Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Configuração de Espelhamento de Portas em Switch
Olá Pessoal.
Um recurso muito útil para fins de monitoramento na linha Catalyst de Switches da Cisco® é
denominado SPAN, acrônimo de Switched Port Analyzer. Esse recurso também é chamado
deportmirroring (espelhamento de porta) ou portmonitoring (monitoramento de porta).
Logo nas primeiras aulas de redes de computadores os alunos estudam conceitualmente os
principais dispositivos de interconexão onde são apresentadas as principais
diferenças entredois dispositivos concentradores: (i) HUB e (ii) Switch.
Nessa ocasião os alunos aprendem que mesmo ambos os dispositivos sendo elementos
centrais (concentradores) que criam uma topologia física de estrela, o modo de operação entre
eles é distinto implicando em diferentes topologias lógicas, conforme pode ser observado na
figura abaixo.
O HUB cria uma topologia lógica de barramento porque eletronicamente todas as suas portas
estão ligadas em um mesmo barramento físico, o que implica na existência de um único
dominío de colisão compartilhado entre todas as portas. Ele é um simples dispositivo repetidor
que (i) recebe sinal em uma porta de entrada, (ii) amplifica esse sinal e (iii) despacha esse sinal
para todas as demais portas de saída. Como ele é um dispositivo de camada física, não possui
inteligência para analisar os cabeçalhos dos quadros.
Uma vez que a topologia lógica do HUB é de barramento, o sinal recebido em uma porta é
retransmitido para TODAS as demais portas, o que é ruim do ponto de vista de desempenho e
segurança. Por causa disso é muito simples interceptar o tráfego/conteúdo dessa rede através
de algum software sniffer, já que todo sinal entre quaisquer máquinas é propagado para todas as
portas. O Wireshark é um exemplo de software gratuito de interceptação de pacotes (analisador
de protocolos) e pode ser baixado no link http://www.wireshark.org/.
Por outro lado o Switch cria uma topologia lógica de estrela porque eletronicamente possui uma
matriz (denominada matriz crossbar) que permite o chaveamento de circuitos pontoaponto
entre duas portas específicas, o que implica em um domínio de colisão para cada porta.
Paraestabelecer esses circuitos entre duas portas os switches são dispositivos da camada de
enlace e possuem inteligência para analisar os cabeçalhos dos quadros, motivo pelo qual eles
utilizam o endereço físíco das interfaces (MAC) no processo de encaminhamento.
para fins de monitoramento e análise da "saúde" da rede. O problema de utilizar esses
softwaresnas redes que possuem switch (digase de passagem quase todas atualmente), é que
ao conectar o computador monitorador em uma porta qualquer do switch ele não será capaz
de"escutar" nenhum tráfego entre os circuitos fechados nas demais portas. Por exemplo, uma
comunicação entre dois computadores ligados nas portas f0/1 e f0/02 de um switch não será
transmitida na porta f0/3 (nem em qualquer outra).
É para resolver esse problema que existem as tecnologias de portmirroring. Essa tecnologia de
espelhamento consiste em configurar uma determinada porta do switch para espelhar todo o
tráfego entre os circuitos das demais portas, daí no nome espelhamento. Ou seja, essa porta irá
se tornar o "dedoduro" da rede replicando todo o tráfego como se fosse um HUB. Naturalmente
essa porta será aquela em que o computador monitorador estará executando o software de
interceptação (sniffer).
Vamos considerar o cenário ilustrado na figura abaixo para exemplificar o processo de
configuração do SPAN nos seguintes modelos de Switch Catalyst da Cisco: 2940, 2950, 2955,
2960, 2970, 3550, 3560, 3560E, 3750 e 3750E. Em outros modelos de switches os comandos
para configuração do SPAN podem ser diferentes!
Reparem que temos uma rede local em que existe um notebook conectado na interface f0/7 do
switch e que estará executando um software de interceptação, como por exemplo o Wireshark.
Ao fazêlo a interface de rede do notebook é colocada em modo promíscuo, ou seja,
ela passará a capturar todo tráfego escutado por ela, seja ele direcionado a ela ou não. Caberá
ao switch a função de replicar (espelhar) todos os quadros das demais portas para a interface
f0/7.
Switch# configure terminal
Switch(config)# monitor session 1 source interface f0/1
Switch(config)# monitor session 1 source interface f0/2
Switch(config)# monitor session 1 destination interface f0/7
Switch(config)# exit
Switch# show monitor session
Ao invés de informar as interfaces de origem manualmente, também é possível monitorar toda
uma VLAN previamente configurada no switch. Nesse caso seria informada apenas a VLAN
como origem e todas as interfaces associadas à respectiva VLAN teriam seu tráfego
automaticamente espelhado para a porta de destino SPAN. À medida que portas são removidas
data:text/html;charset=utf8,%3Ch3%20class%3D%22posttitle%20entrytitle%22%20itemprop%3D%22name%22%20style%3D%22margin%3A%200.75… 2/3
22/05/2015 Blog LabCisco: Configuração de Espelhamento de Portas em Switch
ou associadas com a VLAN, então seu tráfego já será espelhado. Não é possível combinar o
espelhamento de interfaces e VLANs! Vamos supor que as interfaces f0/1 e f0/2 do exemplo
anterior estivessem associadas com a VLAN13, a configuração seria:
Switch(config)# monitor session 1 source vlan 13
Switch(config)# monitor session 1 destination interface f0/7
Existe ainda a possibilidade de ampliar o monitoramento em redes maiores criando sessões de
monitoramento com o destino do tráfego espelhado em algum outro switch remoto através do
recurso RSPAN (Remote Switched Port Analyzer). Se vocês tiverem interesse nessa
tecnologia, me avisem que escreverei outro artigo para exemplificar sua configuração.
data:text/html;charset=utf8,%3Ch3%20class%3D%22posttitle%20entrytitle%22%20itemprop%3D%22name%22%20style%3D%22margin%3A%200.75… 3/3