Switches : Switches Cisco Catalyst série 6500

Exemplo de Configuração do Catalyst Switched Port Analyzer (SPAN)

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (16 Julho 2007) | Feedback

Índice

Introdução
Pré-requisitos
      Catalyst Switches com Suporte a SPAN, RSPAN e ERSPAN
      Requisitos
      Componentes Utilizados
      Convenções
Informações de Apoio
      Descrição Resumida sobre o SPAN
      Terminologia do SPAN
      Características da Porta de Origem
      Características da VLAN de Origem
      Características da Porta de Destino
      Características da Porta Refletora
SPAN no Catalyst Express 500
SPAN nos Catalyst 2900XL/3500XL Switches
      Recursos Disponíveis e Restrições
      Exemplo de Configuração
SPAN no Catalyst 2948G-L3 e 4908G-L3
SPAN no Catalyst 8500
SPAN nos Catalyst 2900, 4500/4000, 5500/5000 e 6500/6000 Series Switches que Executam o CatOS
      SPAN Local
      SPAN Remoto
      Resumo sobre Recursos e Limitações
SPAN nos Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750 e 3750-E Series Switches
SPAN nos Catalyst 4500/4000 e Catalyst 6500/6000 Series Switches que Executam o Cisco IOS System Software
      Exemplo de Configuração
      Resumo sobre Recursos e Limitações
Impacto no Desempenho do SPAN em Diferentes Plataformas do Catalyst
      Catalyst 2900XL/3500XL Series
      Catalyst 4500/4000 Series
      Catalyst 5500/5000 e 6500/6000 Series
Perguntas Freqüentes e Problemas Comuns
      Problemas de Conectividade Devido a um Erro de Configuração do SPAN
      Porta de Destino de SPAN Ativada/Desativada
      Por que a Sessão de SPAN Cria um Loop de Bridging?
      O SPAN Afeta o Desempenho?
      O SPAN Pode Ser Configurado em uma Porta EtherChannel?
      Várias Sessões de SPAN Podem Ser Executadas ao Mesmo Tempo?
      Error "% Local Session Limit Has Been Exceeded"
      Não é Possível Excluir uma Sessão do SPAN no Módulo de Serviço VPN com o Erro "% Session [Session No:] Used by Service Module"
      Por que Não Consigo Capturar Pacotes Corrompidos com o SPAN?
      A Porta Refletora Descarta os Pacotes
      A Sessão de SPAN é Sempre Usada com um FWSM no Chassi do Catalyst 6500
      É Possível Ter uma Sessão de SPAN e uma Sessão de RSPAN com o Mesmo ID no Mesmo Switch?
      Uma Sessão de RSPAN Pode Funcionar em Diferentes Domínios VTP?
      Uma Sessão de RSPAN Pode Funcionar em uma WAN ou em Várias Redes?
      Pode Haver uma Sessão de Origem e de Destino de RSPAN no Mesmo Catalyst Switch?
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

O recurso Switched Port Analyzer (SPAN), também conhecido como espelhamento de portas ou monitoramento de portas, seleciona o tráfego de rede para análise através de um analisador de redes. O analisador de redes pode ser um dispositivo Cisco SwitchProbe ou outra prova de Remote Monitoring (RMON) Anteriormente, o SPAN era um recurso relativamente básico nos Cisco Catalyst Series Switches. No entanto, as versões mais recentes do Catalyst OS (CatOS) apresentaram ótimas melhorias e várias novas possibilidades que estão agora disponíveis para o usuário. Este documento não pretende ser uma alternativa ao guia de configuração do recurso SPAN. Na verdade, este documento é uma introdução aos recursos recentes do SPAN que foram implementados. Este documento responde às perguntas mais comuns sobre SPAN, tais como:

  • O que é o SPAN e como configurá-lo?

  • Quais são os diferentes recursos disponíveis (especialmente diversas sessões simultâneas de SPAN) e que nível de software é necessário para executá-los?

  • O SPAN afeta o desempenho de um switch?

Pré-requisitos

Catalyst Switches com Suporte a SPAN, RSPAN e ERSPAN

Catalyst Switches

Suporte a SPAN

Suporte a RSPAN

Suporte a ERSPAN

Catalyst Express 500 Series

Sim

Não

Não

Catalyst 6500/6000 Series

Sim

Sim

Sim

Supervisor 720 com PFC3B ou PFC3BXL que executa o Cisco IOS Software Release 12.2(18)SXE ou posterior.

Supervisor 720 com PFC3A que possui a versão 3.2 ou posterior de hardware e que executa o Cisco IOS Software Release 12.2(18)SXE ou posterior

Catalyst 5500/5000 Series

Sim

Não

Não

Catalyst 4900 Series

Sim

Sim

Não

Catalyst 4500/4000 Series (inclui 4912G)

Sim

Sim

Não

Catalyst 3750 Metro Series

Sim

Sim

Não

Catalyst 3750 / 3750E Series

Sim

Sim

Não

Catalyst 3560 / 3560E Series

Sim

Sim

Não

Catalyst 3550 Series

Sim

Sim

Não

Catalyst 3500 XL Series

Sim

Não

Não

Catalyst 2970 Series

Sim

Sim

Não

Catalyst 2960 Series

Sim

Sim

Não

Catalyst 2955 Series

Sim

Sim

Não

Catalyst 2950 Series

Sim

Sim

Não

Catalyst 2940 Series

Sim

Não

Não

Catalyst 2948G-L3

Sim

Sim

Não

Catalyst 2948G-L2, 2948G-GE-TX, 2980G-A

Sim

Sim

Não

Catalyst 2900XL Series

Sim

Não

Não

Catalyst 1900 Series

Sim

Não

Não

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento usa o CatOS 5.5 como uma referência para os Catalyst 4500/4000, 5500/5000 e 6500/6000 Series Switches. Nos Catalyst 2900XL/3500XL Series Switches, o Cisco IOS® Software Release 12.0(5)XU é utilizado. Embora este documento esteja atualizado para refletir as alterações no SPAN, consulte as release notes da documentação da plataforma do switch para obter informações sobre os desenvolvimentos mais recentes relacionados ao recurso SPAN.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Descrição Resumida sobre o SPAN

O que é SPAN e por que ele é necessário? O recurso SPAN foi introduzido em switches devido a uma diferença fundamental que eles possuem em relação aos hubs. Quando um hub recebe um pacote em uma porta, ele envia uma cópia desse pacote para todas as portas exceto para a porta de onde ele recebeu o pacote. Depois da reinicialização, o switch começa a criar uma tabela de encaminhamento de Camada 2 com base no endereço MAC de origem dos diferentes pacotes que recebeu. Após a criação dessa tabela de encaminhamento, o switch encaminha o tráfego destinado a um endereço MAC diretamente para a porta correspondente.

