Um guia para espelhamento de porta em switches Cisco (SPAN)

O SPAN é o Switched Port Analyzer que está disponível em alguns Cisco Catalyst Switches. Você pode utilizar o SPAN em:

• Catalyst Express série 500/520
• Catalyst 1900 Series
• Catalyst 2900XL Series
• Catalyst 2940 Series
• Catalisador 2948G-L2, 2948G-GE-TX, 2980G-A
• Catalyst 2950 Series
• Catalyst 2955 Series
• Catalyst 2960 Series
• Catalyst 2970 Series
• Catalyst 3500 XL Series
• Catalyst 3550 Series
• Catalyst 3560 / 3560E / 3650X Series
• Catalyst 3750 / 3750E / 3750X Series
• Catalyst 3750 Metro Series
• Catalyst 4500/4000 Series
• Catalyst 4900 Series
• Catalyst 5500/5000 Series
• Catalyst 6500/6000 Series

Nota: O processo de configuração é diferente para cada modelo.

O que é SPAN?

O recurso SPAN permite conectar um sniffer de pacote a um switch. Sem o SPAN, o sniffer captaria apenas as mensagens de transmissão porque o switch fecha um circuito entre dois dispositivos de comunicação, bloqueando o sniffer conectado a uma porta diferente. Com SPAN, todo o tráfego que passa pela porta é replicado e enviado para a porta sniffer. Esse processo é conhecido como “espelhamento”.

O sistema SPAN é capaz de monitorar uma única porta ou várias portas. Também é possível identificar a direção do tráfego para essa porta. Uma variação no SPAN, chamada RSPAN (Remote Switch Port Analyzer), permite monitorar o tráfego entre os switches. A opção RSPAN não está disponível em todos os switches Catalyst – os switches Express 500/520, 5500/5000, 3500 XL, 2940, 2948G-L3 e 2900XL não possuem o recurso RSPAN.

Você pode configurar o SPAN para monitorar uma porta VLAN e também pode especificar que ele monitore todo o tráfego da VLAN. Um pouco de terminologia precisa ser explicada. Os termos “fonte“E”destino,”Comumente usados ​​em redes têm significados ligeiramente diferentes no SPAN. Aqui, a “fonte” é qualquer porta, não a origem do tráfego. O termo “destino” no SPAN refere-se à porta à qual o sniffer de pacotes está conectado; não significa o destino do tráfego monitorado.

Configure o SPAN no comutador

A Cisco recomenda métodos diferentes para configurar o espelhamento de porta com o SPAN de acordo com a versão do switch Catalyst. Essas etapas apenas desviarão cópias de pacotes de tráfego para a porta à qual você conectou seu dispositivo. A configuração do espelhamento de porta não armazena nem analisa o tráfego. Você pode usar qualquer software de análise de rede para processar os pacotes enviados ao seu dispositivo.

Configurar o SPAN nos comutadores IOS

Para esses modelos de switch, é necessário acessar o sistema operacional do dispositivo e emitir um comando para especificar a porta SPAN e a porta a ser monitorada. Esta tarefa é implementada por duas linhas de comandos. É preciso especifique a fonte, o que significa a porta que terá seu tráfego replicado e a outra fornece o número da porta à qual o sniffer está conectado – esta é a linha de destino.

monitorar fonte de sessão [interface | remoto | vlan] [rx | tx ambos]
monitorar a interface de destino da sessão

Depois de concluir a definição do espelho, você precisa pressionar CTRL-Z para finalizar a definição de configuração.

O número da sessão apenas permite criar vários monitores diferentes sendo executados simultaneamente. Se você usar o mesmo número de sessão em um comando subsequente, cancelará o rastreio original e o substituirá pela nova especificação. Os intervalos de portas são definidos por um traço (“-“) e uma sequência de portas é separada por vírgulas (“,”).

O último elemento na linha de comando da porta de origem (a porta a ser monitorada) é a especificação de se o switch deve replicar pacotes transmitidos a partir dessa porta, ou para aquela porta, ou ambos.

