22/05/2015 Blog LabCisco: Configuração de Espelhamento de Portas em Switch

Configuração de Espelhamento de Portas em Switch
Olá Pessoal.

Um  recurso  muito  útil  para  fins  de  monitoramento  na  linha  Catalyst  de  Switches  da  Cisco®  é
denominado  SPAN,  acrônimo  de  Switched  Port  Analyzer.  Esse  recurso  também  é  chamado
deport­mirroring (espelhamento de porta) ou port­monitoring (monitoramento de porta).

Logo  nas  primeiras  aulas  de  redes  de  computadores  os  alunos  estudam  conceitualmente  os
principais  dispositivos  de  interconexão  onde  são  apresentadas  as  principais
diferenças entredois dispositivos concentradores: (i) HUB e (ii) Switch.

Nessa  ocasião  os  alunos  aprendem  que  mesmo  ambos  os  dispositivos  sendo  elementos
centrais (concentradores) que criam uma topologia física de estrela, o modo  de  operação  entre
eles  é  distinto  implicando  em  diferentes  topologias  lógicas,  conforme  pode  ser  observado  na
figura abaixo.

O  HUB  cria  uma  topologia  lógica  de  barramento  porque  eletronicamente  todas  as  suas  portas
estão  ligadas  em  um  mesmo  barramento  físico,  o  que  implica  na  existência  de  um  único
dominío de colisão compartilhado entre todas as portas. Ele é  um  simples  dispositivo  repetidor
que (i) recebe sinal em uma porta de entrada, (ii) amplifica esse sinal e (iii) despacha esse sinal
para todas as demais portas de saída. Como ele é um dispositivo de camada física, não possui
inteligência para analisar os cabeçalhos dos quadros.

Uma  vez  que  a  topologia  lógica  do  HUB  é  de  barramento,  o  sinal  recebido  em  uma  porta  é
retransmitido para TODAS as demais portas, o que é ruim do ponto de vista de desempenho e
segurança. Por causa disso é muito simples interceptar  o  tráfego/conteúdo  dessa  rede  através
de algum software sniffer, já que todo sinal entre quaisquer máquinas é propagado para todas as
portas. O Wireshark é um exemplo de software gratuito de interceptação de pacotes (analisador
de protocolos) e pode ser baixado no link http://www.wireshark.org/.

Por outro lado o Switch cria uma topologia lógica de estrela porque eletronicamente possui uma
matriz  (denominada  matriz  crossbar)  que  permite  o  chaveamento  de  circuitos  ponto­a­ponto
entre  duas  portas  específicas,  o  que  implica  em  um  domínio  de  colisão  para  cada  porta.
Paraestabelecer  esses  circuitos  entre  duas  portas  os  switches  são  dispositivos  da  camada  de
enlace  e  possuem  inteligência  para  analisar  os  cabeçalhos  dos  quadros,  motivo  pelo  qual  eles
utilizam o endereço físíco das interfaces (MAC) no processo de encaminhamento.

É comum o uso de softwares de interceptação de quadros/pacotes  em  redes  de  computadores

data:text/html;charset=utf­8,%3Ch3%20class%3D%22post­title%20entry­title%22%20itemprop%3D%22name%22%20style%3D%22margin%3A%200.75… 1/3
22/05/2015 Blog LabCisco: Configuração de Espelhamento de Portas em Switch

para  fins  de  monitoramento  e  análise  da  "saúde"  da  rede.  O  problema  de  utilizar  esses
softwaresnas redes que possuem switch (diga­se de passagem quase todas atualmente),  é  que
ao  conectar  o  computador  monitorador  em  uma  porta  qualquer  do  switch  ele  não  será  capaz
de"escutar"  nenhum  tráfego  entre  os  circuitos  fechados  nas  demais  portas.  Por  exemplo,  uma
comunicação  entre  dois  computadores  ligados  nas  portas  f0/1  e  f0/02  de  um  switch  não  será
transmitida na porta f0/3 (nem em qualquer outra).