Por exemplo, se desejar capturar um tráfego Ethernet enviado do host A para o host B, e ambos estiverem conectados a um hub, conecte um sniffer a esse hub. Todas as outras portas enxergam o tráfego entre os hosts A e B:

41a.gif

Em um switch, após o aprendizado do endereço MAC do host B, o tráfego de unicast de A para B é encaminhado somente para a porta B. Portanto, o sniffer não enxerga esse tráfego:

41b.gif

Nesta configuração, o sniffer só captura o tráfego inundado para todas as portas, como:

  • Tráfego de broadcast

  • Tráfego de multicast com espionagem de CGMP ou de IGMP (Internet Group Management Protocol) desabilitada

  • Tráfego de unicast desconhecido

A inundação de unicast ocorre quando o switch não possui o MAC de destino em sua tabela de memória de conteúdo endereçável (CAM). O switch não sabe para onde enviar o tráfego. O switch inunda os pacotes em todas as portas na VLAN de destino.

É necessário um recurso adicional para copiar artificialmente pacotes unicast que o host A envia à porta do sniffer:

41c.gif

Neste diagrama, o sniffer está conectado a uma porta que está configurada para receber uma cópia de todos os pacotes que o host A enviar. Essa porta é chamada de porta de SPAN. As outras seções deste documento descrevem como esse recurso pode ser ajustado de forma precisa para fazer mais do que apenas monitorar uma porta.

Terminologia do SPAN

  • Tráfego de Entrada — O tráfego que entra no switch.

  • Tráfego de Saída — O tráfego que sai do switch.

  • Porta de Origem (SPAN) — Uma porta monitorada com o recurso SPAN.

  • VLAN de Origem (SPAN) — Uma VLAN cujo tráfego é monitorado com o recurso SPAN.

  • Porta de Destino (SPAN) — Uma porta que monitora as portas de origem, geralmente onde um analisador de redes está conectado.

  • Porta Refletora — Uma porta que copia pacotes para uma VLAN RSPAN.

  • Porta Monitora — Uma porta monitora também é uma porta de destino de SPAN na terminologia do Catalyst 2900XL/3500XL/2950.

41d.gif

  • SPAN Local — O recurso SPAN é local quando todas as portas monitoradas estão localizadas no mesmo switch que a porta de destino. Este recurso contrasta com o Remote SPAN (RSPAN), definido também nesta lista.

  • SPAN Remoto (RSPAN) — Algumas portas de origem não estão localizadas no mesmo switch que a porta de destino. O RSPAN é um recurso avançado que requer uma VLAN especial para transportar o tráfego sendo monitorado pelo SPAN entre os switches. Não há suporte para RSAPN em todos os switches. Verifique as release notes ou o guia de configuração para avaliar se você pode usar o RSPAN no switch que você implementou.

  • SPAN Baseado em Porta (PSPAN) — O usuário especifica uma ou várias portas de origem no switch e uma porta de destino.

  • SPAN Baseado em VLAN (VSPAN) — Em um switch específico, o usuário pode optar por monitorar todas as portas pertencentes a determinada VLAN em um único comando.

  • ESPAN — Significa uma versão avançada de SPAN. Esse termo foi usado várias vezes durante a evolução do SPAN para nomear recursos adicionais. Portanto, não é um termo muito claro. Seu uso é evitado neste documento.

  • Origem Administrativa — Uma lista de VLANs ou portas de origem que foram configuradas para serem monitoradas.

  • Origem Operacional — Uma lista de portas que estão efetivamente sendo monitoradas. Esta lista de portas pode ser diferente da origem administrativa. Por exemplo, uma porta que estiver no modo de desligamento pode aparecer na origem administrativa, mas não é efetivamente monitorada.

Características da Porta de Origem

Uma porta de origem, também conhecida como porta monitorada, consiste em uma porta comutada ou roteada cuja análise de tráfego de rede é monitorada. Em uma única sessão de SPAN local ou sessão de origem de RSPAN, você pode monitorar o tráfego de porta de origem, como o recebido (Rx), transmitido (Tx) ou bidirecional (ambos). O switch oferece suporte a qualquer quantidade de portas de origem (até o número máximo de portas disponíveis no switch) e qualquer quantidade de VLANs de origem.

Uma porta de origem possui estas características:

  • Ela pode ser uma porta de qualquer tipo, como EtherChannel, Fast Ethernet, Gigabit Ethernet, entre outros.

  • Ela pode ser monitorada em diversas sessões de SPAN.

  • Ela não pode ser uma porta de destino.

  • As portas de origem podem ser configuradas para monitorar um sentido (entrada, saída ou ambos). Para origens EtherChannel, o sentido monitorado se aplica a todas as portas físicas no grupo.

  • As portas de origem podem estar na mesma VLAN ou em VLANs diferentes.

  • Para origens de SPAN de VLAN, todas as portas ativas na VLAN de origem estão incluídas como portas de origem.

Filtragem de VLANs

Quando você monitora uma porta de tronco como uma porta de origem, todas as VLANs ativas no tronco são monitoradas por padrão. Você pode usar filtragem de VLAN para limitar o monitoramento de tráfego de VLAN nas portas de origem do tronco em VLANs específicas.

  • A filtragem de VLAN se aplica a portas de tronco ou a portas VLAN de voz.

  • A filtragem de VLAN se aplica apenas a sessões baseadas em portas e não é permitida em sessões com origens de VLAN.

  • Quando uma lista de filtragem de VLAN é especificada, apenas as VLANs na lista são monitoradas nas portas de tronco ou nas portas de acesso VLAN de voz.

  • O tráfego SPAN proveniente de outros tipos de porta não é afetado pela filtragem de VLAN, o que significa que todas as VLANs são permitidas em outras portas.

  • A filtragem de VLAN afeta apenas o tráfego encaminhado à porta de SPAN de destino e não afeta o switching do tráfego normal.

  • Não é possível misturar VLANs de origem e de filtragem em uma sessão. Você poderá ter VLANs de origem ou de filtragem, mas não as duas ao mesmo tempo.

Características da VLAN de Origem

O VSPAN é o monitoramento do tráfego de rede em uma ou mais VLANs. A interface de origem SPAN ou RSPAN no VSPAN é um ID de VLAN, e o tráfego é monitorado em todas as portas dessa VLAN.

O VPAN possui estas características:

  • Todas as portas ativas na VLAN de origem estão incluídas como portas de origem e podem ser monitoradas em uma ou ambas as direções.

