«

»

set 27 2012

Cisco SPAN (Switch Port Analyzer)

Pessoal, durante meus estudos para o CCIE estarei revisitando muitos assuntos, alguns interessantes, outros nem tanto. Estou me propondo a escrever alguns artigos breves sobre alguns pontos que eu julgo poderem despertar o interesse de vocês. O primeiro deles trata do recurso SPAN, disponível em praticamente toda a linha de switches (e alguns routers) da Cisco, que permite o espelhamento do tráfego originado em uma ou mais portas (ou VLAN) para uma porta específica, possibilitando o armazenamento e/ou análise do tráfego capturado.

SPAN também é conhecido como “Session Monitoring”, por causa dos comandos usados para a configuração deste recurso. Os motivos para espelhamento de tráfego são muitos, os mais comuns sendo monitoramento / captura de tráfego para cumprimento de mandados judiciais (prática conhecida como “lawful interception”) ; gravação de chamadas em redes VoIP; suporte à implementação de mecanismos de detecção e prevenção de intrusão (IDS / IPS).

Como já mencionei, as sessões de espelhamento podem ser originadas de uma ou mais portas, ou de uma VLAN. Não é possível combinar estas possibilidades (ex: portas e VLAN). A porta destino para o tráfego espelhado pode ser local – no mesmo switch – ou remota – em um outro switch da rede. No segundo caso, o processo recebe o nome de RSPAN (Remote SPAN), e é feito transportando-se o tráfego espelhado dentro de uma VLAN específica através de trunks até o destino final.

As portas que originam o tráfego a ser espelhado podem estar originalmente configuradas para trabalhar em L3 (IP) ou L2 (switched ports), e podem ser essencialmente qualquer tipo de porta: lógica como Etherchannel (pode-se até escolher uma única porta física do agrupamento para o monitoramento, se desejado), SVIs, loopbacks; ou físicas, como portas de acesso, trunks, etc.

Se a origem do tráfego for uma VLAN, todas as portas associadas a esta VLAN serão monitoradas (terão seu tráfego espelhado). Conforme portas são associadas ou removidas à VLAN em monitoramento, estas são automaticamente incluídas ou excluídas do processo.

Restrições

  • Sempre que uma porta destino for incluída no processo, sua configuração original é sobrescrita (ex: se a porta G0/1 de um switch foi escolhida para ser a porta destino e ela tinha um endereço IP configurado, este será descartado). Assim que a sessão de monitoramento for desfeita, a configuração original da porta retorna sem problemas.
  • Portas destino não suportam configurações de port-security, autenticação 802.1x ou private-vlans
  • Nem todos os protocolos L2 (como por exemplo CDP, DTP, VTP ou STP) são suportados pelas portas destino
  • Até 64 sessões de monitoramento são possíveis em um switch
  • Tem que se tomar cuidado para não sobrecarregar a porta destino. Por exemplo, se a origem é uma VLAN inteira e o destino for uma porta de 100M, esta pode ser facilmente sobrecarregada quando o processo for iniciado
  • É possível configurar uma porta TRUNK como origem do tráfego a ser espelhado. Neste caso, informações de TODAS as VLANs configuradas no TRUNK farão parte da sessão de monitoramento
  • Tráfego roteado de uma outra VLAN para a VLAN monitorada não será encaminhado para a sessão SPAN. Apenas o tráfego nativo (originado) da VLAN monitorada será encaminhado

Tanto SPAN quanto RSPAN suportam o monitoramento de dois tipos de tráfego: transmitido e recebido. Por default, SPAN monitora ambos os sentidos do tráfego, mas isso pode ser alterado via configuração.

Falando em configuração, supondo o cenário abaixo, ei-la!

span.jpg

Switch(config)# no monitor session 1
Switch(config)# monitor session 1 source interface fastEthernet0/4
Switch(config)# monitor session 1 destination interface fastEthernet0/8
Switch(config)# end

Bem simples, não?

O link abaixo ilustra a sintaxe completa do comando, para quem quiser se aprofundar um pouco mais no assunto:

http://www.cisco.com/en/US/docs/switches/lan/catalyst2940/software/release/12.1_19_ea1/configuration/guide/swspan.html

Espero que tenham gostado! Conforme os estudos forem avançando, vou postando mais.