É para resolver esse problema que existem as tecnologias de port­mirroring. Essa  tecnologia  de
espelhamento  consiste  em  configurar  uma  determinada  porta  do  switch  para  espelhar  todo  o
tráfego entre os circuitos das demais portas, daí no nome espelhamento. Ou seja, essa porta irá
se tornar o "dedo­duro" da rede replicando todo o tráfego como se fosse um HUB. Naturalmente
essa  porta  será  aquela  em  que  o  computador  monitorador  estará  executando  o  software  de
interceptação (sniffer).

Vamos  considerar  o  cenário  ilustrado  na  figura  abaixo  para  exemplificar  o  processo  de
configuração do SPAN nos seguintes modelos de Switch Catalyst da  Cisco:  2940,  2950,  2955,
2960, 2970, 3550, 3560, 3560­E, 3750 e 3750­E. Em outros modelos de switches os  comandos
para configuração do SPAN podem ser diferentes! 

Reparem que temos uma rede local em que existe um notebook conectado na interface f0/7 do
switch e que estará executando um software de interceptação,  como  por  exemplo  o  Wireshark.
Ao  fazê­lo  a  interface  de  rede  do  notebook  é  colocada  em  modo  promíscuo,  ou  seja,
ela passará a capturar todo tráfego escutado por ela, seja ele direcionado  a  ela  ou  não.  Caberá
ao  switch  a  função  de  replicar  (espelhar)  todos  os  quadros  das  demais  portas  para  a  interface
f0/7. 

No exemplo seguinte vamos configurar a interface f0/7  como  a  porta  de  destino  do  monitorador

e optaremos pelo espelhamento do tráfego apenas das interfaces f0/1 e f0/2 (origem). Para esse
cenário a configuração do switch seria a seguinte:

Switch# configure terminal
Switch(config)# monitor session 1 source interface f0/1
Switch(config)# monitor session 1 source interface f0/2
Switch(config)# monitor session 1 destination interface f0/7  
Switch(config)# exit 
Switch# show monitor session

Ao  invés  de  informar  as  interfaces  de  origem  manualmente,  também  é  possível  monitorar  toda
uma  VLAN  previamente  configurada  no  switch.  Nesse  caso  seria  informada  apenas  a  VLAN
como  origem  e  todas  as  interfaces  associadas  à  respectiva  VLAN  teriam    seu  tráfego
automaticamente espelhado para a porta de destino SPAN. À medida que portas são removidas

data:text/html;charset=utf­8,%3Ch3%20class%3D%22post­title%20entry­title%22%20itemprop%3D%22name%22%20style%3D%22margin%3A%200.75… 2/3
22/05/2015 Blog LabCisco: Configuração de Espelhamento de Portas em Switch

ou  associadas  com  a  VLAN,  então  seu  tráfego  já  será  espelhado.  Não  é  possível  combinar  o
espelhamento  de  interfaces  e  VLANs!  Vamos  supor  que  as  interfaces  f0/1  e  f0/2  do  exemplo
anterior estivessem associadas com a VLAN­13, a configuração seria:

Switch(config)# monitor session 1 source vlan 13
Switch(config)# monitor session 1 destination interface f0/7

Existe ainda a possibilidade de ampliar o monitoramento em redes maiores criando sessões de
monitoramento  com  o  destino  do  tráfego  espelhado  em  algum  outro  switch  remoto  através  do
recurso  RSPAN  (Remote  Switched  Port  Analyzer).  Se  vocês  tiverem  interesse  nessa
tecnologia, me avisem que escreverei outro artigo para exemplificar sua configuração.

data:text/html;charset=utf­8,%3Ch3%20class%3D%22post­title%20entry­title%22%20itemprop%3D%22name%22%20style%3D%22margin%3A%200.75… 3/3