  • Em uma porta específica, apenas o tráfego na VLAN monitorada é enviado à porta de destino.

  • Se uma porta de destino pertencer a uma VLAN de origem, ela é excluída da lista de origem e não é monitorada.

  • Se as portas forem adicionadas ou removidas de VLANs de origem, o tráfego na VLAN de origem recebido por essas portas é adicionado ou removido das origens monitoradas.

  • Você não pode usar VLANs de filtragem na mesma sessão com origens de VLAN.

  • Você pode monitorar apenas VLANs Ethernet.

Características da Porta de Destino

Cada sessão de SPAN local ou sessão de destino de RSPAN deve possuir uma porta de destino (também conhecida como porta de monitoramento) que recebe uma cópia do tráfego das VLANs e portas de origem.

Uma porta de destino possui estas características:

  • Uma porta de destino precisa residir no mesmo switch que a porta de origem (em uma sessão de SPAN local).

  • Uma porta de destino pode ser qualquer porta física Ethernet.

  • Uma porta de destino pode participar apenas de uma sessão de SPAN por vez. Uma porta de destino em uma sessão de SPAN não pode ser uma porta de destino para uma segunda sessão de SPAN.

  • Uma porta de destino não pode ser uma porta de origem.

  • Uma porta de destino não pode ser um grupo EtherChannel.

  • Uma porta de destino pode ser uma porta física atribuída a um grupo EtherChannel, mesmo se o grupo EtherChannel tiver sido especificado como uma origem de SPAN. A porta é removida do grupo enquanto é configurada como uma porta de destino SPAN.

  • A porta não transmite nenhum tráfego exceto o tráfego requerido pela sessão de SPAN, a menos que o aprendizado esteja habilitado. Se o aprendizado estiver habilitado, a porta também transmitirá o tráfego direcionado aos hosts que foram aprendidos na porta de destino.

  • O estado da porta de destino é up/down (ativada/desativada) de acordo com o design. A interface mostra a porta nesse estado para evidenciar que ela não está utilizável no momento como porta de produção.

  • Se o encaminhamento do tráfego de entrada estiver habilitado para um dispositivo de segurança de rede. A porta de destino encaminhará o tráfego na Camada 2.

  • Uma porta de destino não participará de uma árvore de abrangência enquanto a sessão de SPAN estiver ativa.

  • Quando for uma porta de destino, ela não participará de nenhum dos protocolos da Camada 2 (STP, VTP, CDP, DTP, PagP).

  • Uma porta de destino que pertence a uma VLAN de origem de qualquer sessão de SPAN é excluída da lista de origem e não é monitorada.

  • Uma porta de destino recebe cópias do tráfego enviado e recebido de todas as portas de origem monitoradas. Se uma porta de destino estiver com excesso de demanda, ela poderá ficar congestionada. Esse congestionamento pode afetar o encaminhamento de tráfego ou uma ou mais portas de origem.

Características da Porta Refletora

A porta refletora é o mecanismo que copia pacotes para uma VLAN RSPAN. A porta refletora encaminha somente o tráfego da sessão de origem de RSPAN à qual está associada. Qualquer dispositivo conectado a uma porta definida como refletora perderá a conectividade até que a sessão de origem de RSPAN seja desabilitada.

A porta refletora apresenta estas características:

  • É uma porta definida para loopback.

  • Ela não pode ser um grupo EtherChannel, não faz trunking e não pode fazer a filtragem de protocolo.

  • Ela pode ser uma porta física atribuída a um grupo EtherChannel, mesmo que esse grupo seja especificado como uma origem de SPAN. A porta será removida do grupo enquanto estiver configurada como uma porta refletora.

  • Uma porta usada como refletora não pode ser uma porta de origem ou de destino de SPAN, nem atuar como refletora durante mais de uma sessão por vez.

  • É invisível para todas as VLANs.

  • A VLAN nativa para o tráfego de loopback em uma porta refletora é a VLAN RSPAN.

  • A porta refletora faz loopback do tráfego não rotulado para o switch. O tráfego é então colocado na VLAN RSPAN e inunda todas as portas do tronco que transportam a VLAN RSPAN.

  • A árvore de abrangência é automaticamente desabilitada na porta refletora.

  • A porta refletora recebe cópias do tráfego enviado e recebido de todas as portas de origem monitoradas.

SPAN no Catalyst Express 500

O Catalyst Express 500 oferece suporte apenas ao recurso SPAN. As portas do Catalyst Express 500 podem ser configuradas apenas para SPAN usando o Cisco Network Assistant (CNA). Execute estes passos para configurar o SPAN:

  1. Faça o download e instale o CNA no PC.

    Você pode fazer download do CNA na página Fazer Download do Software.

  2. Execute os passos fornecidos no Guia de Introdução dos Catalyst Express 500 Switches para personalizar as definições do switch.

  3. Use o CNA para fazer login no switch e clique em Smartport.

    41x.gif

  4. Clique em qualquer interface onde planeje conectar o PC para capturar os rastreamentos do sniffer.

  5. Clique em Modify.

    Uma pequena caixa pop-up será exibida.

  6. Escolha a função Diagnostics para a porta.

  7. Escolha a porta de origem e selecione a VLAN que você planeja monitorar.

    Caso não selecione nenhuma, a porta só receberá tráfego. A VLAN de entrada permite que o PC conectado à porta Diagnostics envie pacotes para a rede que está usando esta VLAN.

    41y.gif

  8. Clique em OK para fechar a caixa pop-up.

  9. Clique em OK e, em seguida, em Apply para aplicar as definições.

  10. Você poderá usar qualquer software sniffer para rastrear o tráfego quando configurar a porta de diagnóstico.

SPAN nos Catalyst 2900XL/3500XL Switches

Recursos Disponíveis e Restrições

O recurso de monitoramento de porta não é muito abrangente no Catalyst 2900XL/3500XL. Portanto, ele é relativamente fácil de entender.

Você pode criar quantas sessões PSPAN locais forem necessárias. Por exemplo, você pode criar sessões de PSPAN na porta de configuração escolhida para ser a porta de SPAN. Nesse caso, execute o comando port monitor interface para listar as portas de origem que você deseja monitorar. Na verdade, uma porta monitora é uma porta de SPAN de destino na terminologia do Catalyst 2900XL/3500XL.

  • A principal restrição é que todas as portas que se relacionam com uma sessão em particular (seja ela de origem ou destino) devem pertencer à mesma VLAN.

  • Se você configurar a interface de VLAN com um endereço IP, o comando port monitor monitorará o tráfego destinado somente a esse endereço IP. Ele também monitorará o tráfego de broadcast recebido pela interface de VLAN. No entanto, ele não capturará o tráfego transmitido na própria VLAN. Se você não especificar uma interface no comando port monitor, todas as outras portas que pertencerem à mesma VLAN que a interface serão monitoradas.