Configurar o SPAN nos comutadores CatOS

Os intervalos Catalyst mais recentes são fornecidos com um sistema operacional mais novo, chamado CatOS, em vez do sistema operacional IOS mais antigo. Os comandos usados ​​para configurar o espelhamento de SPAN nesses comutadores são um pouco diferentes. Com este sistema operacional, você cria espelhamento com apenas um comando em vez de dois.

definir extensão [rx | tx | both]
[entradas]
[Aprendendo ]
[multicast]
[filtro]
[crio]

As portas de origem são definidas pelo primeiro elemento nesse comando, que é a parte “src_mod / src_ports”. Um segundo identificador de porta no comando é lido automaticamente como a porta de destino – ou seja, a porta à qual o sniffer de pacotes está conectado. O “rx tx ambos“Diz ao switch para replicar os pacotes transmitidos do porto, ou para o porto, ou ambos.

Há também um comando set span para desativar o espelhamento:

defina a extensão do intervalo [dest_mod / dest_port | all]

Configurar o SPAN nos switches Catalyst Express 500 e Catalyst Express 520

Se você possui um switch Catalyst Express 500 ou Catalyst Express 520, não insere as configurações de SPAN no sistema operacional. Para se comunicar com o switch e alterar suas configurações, é necessário instalar o Assistente de rede Cisco (CNA) Este software de gerenciamento de rede é gratuito e é executado no ambiente Windows. Siga estas etapas para ativar o SPAN no comutador.

1. Efetue login no switch através da interface CNA.
2. Selecione os Smartports opção no CNA cardápio. Isso exibirá um gráfico representando a matriz de portas do switch.
3. Clique na porta à qual você deseja conectar o sniffer de pacotes e selecione o Modificar opção. Isso exibirá uma janela pop-up.
4. Selecione Diagnóstico no Função lista e selecione a porta que terá seu tráfego monitorado a partir do Fonte lista suspensa. Se você deseja monitorar especificamente uma VLAN, selecione-a no VLAN de entrada Lista. Se você não pretende apenas observar o tráfego de uma VLAN, deixe esse valor no padrão. Clique em Está bem para salvar as configurações.
5. Clique em Está bem e depois Aplique no Smartports tela.
6. Um problema com o método CNA é que o software é executado apenas nas versões do Windows até o Windows 7.

Monitorando o tráfego da rede

A definição da porta SPAN no seu switch é apenas metade da tarefa de capturar o tráfego de rede. Os procedimentos explicados acima receberão pacotes replicados e enviados para uma porta específica no comutador. Em seguida, você precisa conectar um computador a essa porta e colocar algum software de análise de tráfego para armazenar e analisar esses pacotes.

Você pode descobrir mais sobre o software de análise de tráfego no artigo 9 melhores sniffers de pacotes e analisadores de rede para 2023. Você também deve estar ciente de que o espelhamento de porta extensivo pode gerar muitos dados que ocupam espaço de armazenamento; portanto, tente ser seletivo sobre as portas que você monitora e não deixe o processo de captura de pacotes ser executado por muito tempo..

Sistemas de monitoramento de tráfego da Cisco

A captura e armazenamento completos de pacotes podem causar problemas com a confidencialidade dos dados. Embora a maior parte do tráfego que passa na sua rede seja criptografada, se for destinada a sites externos, nem todo o tráfego interno será criptografado. A menos que sua organização tenha decidido implementar segurança extra para e-mails, o tráfego de e-mails na sua rede não será criptografado por padrão.

Como uma técnica alternativa de análise de tráfego, você pode considerar o uso do NetFlow. Este é um sistema de mensagens habilitado em todos os dispositivos Cisco e encaminhará apenas os cabeçalhos dos pacotes para um monitor central. Você pode ler sobre os monitores de rede que coletam dados do NetFlow no artigo 10 Melhores Analisadores e Coletores NetFlow Gratuitos e Premium.

Depois de ter todas as informações na ponta dos dedos sobre todos os recursos de monitoramento de tráfego de seus comutadores Cisco, você estará em uma posição melhor para decidir qual método de captura de pacotes usar.