O SPAN – Switched Port Analyzer, também conhecido como Port Mirroring ou Port Monitoring é a capacidade de espelhar o tráfego de uma porta (ou portas, ou VLAN) para outra. Entre outras aplicações, esta funcionalidade é muito utilizada em conjunto com equipamentos de análise de rede, que deve receber o tráfego espelhado.
Exemplo de utilização prática: Para que o IDS (conectado a porta f0/5) identifique o que entra e saí da rede podemos espelhar a porta do switch que está conectada ao gateway (porta f0/1). Para isso basta configurar o switches como segue.
Configuração:
BrainSW01#configure terminal
!— Primeiro defina a porta de origem
BrainSW01(config)#monitor session 1 source interface fastethernet 0/1
!— Depois especifique a porta de destino
BrainSW01(config)#monitor session 1 destination interface fastethernet 0/5
BrainSW01(config)#exit
BrainSW01#wr
Com isto, todo tráfego da porta f0/1 será espelhado para a porta f0/5, e estas configurações funcionam pelo menos nos switches das séries 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750 e 3750-E.
Como opção podemos ainda especificar mais de uma porta de origem ou toda uma VLAN ou definir se será espelhado todo o tráfego (como na configuração acima) ou se será espelhado apenas o tráfego de entrada (rx) ou saída (tx).
Quanto a porta de origem:
-
pode ser qualquer porta ethernet, fastethernet, gigabitethernet ou etherchannel;
-
pode fazer parte de mais de uma sessão de espelhamento;
-
não pode ser ao mesmo tempo porta de destino;
-
quando usar mais que uma porta de origem, elas podem estar em VLANs diferentes.
Quanto a porta de destino:
-
deve estar no mesmo switch da porta de origem;
-
pode ser qualquer porta porta ethernet física;
-
pode participar apenas de uma sessão;
-
não pode ser ao mesmo tempo porta de origem;
-
por padrão não transmite nenhum tráfego por esta porta, além do recebi via SPAN (mas é possível);
-
não participa de processos layer 2 (CDP, STP, VTP, DTP…)
Outras informações podem ser encontradas no site da Cisco, neste link.
Até a próxima.
Qual a diferenca entre o SPAN e o Net-Flow???
Olá Daniel.
São totalmente diferentes.
SPAN é a configuração que fazemos para espelhar o tráfego de uma interface para outra. Como mostra esse tópico.
Já o Netflow é um protocolo desenvolvido pela Cisco (mas suportado por outros fabricantes) para coletar informações sobre o tráfego IP. Podemos, por exemplo, ver quantos pacotes HTTP, SMTP e outros estão passando por uma interface.
Obrigado por visitar o brainwork.
Boa tarde meu amigo seu blog e muito interessante e esta me ajudando muito obrigado mesmo
mais vamos a duvida configurei corretamente o port mirror ( cisco 2960 ) dei um show monitor session 1 e estavao la a porta de source e destino
ate ai acho que configurei corretamente o cisco mais nao to conseguindo capturar nada com o ntop ( estou usando ele em sistema debian) e o que esta me deixando mais confuso e que pelo que entendi eu nao iria conseguir transmitir dados por essa porta mais estou conseguindo o que poder ter dado de errado
acho que nao tem haver mais vai a pergunta
eu coloquei uma placa de rede ligada a porta do switch que esta como destino ( ai acabou que nao puder testar para ve se tava tudo ok com o port mirror ) ai tive que plugar em outra placa com outro ip ( destination ) isso tem alguma coisa a ver ? o switch grava o mac ou ip do primeiro dispositivo plugado ? ou to viajando como posso verirficar se o port mirror esta sendo feito corretamente
obrigaod ai meu amigo
jmsalles,
Valeu por acessar o blog e também por participar.
Por favor faça a pergunta no brainwork responde. Lá fica melhor para responder e compartilharmos as opiniões.