Esta lista fornece algumas restrições. Consulte Comandos do Cisco IOS (Catalyst 2900XL/3500XL) para obter mais informações.

Nota: As portas ATM são as únicas que não podem ser monitoras. Entretanto, é possível monitorar as portas ATM. As restrições nesta lista se aplicam às portas que possuem o recurso de porta monitora.

  • Uma porta monitora não pode estar em um grupo de portas Fast EtherChannel ou Gigabit EtheChanell.

  • Uma porta monitora não pode ser habilitada para segurança de porta.

  • Uma porta monitora não pode ser uma porta de multiVLAN.

  • Uma porta monitora deve ser membro da mesma VLAN que a porta monitorada. As alterações em associações de VLAN não são permitidas em portas monitoras e em portas sendo monitoradas.

  • Uma porta monitora não pode ser uma porta de acesso dinâmico nem uma porta de troncos. No entanto, uma porta de acesso estático pode monitorar uma VLAN em um tronco, uma multiVLAN ou uma porta de acesso dinâmico. A VLAN monitorada é aquela associada à porta de acesso estático.

  • O monitoramento de porta não funcionará se tanto a porta monitora quanto a porta monitorada estiverem protegidas.

Consulte a seção Gerenciando Conflitos de Configuração de Gerenciando Switches (Catalyst 2900XL/3500XL) para obter mais informações sobre conflitos de recursos.

Certifique-se de que uma porta no estado de monitoração não execute o Spanning Tree Protocol (STP) enquanto ela pertencer à VLAN das portas que ela espelha. A porta monitora pode fazer parte de um loop se, por exemplo, você conectá-lo a um hub ou a uma bridge e executar um loop para outra parte da rede. Nesse caso, você poderá acabar com uma condição de loop de bridging catastrófica porque o STP não o protege mais. Consulte a seção Por que a Sessão de SPAN Cria um Loop de Bridging? deste documento para ver um exemplo de como essa condição pode ocorrer.

Exemplo de Configuração

Este exemplo cria duas sessões de SPAN simultâneas.

  • A porta Fast Ethernet 0/1 (Fa0/1) monitora o tráfego que as portas Fa0/2 e Fa0/5 enviam e recebem. A porta Fa0/1 também monitora o tráfego de entrada e saída da interface de gerenciamento VLAN 1.

  • A porta Fa0/4 monitora as portas Fa0/3 e Fa0/6.

As portas Fa0/3, Fa0/4 e Fa0/6 estão todas configuradas na VLAN 2. As outras portas e a interface de gerenciamento estão configuradas na VLAN 1 padrão.

Diagrama de Rede

41e.gif

Exemplo de Configuração do Catalyst 2900XL/3500XL

Configuração de exemplo de SPAN no 2900XL/3500XL


!--- Saída suprimida.

!
interface FastEthernet0/1
port monitor FastEthernet0/2
 port monitor FastEthernet0/5
 port monitor VLAN1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
switchport access vlan 2
!
interface FastEthernet0/4
 port monitor FastEthernet0/3
 port monitor FastEthernet0/6
 switchport access vlan 2
!
interface FastEthernet0/5
!
interface FastEthernet0/6
 switchport access vlan 2
!

!--- Saída suprimida.

!
interface VLAN1
 ip address 10.200.8.136 255.255.252.0
 no ip directed-broadcast
 no ip route-cache
!

!--- Saída suprimida.

Explicação sobre os Passos da Configuração

Para configurar a porta Fa0/1 como um porta de destino, as portas de origem Fa0/2 e Fa0/5 e a interface de gerenciamento (VLAN 1), selecione a interface Fa0/1 no modo de configuração:

Switch(config)#interface fastethernet 0/1

Insira a lista de portas a serem monitoradas:

Switch(config-if)#port monitor fastethernet 0/2
Switch(config-if)#port monitor fastethernet 0/5

Com esse comando, todos os pacotes que essas duas portas receberem ou transmitirem também serão copiados para a porta Fa0/1. Execute uma variação do comando port monitor para configurar o monitoramento da interface administrativa:

Switch(config-if)#port monitor vlan 1

Nota: Esse comando não indica que a porta Fa0/1 monitora a VLAN 1 inteira. A palavra-chave vlan 1 simplesmente refere-se à interface administrativa do switch.

Este comando de exemplo ilustra que o monitor de uma porta em uma VLAN diferente é impossível:

Switch(config-if)#port monitor fastethernet 0/3
FastEthernet0/1 and FastEthernet0/3 are in different vlan

Para concluir a configuração, configure outra sessão. Nesse momento, use Fa0/4 como a porta de SPAN de destino:

Switch(config-if)#interface fastethernet 0/4
Switch(config-if)#port monitor fastethernet 0/3
Switch(config-if)#port monitor fastethernet 0/6
Switch(config-if)#^Z

Execute um comando show running ou use o comando show port monitor para verificar a configuração:

Switch#show port monitor
Monitor Port Port Being Monitored
--------------------- ---------------------
FastEthernet0/1 VLAN1
FastEthernet0/1 FastEthernet0/2
FastEthernet0/1 FastEthernet0/5
FastEthernet0/4 FastEthernet0/3
FastEthernet0/4 FastEthernet0/6

Nota: Os Catalyst 2900XL e 3500XL Switches não oferecem suporte a SPAN somente no sentido de Rx (SPAN de Rx ou SPAN de entrada) nem somente no sentido de Tx (SPAN de Tx ou SPAN de saída). Todas as portas de SPAN são projetadas para capturar tanto o tráfego Rx quanto Tx.

SPAN no Catalyst 2948G-L3 e 4908G-L3

O Catalyst 2948G-L3 e o Catalyst 4908G-L3 são roteadores de switch de configuração fixa ou switches da Camada 3. O recurso SPAN em um switch da Camada 3 é denominado espionagem de porta. No entanto, não há suporte à espionagem de porta nesses switches. Consulte a seção Recursos sem Suporte do documento Release Notes do Catalyst 2948G-L3 e do Catalyst 4908G-L3 para o Cisco IOS Release 12.0(10)W5(18g).

SPAN no Catalyst 8500

Um recurso de SPAN bastante básico está disponível no Catalyst 8540 com o nome de espionagem de porta. Consulte a documentação atual do Catalyst 8540 para obter mais informações:

Este é um trecho extraído da Referência de Comandos: "A espionagem de porta permite que você espelhe o tráfego de forma transparente de uma ou mais portas para uma porta de destino."

