[Networks][Cisco] 스위치 포트미러링

( 출처 : .cisco.com )

Cisco 스위치에서 네트워크 트래픽을 분석하거나 모니터링할 때 가장 많이 사용하는 기능이 바로 포트 미러링(Port Mirroring) 입니다.

Wireshark, tcpdump, IDS/IPS 장비 등을 연결해서 특정 포트의 트래픽을 복사해 보는 데 필수적인 설정이죠.

이번 포스팅에서는 Cisco IOS 기반 스위치(Catalyst 시리즈 등)에서 가장 기본적이고 실무에서 자주 쓰이는 설정 방법을 단계별로 정리해 드리겠습니다.

---

포트 미러링 기본 개념

• Source 포트(모니터링 대상) : 트래픽을 복사할 원본 포트 (ingress, egress, 또는 both)
• Destination 포트(미러링 포트) : 복사된 트래픽을 받을 포트 (보통 Wireshark PC나 분석 장비가 연결됨)
• Monitor Session 번호 : 1~66 정도까지 지원 (스위치 모델에 따라 다름, 보통 1~2개만 사용)

가장 많이 쓰는 명령어 형식 :

monitor session 숫자 source interface Gi1/0/5 [both | rx | tx]
monitor session 숫자 destination interface Gi1/0/24

---

실제 설정 예시 (가장 기본적인 경우)

예시 상황 : Gi1/0/5 포트(서버 연결 포트)의 모든 트래픽을 Gi1/0/24 포트(Wireshark PC 연결)에 미러링

! 1. 기존 세션 삭제 (필요 시)
no monitor session 1

! 2. Source 포트 설정 (양방향 트래픽 모두 복사)
monitor session 1 source interface GigabitEthernet1/0/5 both

! 3. Destination 포트 설정
monitor session 1 destination interface GigabitEthernet1/0/24

! 4. 설정 저장
write memory

설정 후 확인 명령어 :

show monitor session 1
show monitor

show monitor session 입력 후 ? 로 조회시 사용 가능한 세션 번호의 값을 확인 할 수 있습니다.

---

자주 쓰이는 변형 설정 예시

1. 수신 트래픽만 미러링 (rx만)
   monitor session 1 source interface Gi1/0/5 rx
2. 송신 트래픽만 미러링 (tx만)
   monitor session 1 source interface Gi1/0/5 tx
3. 여러 포트 한 번에 미러링
   monitor session 1 source interface range Gi1/0/5 - 8 both
4. VLAN 전체 트래픽 미러링 (RSPAN 대신 로컬에서)
   monitor session 1 source vlan 10 both
5. Destination 포트에 Encapsulation (트렁크 태그 유지)
   monitor session 1 destination interface Gi1/0/24 encapsulation replicate

---

주의 사항

• Destination 포트는 다른 용도로 사용 불가 (트래픽이 한 방향으로만 나감)
• Destination 포트에 연결된 PC는 IP 통신이 안 될 수 있음 → 관리용으로는 별도 포트 사용 추천
• 스위치 모델에 따라 지원 세션 수 제한 (2960은 1~2개, 3750/3850은 2~4개, 9300 이상은 더 많음)
• 설정 후에도 트래픽이 안 보이면 → source 포트의 방향(rx/tx/both) 확인, 또는 SPAN ASIC 오버로드 여부 점검
• 설정 삭제는 반드시 no monitor session 1 → write

※ Wireshark 연결 시 Destination 포트에 VLAN 태그가 필요하면 encapsulation replicate 옵션 필요

---

이상으로 Cisco 스위치 기본 포트 미러링 설정 방법을 알아보았습니다.

실무에서 교환기 서버의 패킷을 서버로 전송하여 감청등의 역할등으로 사용한 경험이 있습니다.

감사합니다.