Abraço!

Marco Filippetti



Comente usando o Facebook!
0
0

11 comentários

Pular para o formulário de comentário

  1. Leandro

    Boa Marco, estou realizando um trabalho desses na empresa, como equipamento estou utilizando um Fluke diga-se de passagem equipamento sensacional.

    0

    0
  2. santos_ligeiro

    Bacana Marcos,

    Aqui na minha empresa utilizamos muito o RSPAN para a realização de gravação dos trafego de voz belo post.

    ASS: Santos

    0

    0
  3. Sérgio F.S

    Muito legal. Já implantei o SPAN em uma rede, justamente para gravação de chamadas IP (VoIP). É realmente bem simples de implantar.

    0

    0
  4. Roberto Paiva

    Excelente Matéria.. Esse é um recurso maravilhoso.
    Parabéns!!

    0

    0
  5. Daniel Gurgel

    Uma dúvida …

    “Se a origem do tráfego for uma VLAN, todas as portas associadas a esta VLAN serão monitoradas (terão seu tráfego espelhado). Conforme portas são associadas ou removidas à VLAN em monitoramento, estas são automaticamente incluídas ou excluídas do processo.”

    Isso diz respeito somente ao switch local? ou a todos os switches que tem aquela vlan? (todo o tráfego da vlan em todos os switches da rede que possuem ela espelharão o tráfego)… Sempre tive essa dúvida e nunca arranjei tempo para testar isso…

    0

    0
  6. Marco Filippetti

    Daniel, excelente pergunta! TODOS os participantes da VLAN em questão terão o tráfego espelhado se este tráfego chegar ao switch onde o SPAN estiver configurado.

    0

    0
  7. Edson

    Marco, excelente post obrigado.

    Essa é uma ferramenta muito útil e a configuração realmente é bastante simples.

    Tenho uma dúvida, você menciona:
    “Por default, SPAN monitora ambos os sentidos do tráfego”
    Percebi nos switches que posso inserir os parâmetros “tx”, “rx” e “both”
    Minha dúvida é que também posso suprimir esses parâmetros, nesse caso, eu não preciso inserir “both” e a sessão já irá capturar tanto “tx” como “rx” ?

    Outro ponto, no RSPAN, apenas umas dicas que me fizeram bater a cabeça.

    – Crie a VLAN que será usada para o RSPAN antes de criar as sessões
    – Crie a mesma VLAN em todos os switches ao longo do caminho da origem até o destino (sniffer)
    – Se criar através do VTP, lembre-se de inserir o parâmetro “remote-span”
    – Se houver controle de VLANs através dos troncos, lembre-se de permitir a VLAN do RSPAN
    – Não pode haver nenhuma porta de acesso associada com a VLAN do RSPAN

    Bom, parecem passos simples, mas perdi um bom tempo por causa disso 😉

    Interessados:
    http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/software/release/12.1_13_ea1/configuration/guide/swspan.html#wp1081130
    http://mccltd.net/blog/?p=15
    http://ericleahy.com/?p=695

    Obrigado Marco,

    Valeu 😉

    0

    0
  8. Marco Filippetti

    Exato Edson. O parâmetro “both” seria o default. E obrigado por postar dicas baseadas em sua experiência com o recurso!

    Marco.

    0

    0
  9. ecarli

    Olá Fillipetti,
    Existe também uma outra vertente do SPAN conhecido como ERSPAN (encapsulated SPAN), que nada mais é do que o trafego RSPAN encapsulado em túneis GRE. Isso é mais utilizado para propagar trafego em ambientes que exijam roteamento.

    Abçs
    Emerson

    0

    0
  10. Marco Filippetti

    Grande Emerson! Bem colocado, obrigado!

    Abraço

    Marco.

    0

    0
  11. Alexandre Avelar

    Recurso muito útil. Uso muito para “sniffar” a rede em troubleshooting. Já que não temos TCP/DUMP…

    0

    0

Deixe uma resposta