Execute o comando snoop para configurar o espelhamento de tráfego baseado em portas, ou espionagem. Excute a forma no desse comando para desabilitar a espionagem:

snoop interface source_port direction snoop_direction


no snoop interface source_port

A variável porta_de_origem refere-se à porta monitorada. A variável sentido_da_espionagem indica o sentido do tráfego na(s) porta(s) de origem monitorada(s): receive, transmit ou both.

8500CSR#configure terminal
8500CSR(config)#interface fastethernet 12/0/15
8500CSR(config-if)#shutdown
8500CSR(config-if)#snoop interface fastethernet 0/0/1 direction both
8500CSR(config-if)#no shutdown

Este exemplo mostra a saída do comando show snoop:

8500CSR#show snoop
Snoop Test Port Name: FastEthernet1/0/4 (interface status=SNOOPING)
Snoop option:         (configured=enabled)(actual=enabled)
Snoop direction:      (configured=receive)(actual=receive)
Monitored Port Name:
(configured=FastEthernet1/0/3)(actual=FastEthernet1/0/3)

Nota: Não haverá suporte a esse comando nas portas Ethernet de um Catalyst 8540 se você executar a imagem de um roteador de switch ATM multiserviço (MSR), como a 8540m-in-mz. Em vez disso, use uma imagem de roteador de switch de campus (CSR), como a 8540c-in-mz. Ao executar uma imagem MSR, só haverá suporte à espionagem em interfaces ATM se você executar estes comandos:

SPAN nos Catalyst 2900, 4500/4000, 5500/5000 e 6500/6000 Series Switches que Executam o CatOS

Nota: Esta seção aplica-se somente a estes Cisco Catalyst 2900 Series Switches:

  • Cisco Catalyst 2948G-L2 Switch

  • Cisco Catalyst 2948G-GE-TX Switch

  • Cisco Catalyst 2980G-A Switch

Nota: Esta seção aplica-se aos Cisco Catalyst 4000 Series Switches, que incluem:

  • Switches de chassi modular:

    • Cisco Catalyst 4003 Switch

    • Cisco Catalyst 4006 Switch

  • Switch de chassi fixo:

    • Cisco Catalyst 4912G Switch

SPAN local

Os recursos de SPAN foram adicionados um a um ao CatOS, e uma configuração de SPAN consiste em um único comando set span. Existe agora uma ampla gama de opções disponíveis para o comando:

switch (enable) set span
Usage: set span disable [dest_mod/dest_port|all]
       set span <src_mod/src_ports...|src_vlans...|sc0>
               <dest_mod/dest_port> [rx|tx|both]
               [inpkts <enable|disable>]
               [learning <enable|disable>]
               [multicast <enable|disable>]
               [filter <vlans...>]
               [create]

Este diagrama de rede apresenta as diferentes possibilidades de SPAN com o uso de variações:

41f.gif

Este diagrama representa parte de uma única placa de linha localizada no slot 6 de um Catalyst 6500/6000 Switch. Neste cenário:

  • As portas 6/1 e 6/2 pertencem à VLAN 1

  • A porta 6/3 pertence à VLAN 2

  • As portas 6/4 e 6/5 pertencem à VLAN 3

Conecte um sniffer à porta 6/2 e use-o como porta monitora em vários casos diferentes.

PSPAN, VSPAN: Monitorar Algumas Portas ou uma VLAN Inteira

Execute a forma mais simples do comando set span para monitorar uma única porta. A sintaxe é set span porta_de_origem porta_de_destino.

Monitorar uma Porta Única com o SPAN

41g.gif

switch (enable) set span 6/1 6/2

Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active
switch (enable) 2000 Sep 05 07:04:14 %SYS-5-SPAN_CFGSTATECHG:local span
session active for destination port 6/2

Com esta configuração, todos os pacotes recebidos ou enviados pela porta 6/1 são copiados na porta 6/2. Uma descrição clara disso aparecerá quando você digitar a configuração. Execute o comando show span para receber um resumo da configuração atual de SPAN:

switch (enable) show span
Destination : Port 6/2
Admin Source : Port 6/1
Oper Source : Port 6/1
Direction : transmit/receive
Incoming Packets: disabled
Learning : enabled
Multicast : enabled
Filter : -
Status : active

Total local span sessions: 1

Monitorar Várias Portas com o SPAN

41h.gif

O comando set span portas_de_origem porta_de destino permite que o usuário especifique mais de uma porta de origem. Apenas liste todas as portas nas quais deseja implementar o SPAN, separadas por vírgulas. O interpretador de linha de comandos também permite que você use o hífen para especificar um intervalo de portas. Este exemplo ilustra essa capacidade para especificar mais de uma porta. O exemplo usa o SPAN na porta 6/1 e um intervalo de três portas, da 6/3 à 6/5:

Nota: Pode haver somente uma porta de destino. Sempre especifique a porta de destino após a origem do SPAN.

switch (enable) set span 6/1,6/3-5 6/2

2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
      for destination port 6/2
      Destination : Port 6/2
      Admin Source : Port 6/1,6/3-5
      Oper Source : Port 6/1,6/3-5
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : -
      Status : active
      switch (enable) 2000 Sep 05 07:17:36 %SYS-5-SPAN_CFGSTATECHG:local span
      session active for destination port 6/2

Nota: Diferentemente dos Catalyst 2900XL/3500XL Switches, os Catalyst 4500/4000, 5500/5000 e 6500/6000 Switches podem monitorar portas pertencentes a várias VLANs diferentes com versões do CatOs anteriores à 5.1. Aqui, as portas espelhadas são atribuídas às VLANs 1, 2 e 3.

Monitorar VLANs com o SPAN

Eventualmente, o comando set span permite que você configure uma porta para monitorar o tráfego local em uma VLAN inteira. O comando é set span vlan(s)_de_origem porta_de_destino.

Use uma lista de uma ou mais VLANs como origem, em vez de uma lista de portas:

41i.gif

switch (enable) set span 2,3 6/2
          2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
          for destination port 6/2
          Destination : Port 6/2
          Admin Source : VLAN 2-3
          Oper Source : Port 6/3-5,15/1
          Direction : transmit/receive
          Incoming Packets: disabled
          Learning : enabled
          Multicast : enabled
          Filter : -
          Status : active
          switch (enable) 2000 Sep 05 07:40:10 %SYS-5-SPAN_CFGSTATECHG:local span
          session active for destination port 6/2

Com esta configuração, todos os pacotes que chegarem ou deixarem a VLAN 2 ou 3 serão duplicados na porta 6/2.

