Networks
[Networks][Cisco] 스위치 포트미러링
바둑이 아저씨
2026. 2. 26. 22:26
Cisco 스위치에서 네트워크 트래픽을 분석하거나 모니터링할 때 가장 많이 사용하는 기능이 바로 포트 미러링(Port Mirroring) 입니다.
Wireshark, tcpdump, IDS/IPS 장비 등을 연결해서 특정 포트의 트래픽을 복사해 보는 데 필수적인 설정이죠.
이번 포스팅에서는 Cisco IOS 기반 스위치(Catalyst 시리즈 등)에서 가장 기본적이고 실무에서 자주 쓰이는 설정 방법을 단계별로 정리해 드리겠습니다.
포트 미러링 기본 개념
- Source 포트(모니터링 대상) : 트래픽을 복사할 원본 포트 (ingress, egress, 또는 both)
- Destination 포트(미러링 포트) : 복사된 트래픽을 받을 포트 (보통 Wireshark PC나 분석 장비가 연결됨)
- Monitor Session 번호 : 1~66 정도까지 지원 (스위치 모델에 따라 다름, 보통 1~2개만 사용)
가장 많이 쓰는 명령어 형식 :
monitor session 숫자 source interface Gi1/0/5 [both | rx | tx]
monitor session 숫자 destination interface Gi1/0/24실제 설정 예시 (가장 기본적인 경우)
예시 상황 : Gi1/0/5 포트(서버 연결 포트)의 모든 트래픽을 Gi1/0/24 포트(Wireshark PC 연결)에 미러링
! 1. 기존 세션 삭제 (필요 시)
no monitor session 1
! 2. Source 포트 설정 (양방향 트래픽 모두 복사)
monitor session 1 source interface GigabitEthernet1/0/5 both
! 3. Destination 포트 설정
monitor session 1 destination interface GigabitEthernet1/0/24
! 4. 설정 저장
write memory설정 후 확인 명령어 :
show monitor session 1
show monitorshow monitor session 입력 후 ? 로 조회시 사용 가능한 세션 번호의 값을 확인 할 수 있습니다.
자주 쓰이는 변형 설정 예시
- 수신 트래픽만 미러링 (rx만)
monitor session 1 source interface Gi1/0/5 rx - 송신 트래픽만 미러링 (tx만)
monitor session 1 source interface Gi1/0/5 tx - 여러 포트 한 번에 미러링
monitor session 1 source interface range Gi1/0/5 - 8 both - VLAN 전체 트래픽 미러링 (RSPAN 대신 로컬에서)
monitor session 1 source vlan 10 both - Destination 포트에 Encapsulation (트렁크 태그 유지)
monitor session 1 destination interface Gi1/0/24 encapsulation replicate
주의 사항
- Destination 포트는 다른 용도로 사용 불가 (트래픽이 한 방향으로만 나감)
- Destination 포트에 연결된 PC는 IP 통신이 안 될 수 있음 → 관리용으로는 별도 포트 사용 추천
- 스위치 모델에 따라 지원 세션 수 제한 (2960은 1~2개, 3750/3850은 2~4개, 9300 이상은 더 많음)
- 설정 후에도 트래픽이 안 보이면 → source 포트의 방향(rx/tx/both) 확인, 또는 SPAN ASIC 오버로드 여부 점검
- 설정 삭제는 반드시
no monitor session 1→write
※ Wireshark 연결 시 Destination 포트에 VLAN 태그가 필요하면 encapsulation replicate 옵션 필요
이상으로 Cisco 스위치 기본 포트 미러링 설정 방법을 알아보았습니다.
실무에서 교환기 서버의 패킷을 서버로 전송하여 감청등의 역할등으로 사용한 경험이 있습니다.
감사합니다.