Só adiantando, não grava o primeiro não. Quem estiver plugado vai receber uma cópia do tráfego.
meu caro você teria alguma dica para me passar sobre port mirroring em um switch Foundry FastIron Edge X448 premium (PREM) ?
Senhores,
após aplicada a configuração, não consigo captar nenhum trafego com meu snifer na interface “destination”
o SW em questão é um 2960
Tem tráfego na interface de origem? a conexão na interface de destino está ok? o snifer está funcionando?
Amigo, e quando ah varios switchs conectados uns aos outros em cascata.. digamos q uns 15 .. o sniffer consegue monitorar o trafego que passa da maquina A e B do switch 10 e 15, sendo que o sniffer esta conectado na maquiina C no switch 1.
Junior,
no seu caso você vai precisar configurar o RSPAN.
É diferente deste exemplo, pois a origem e destino estão em switches diferentes.
Caros,
como faço pra deixar a porta habilitada pra envio de trafego?
Pois a maquina que estou usando e virtual e qndo habilito as configurações perco a gerencia da maquina.
Se não me engano o comando é esse:
monitor session 1 destination interface fastethernet 0/1
encapsulation dot1q ingress vlan 7
Ai você coloca a VLAN que o computador deve usar para acessar a rede.
Obrigado Andre Oretega,
irei fazer alguns teste, e posto se funcionou da maneira esperada…
Boa tarde André,
Sabe me indicar algum software de monitoramento que consegue tratar as informações espelhadas pelo SPAN ?
Abraço
Olá Danilo,
depende o que você quer fazer. Você deseja realmente monitorar a rede? O mais indicado seria utilizar o Netflow, e não o SPAN, e assim temos o Cisco Prime, o OpManager, o Cacti com plugins, que é free.
Boa tarde André,
Possuo uma aplicação em que tive que converter RS-485 para RJ-45, o conversor possui apenas uma saída RJ-45, mas como preciso enviar o sinal para 4 painéis, utilizei um hub. O software de monitoramento que utilizo em cada painel se comunica com a porta 8000 do conversor, mas como todos se comunicam ao mesmo tempo, com a mesma porta, apenas um deles está realmente efetivando a comunicação, os outros não devido ao fato da porta 8000 já estar ocupada. Se eu utilizar o espelhamento de portas e apontar cada painel para se comunicar com uma porta diferente do hub, conseguirei resolver esse problema?
Obs.: Todos os paineis irão receber e enviar dados à porta 8000 do conversor.
Thiago, não acredito que o espelhamento de porta possa te ajudar neste caso.
Olá André, tenho um tráfego Giga, estou precisando capturar dados para obter informações de um IP em específico, após a configuração do espelhamento no Switch, que software posso usar para essa captura? E como o tráfego é bem intenso, precisarei de um hardware bem potente, certo?
Sei que isso já não faz parte do tópico, mas se puder ajudar com uma dica agradeço!
Olá Philipe,
normalmente utilizamos o Wireshark. Como ele conseguimos capturar e ver os pacotes. E você vai precisar de uma máquina com placa Gigabit ao menos.
Muito bom o post, porém, para quem for utilizar o rspan, CUIDADO. Dependendo do tráfego ele pode congestionar e parar sua rede.
Ola André,
Muito interessante seu blog parabens!
eu preciso espelhar uma porta mais somente um protocolo especifico!
preciso espelhar tudo que for SIP mandar a informação o resto não enviar, consegue me ajudar?
Grato!
Olá Rafael,
dependendo do modelo do switch, você poder aplicar uma access-list para filtrar o tráfego.
Segue um exemplo, mas não sei se você conseguirá ver o que deseja… Lembre-se que o SIP é usado para sinalização e a voz na verdade usa o RTP.
Exemplo:
access-list 100 permit tcp any any eq 5060
monitor session 1 source interface Gi1/0/1 – 6
monitor session 1 destination interface Gi1/0/7
monitor session 1 filter ip access-group 10
Também é possível especificar uma VLAN no filtro, se desejado.