Nota: O resultado é exatamente o mesmo obtido se você implementar o SPAN individualmente em todas as portas pertencentes às VLANs especificadas no comando. Compare os campos Oper Source e Admin Source. O campo Admin Source lista basicamente todas as portas configuradas para a sessão de SPAN, e o campo Oper Source lista as portas que usam SPAN.

SPAN de Entrada/Saída

No exemplo fornecido na seção Monitorar VLANs com o SPAN, o tráfego que entra e sai das portas especificadas é monitorado. O campo Direction: transmit/receive mostra isso. Os Catalyst 4500/4000, 5500/5000 e 6500/6000 Series Switches permitem que você colete apenas o tráfego de saída ou de entrada em uma porta específica. Adicione a palavra-chave rx (receber) ou tx (transmitir) ao final do comando. O valor padrão é both (tx e rx).

set span source_port destination_port [rx | tx | both]

Neste exemplo, a sessão captura todo o tráfego de entrada nas VLANs 1 e 3 e espelha o tráfego para a porta 6/2:

41j.gif

switch (enable) set span 1,3 6/2 rx
          2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local span session
          inactive for destination port 6/2
          Destination : Port 6/2
          Admin Source : VLAN 1,3
          Oper Source : Port 1/1,6/1,6/4-5,15/1
          Direction : receive
          Incoming Packets: disabled
          Learning : enabled
          Multicast : enabled
          Filter : -
          Status : active
          switch (enable) 2000 Sep 05 08:09:06 %SYS-5-SPAN_CFGSTATECHG:local span
          session active for destination port 6/2

Implementar SPAN em um Tronco

Os troncos são um caso especial no switch, pois eles são portas que carregam várias VLANs. Se um tronco for selecionado como uma porta de origem, o tráfego de todas as VLANs nesse tronco será monitorado.

Monitorar um Subconjunto de VLANs Pertencentes a um Tronco

Neste diagrama, a porta 6/5 é agora um tronco com todas as VLANs. Imagine que você deseje usar o SPAN no tráfego na VLAN 2 para as portas 6/4 e 6/5. Basta executar este comando:

switch (enable) set span 6/4-5 6/2

41k.gif

Neste caso, o tráfego recebido na porta de SPAN é uma mistura do tráfego que você deseja e de todas as VLANs que passam pelo tronco 6/5. Por exemplo, não há como distinguir na porta de destino se um pacote veio da porta 6/4 na VLAN 2 ou da porta 6/5 na VLAN 1. Outra possibilidade seria usar o SPAN na VLAN 2 inteira:

switch (enable) set span 2 6/2

41l.gif

Com essa configuração, pelo menos, você monitora apenas o tráfego que pertence à VLAN 2 do tronco. O problema é que agora você também recebe o tráfego indesejado da porta 6/3. O CatOS inclui outra palavra-chave que permite que você selecione algumas VLANs a serem monitoradas a partir de um tronco:

switch (enable) set span 6/4-5 6/2 filter 2
      2000 Sep 06 02:31:51 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
      for destination port 6/2
      Destination : Port 6/2
      Admin Source : Port 6/4-5
      Oper Source : Port 6/4-5
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : 2
      Status : active

41m.gif

Esse comando atinge o objetivo porque você seleciona apenas a VLAN 2 em todos os troncos monitorados. Você pode especificar várias VLANs com esta opção de filtro.

Nota: Só há suporte a essa opção de filtro nos Catalyst 4500/4000 e Catalyst 6500/6000 Switches. O Catalyst 5500/5000 não oferece suporte à opção de filtro disponível com o comando set span.

Trunking da Porta de Destino

Se houver portas de origem pertencentes a várias VLANs diferentes, ou se você usar o SPAN em várias VLANs em uma porta de tronco, convém identificar à qual VLAN pertence um pacote recebido na porta de SPAN de destino. Essa identificação será possível se você habilitar o trunking na porta de destino antes de configurar a porta para SPAN. Desse modo, todos os pacotes encaminhados para o sniffer também serão marcados com seus respectivos IDs de VLAN.

Nota: O seu sniffer precisa reconhecer o encapsulamento correspondente.

switch (enable) set span disable 6/2
      This command will disable your span session.
      Do you want to continue (y/n) [n]?y
      Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/4-5
      2000 Sep 06 02:52:22 %SYS-5-SPAN_CFGSTATECHG:local span session
      inactive for destination port 6/2
      switch (enable) set trunk 6/2 nonegotiate isl

      Port(s) 6/2 trunk mode set to nonegotiate.
      Port(s) 6/2 trunk type set to isl.
      switch (enable) 2000 Sep 06 02:52:33 %DTP-5-TRUNKPORTON:Port 6/2 has become
       isl trunk
      switch (enable) set span 6/4-5 6/2
      Destination : Port 6/2
      Admin Source : Port 6/4-5
      Oper Source : Port 6/4-5
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : -
      Status : active
      2000 Sep 06 02:53:23 %SYS-5-SPAN_CFGSTATECHG:local span session active for
      destination port 6/2

Criar Várias Sessões Simultâneas

Até o momento, somente uma única sessão de SPAN foi criada. Toda vez que você executa um novo comando set span, a configuração anterior é invalidada. O CatOS agora possui a capacidade de executar diversas sessões simultaneamente para que possa ter várias portas de destino diferentes ao mesmo tempo. Execute o comando set span origem destino create para adicionar outra sessão de SPAN. Nessa sessão a porta 6/1 para a 6/2 é monitorada e, ao mesmo tempo, a VLAN 3 para a porta 6/3 também é monitorada:

41n.gif

switch (enable) set span 6/1 6/2
      2000 Sep 05 08:49:04 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
      for destination port 6/2
      Destination : Port 6/2
      Admin Source : Port 6/1
      Oper Source : Port 6/1
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : -
      Status : active
      switch (enable) 2000 Sep 05 08:49:05 %SYS-5-SPAN_CFGSTATECHG:local span
      session active for destination port 6/2
      switch (enable) set span 3 6/3 create
      Destination : Port 6/3
      Admin Source : VLAN 3
      Oper Source : Port 6/4-5,15/1
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : -
      Status : active
      switch (enable) 2000 Sep 05 08:55:38 %SYS-5-SPAN_CFGSTATECHG:local span
      session active for destination port 6/3

Agora, execute o comandoshow span para determinar se você possui duas sessões ao mesmo tempo:

switch (enable) show span
      Destination : Port 6/2
      Admin Source : Port 6/1
      Oper Source : Port 6/1
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : -
      Status : active
      ------------------------------------------------------------------------
      Destination : Port 6/3
      Admin Source : VLAN 3
      Oper Source : Port 6/4-5,15/1
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : -
      Status : active
      Total local span sessions: 2

