export apply sr-test Setelah ini, router akan melakukan mirroring kepada host yang telah dituju. Untuk melihat statistik dari export trafik, gunakan perintah “show ip traffic-export”
Router#show ip traffic-export
Router IP Traffic Export Parameters
Monitored Interface Dialer1
Export Interface FastEthernet0/0
Destination MAC address 0015.61b9.2abb
bi-directional traffic export is on
Output IP Traffic Export Information Packets/Bytes Exported 981/475672
Packets Dropped 0
Sampling Rate one-in-every 1 packets
No Access List configured
Input IP Traffic Export Information Packets/Bytes Exported 900/571078
Packets Dropped 0
Sampling Rate one-in-every 1 packets
No Access List configured
Profile sr-test is Active
Router#
Setelah proses ini, kita perlu menyimpan "IP traffic export" ke dalam local router memory. Kemudian dilakukan "dump" dari data ke device eksternal, seperti flash memory.
Untuk itu, Anda perlu melakukan:
Step 1: Mendefinisikan profile "traffic capture"
Router(config)#ip traffic-export profile sr-test-2 mode capture Router(conf-rite)#bidirectional
Step2: Apply profile kepada ingress interfaceRouter(config)#int dialer 1
Router(config-if)#ip traffic-export apply sr-test-2 size 1000000 Step3: Mulai capture
traffic-export interface dialer 1 start Step4: Berhenti capture setelah buffer penuh
traffic-export interface dialer 1 stop Step5: Mengecek statistik "IP traffic capture"
Router#show ip traffic-export
Router IP Traffic Export Parameters
Monitored Interface: Dialer1
Capture full packet length.
bi-directional traffic capture is on
Output IP Traffic Capture Information Packets/Bytes Captured 748/389641
Packets Dropped 1078
Sampling Rate one-in-every 1 packets
No Access List configured
Input IP Traffic Capture Information
Packets/Bytes Captured 794/584753
Packets Dropped 1040
Sampling Rate one-in-every 1 packets
No Access List configured
IP Traffic Capture Buffer Information Defined Buffer Size 1000000 bytes
Capture Buffer Size 1000000 bytes
Capture Buffer Used 999090 bytes Capture Buffer Free 910 bytes
Profile sr-test-2 capture state: Buffer Full
Router#
Step6: Copy file dump ke device eksternal, semisal ke tftp server.
traffic-export interface dialer 1 copy tftp:
Step7: Mengecek file dump menggunakan wireshark
Step8: Selesai
Ingat: Jika Anda ingin menghapus “packet capture buffer” dari “designated interface”, gunakan perintah “traffic-export interface clear”.
Sumber:http://www.ciscozine.com