O SPAN – Switched Port Analyzer, também conhecido como Port Mirroring ou Port Monitoring é a capacidade de espelhar o tráfego de uma porta (ou portas, ou VLAN) para outra. Entre outras aplicações, esta funcionalidade é muito utilizada em conjunto com equipamentos de análise de rede, que deve receber o tráfego espelhado.
Exemplo de utilização prática: Para que o IDS (conectado a porta f0/5) identifique o que entra e saí da rede podemos espelhar a porta do switch que está conectada ao gateway (porta f0/1). Para isso basta configurar o switches como segue.
Configuração:
BrainSW01#configure terminal
!— Primeiro defina a porta de origem
BrainSW01(config)#monitor session 1 source interface fastethernet 0/1
!— Depois especifique a porta de destino
BrainSW01(config)#monitor session 1 destination interface fastethernet 0/5
BrainSW01(config)#exit
BrainSW01#wr
Com isto, todo tráfego da porta f0/1 será espelhado para a porta f0/5, e estas configurações funcionam pelo menos nos switches das séries 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750 e 3750-E.
Como opção podemos ainda especificar mais de uma porta de origem ou toda uma VLAN ou definir se será espelhado todo o tráfego (como na configuração acima) ou se será espelhado apenas o tráfego de entrada (rx) ou saída (tx).
Quanto a porta de origem:
-
pode ser qualquer porta ethernet, fastethernet, gigabitethernet ou etherchannel;
-
pode fazer parte de mais de uma sessão de espelhamento;
-
não pode ser ao mesmo tempo porta de destino;
-
quando usar mais que uma porta de origem, elas podem estar em VLANs diferentes.
Quanto a porta de destino:
-
deve estar no mesmo switch da porta de origem;
-
pode ser qualquer porta porta ethernet física;
-
pode participar apenas de uma sessão;
-
não pode ser ao mesmo tempo porta de origem;
-
por padrão não transmite nenhum tráfego por esta porta, além do recebi via SPAN (mas é possível);
-
não participa de processos layer 2 (CDP, STP, VTP, DTP…)
Outras informações podem ser encontradas no site da Cisco, neste link.
Até a próxima.