Sessões adicionais são criadas. Você precisa de um modo para excluir algumas sessões. O comando é:

set span disable {all | destination_port}

Como só pode haver uma porta de destino por sessão, essa porta de destino identifica uma sessão. Exclua a primeira sessão criada, que é aquela que usa a porta 6/2 como destino:

switch (enable) set span disable 6/2
      This command will disable your span session.
      Do you want to continue (y/n) [n]?y
      Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/1
      2000 Sep 05 09:04:33 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
      for destination port 6/2

Agora você verificar marcar que resta uma sessão somente:

switch (enable) show span
      Destination : Port 6/3
      Admin Source : VLAN 3
      Oper Source : Port 6/4-5,15/1
      Direction : transmit/receive
      Incoming Packets: disabled
      Learning : enabled
      Multicast : enabled
      Filter : -
      Status : active

    Total local span sessions: 1

Execute este comando para desabilitar todas as sessões atuais em um único passo:

switch (enable) set span disable all
      This command will disable all span session(s).
      Do you want to continue (y/n) [n]?y
      Disabled all local span sessions
      2000 Sep 05 09:07:07 %SYS-5-SPAN_CFGSTATECHG:local span session inactive
      for destination port 6/3

    switch (enable) show span
      No span session configured

Outras Opções de SPAN

A sintaxe do comando set span é:

switch (enable) set span
Usage: set span disable [dest_mod/dest_port|all]
      set span <src_mod/src_ports...|src_vlans...|sc0>
               <dest_mod/dest_port> [rx|tx|both]
               [inpkts <enable|disable>]
               [learning <enable|disable>]
               [multicast <enable|disable>]
               [filter <vlans...>]
               [create]

Esta seção apresenta resumidamente as opções discutidas neste documento:

  • sc0 — Especifique a palavra-chave sc0 em uma configuração de SPAN quando precisar monitorar o tráfego para a interface de gerenciamento sc0. Esse recurso está disponível nos Catalyst 5500/5000 e 6500/6000 Switches, versão de código CatOS 5.1 ou posterior.

  • inpkts enable/disable — Esta opção é extremamente importante. Como informado neste documento, a porta que você configurar como sendo o destino do SPAN ainda pertencerá à sua VLAN original. Os pacotes recebidos em uma porta de destino entram na VLAN como se essa porta fosse uma porta de acesso normal. Este seria o comportamento desejado. Se você usar um PC com sniffer, convém que esse PC esteja inteiramente conectado à VLAN. No entanto, a conexão pode ser perigosa se você conectar a porta de destino a outro equipamento de rede que crie um loop na rede. A porta de SPAN de destino não roda o STP, e você pode acabar em uma situação de loop de bridging perigosa. Consulte a seção Por que a Sessão de SPAN Cria um Loop de Bridging? deste documento para compreender como essa situação pode ocorrer. A definição padrão desta opção é desabilitada, o que significa que a porta de SPAN de destino descartará os pacotes que a porta receber. Esse descarte protege a porta contra loops de bridging. Essa opção está disponível no CatOS 4.2.

  • learning enable/disable — Esta opção permite desabilitar o aprendizado na porta de destino. Por padrão, o aprendizado está habilitado e a porta de destino aprende os endereços MAC dos pacotes de entrada que ela recebe. Este recurso está disponível no CatOS 5.2 no Catalyst 4500/4000 e 5500/5000, e no CatOS 5.3 no Catalyst 6500/6000.

  • multicast enable/disable — Como o nome sugere, esta opção permite habilitar ou desabilitar o monitoramento de pacotes multicast. O padrão é habilitada. Este recurso está disponível no Catalyst 5500/5000 e 6500/6000, CatOS 5.1 e posterior.

  • spanning port 15/1 — No Catalyst 6500/6000, você pode usar a porta 15/1 (ou a 16/1) como a origem de SPAN. A porta pode monitorar o tráfego encaminhado para a Multilayer Switch Feature Card (MSFC). A porta captura o tráfego roteado por software ou direcionado para a MSFC.

SPAN remoto

Visão Geral do RSPAN

O RSPAN permite monitorar portas de origem dispersas em uma rede comutada, não apenas localmente em um switch com SPAN. Este recurso esta incluído no CatOS 5.3 nos Catalyst 6500/6000 Series Switches e é adicionado aos Catalyst 4500/4000 Series Switches no CatOS 6.3 e posterior.

O recurso funciona exatamente como uma sessão de SPAN normal. O tráfego monitorado pelo SPAN não é diretamente copiado para a porta de destino, mas sim inundado em uma VLAN RSPAN especial. A porta de destino pode estar localizada em qualquer local nesta VLAN RSPAN. Pode até mesmo haver várias portas de destino.

Esse diagrama ilustra a estrutura de uma sessão de RSPAN:

41o.gif

Neste exemplo, você configura o RSPAN para monitorar o tráfego enviado pelo host A. Quando A gera um frame destinado a B, o pacote é copiado por um circuito integrado específico de aplicativo (ASIC) da Policy Feature Card (PFC) do Catalyst 6500/6000 em uma VLAN RSPAN predefinida. Dela, o pacote é inundado para outras portas que pertencem à VLAN RSPAN. Todos os links entre switches ilustrados aqui são troncos, o que é um requisito para o RSPAN. As únicas portas de acesso são as portas de destino, onde os sniffers estão conectados (aqui, em S4 e S5).

Estas são algumas observações sobre esse design:

  • S1 é chamado de switch de origem. Os pacotes somente entram em VLAN RSPAN em switches configurados como origem de RSPAN. Atualmente, um switch pode apenas ser a origem para uma sessão de RSPAN, ou seja, um switch de origem pode somente alimentar uma VLAN RSPAN por vez.

  • S2 e S3 são switches intermediários. Eles não são origens de RSPAN e não possuem portas de destino. Um switch pode ser intermediário para qualquer número de sessões de RSPAN.

  • S4 e S5 são switches de destino. Algumas de suas portas estão configuradas como destino para uma sessão de RSPAN. Atualmente, um Catalyst 6500/6000 pode ter até 24 portas de destino de RSPAN, para uma ou várias sessões diferentes. Você também pode observar que S4 é um switch intermediário e de destino.

  • Você pode ver que os pacotes de RSPAN são inundados na VLAN RSPAN. Mesmo switches que não estão no caminho para uma porta de destino, como o S2, recebem o tráfego para a VLAN RSPAN. Pode ser útil remover essa VLAN nesses links S1-S2.

  • Para atingir a inundação, o aprendizado é desabilitado na VLAN RSPAN.

  • Para evitar loops, o STP foi mantido na VLAN RSPAN. Sendo assim, o RSPAN não pode monitorar as Bridge Protocol Data Units (BPDUs).

Exemplo de Configuração do RSPAN

As informações nesta sessão ilustram a configuração desses elementos diferentes com um design de RSPAN muito simples. S1 e S2 são dois Catalyst 6500/6000 Switches. Para monitorar algumas portas S1 nas VLANs do S2, é necessário configurar uma VLAN RSPAN dedicada. O resto dos comandos possuem uma sintaxe semelhante aos que você usa em uma sessão de SPAN típica.

41p.gif

Configuração do Tronco ISL entre os Dois Switches S1 e S2

Para começar, defina o mesmo domínio do VLAN Trunk Protocol (VTP) em cada switch e configure um lado com trunking desejado. A negociação VTP fará o resto. Execute este comando em S1:

S1> (enable) set vtp domain cisco
      VTP domain cisco modified

Execute estes comandos em S2:

S2> (enable) set vtp domain cisco
      VTP domain cisco modified
      S2> (enable) set trunk 5/1 desirable
      Port(s) 5/1 trunk mode set to desirable.
      S2> (enable) 2000 Sep 12 04:32:44 %PAGP-5-PORTFROMSTP:Port 5/1 left bridge
      port 5/1
      2000 Sep 12 04:32:47 %DTP-5-TRUNKPORTON:Port 5/1 has become isl trunk

Criação da VLAN RSPAN

Uma sessão de RSPAN precisa de uma VLAN RSPAN. Você deve criar essa VLAN. Você não pode converter uma VLAN existente em uma VLAN RSPAN. Este exemplo usa a VLAN 100:

S2> (enable) set vlan 100 rspan
      Vlan 100 configuration successful

Execute este comando em um switch que esteja configurado como servidor VTP. O conhecimento de RSPAN VLAN 100 será propagado automaticamente em todo o domínio VTP.

Configuração da Porta 5/2 em S2 como uma Porta de Destino de RSPAN

S2> (enable) set rspan destination 5/2 100
      Rspan Type : Destination
      Destination : Port 5/2
      Rspan Vlan : 100
      Admin Source : -
      Oper Source : -
      Direction : -
      Incoming Packets: disabled
      Learning : enabled
      Multicast : -
      Filter : -
      Status : active
      2000 Sep 12 04:34:47 %SYS-5-SPAN_CFGSTATECHG:remote span destination session
      active for destination port 5/2

Configuração de uma Porta de Origem de RSPAN em S1

Nesse exemplo, o tráfego de entrada recebido em S1 pela porta 6/2 é monitorado. Execute este comando:

S1> (enable) set rspan source 6/2 100 rx
      Rspan Type : Source
      Destination : -
      Rspan Vlan : 100
      Admin Source : Port 6/2
      Oper Source : Port 6/2
      Direction : receive
      Incoming Packets: -
      Learning : -
      Multicast : enabled
      Filter : -
      Status : active
      S1> (enable) 2000 Sep 12 05:40:37 %SYS-5-SPAN_CFGSTATECHG:remote span
      source session active for remote span vlan 100

Todos os pacotes de entrada na porta 6/2 estão agora inundados na RSPAN VLAN 100 e atingem a porta de destino que está configurada em S1 através do tronco.

Verificar a Configuração

O comando show rspan fornece um resumo da configuração atual de RSPAN no switch. Mais uma vez, só pode haver uma sessão de RSPAN de origem por vez.

S1> (enable) show rspan
    Rspan Type : Source
    Destination : -
    Rspan Vlan : 100
    Admin Source : Port 6/2
    Oper Source : Port 6/2
    Direction : receive
    Incoming Packets: -
    Learning : -
    Multicast : enabled
    Filter : -
    Status : active
    Total remote span sessions: 1

Outras Configurações Possíveis com o Comando set rspan

Consulte set rspan para obter uma lista completa das opções do comando set rspan. Você utiliza várias linhas de comando para configurar a origem e o destino com o RSPAN. Exceto por essa diferença, o SPAN e o RSPAN de fato se comportam da mesma maneira. Você pode até mesmo usar o RSPAN localmente, em um único switch, caso deseje possuir diversas portas de SPAN de destino.

Consulte a seção Diretrizes de Configuração do RSPAN de Configurando o SPAN e o RSPAN para obter uma lista de restrições que se aplicam à configuração de RSPAN.

Resumo de Recursos e Limitações

Esta tabela resume os diferentes recursos introduzidos e informa a release do CatOS necessária para executá-los na plataforma especificada:

Recurso

Catalyst 4500/4000

Catalyst 5500/5000

Catalyst 6500/6000

opção inpkts enable/disable

4.4

4.2

5.1

Várias sessões, portas em VLANs diferentes

5.1

5.1

5.1

opção sc0

5.1

5.1

Opção multicast enable/disable

5.1

5.1

Opção learning enable/disable

5.2

5.2

5.3

RSPAN

6.3

5.3

Esta tabela fornece um resumo sobre as restrições vigentes para o número de sessões de SPAN e RSPAN possíveis:

Recurso

Linha Catalyst 4500/4000 Switches

Linha Catalyst 5500/5000 Switches

Linha Catalyst 6500/6000 Switches

Rx ou ambas as sessões de SPAN

5

1

2

Sessões de SPAN Tx

5

4

4

Sessões do Mini Protocol Analyzer

Sem suporte

Sem suporte

1

Sessões de origem de RSPAN, Rx, Tx ou ambas

5

Sem suporte

1

O Supervisor Engine 720 oferece suporte a duas sessões de origem de RSPAN.

Destino de RSPAN

5

Sem suporte

24

Total de sessões

5

5

30

Consulte estes documentos para obter diretrizes adicionais sobre restrições e configurações:

SPAN nos Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750 e 3750-E Series Switches

Estas são as diretrizes para a configuração do recurso SPAN nos Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750 e 3750-E Series Switches:

  • Os Catalyst 2950 Switches podem ter apenas uma sessão de SPAN por vez e podem monitorar apenas portas de origem. Esses switches não podem monitorar VLANs.

  • Os Catalyst 2950 e 3550 Switches podem encaminhar tráfego em uma porta de SPAN de destino no Cisco IOS Software Release 12.1(13)EA1 e posterior.

  • Os Catalyst 3550, 3560 e 3750 Switches oferecem suporte a até duas sessões de SPAN por vez e podem monitorar portas de origem bem como VLANs.

  • Os Catalyst 2970, 3560 e 3750 Switches não requerem a configuração de uma porta refletora ao configurar uma sessão de RSPAN.

  • Os Catalyst 3750 Switches oferecem suporte à configuração de sessão usando portas de origem e de destino que residem em qualquer um dos membros da stack do switch.

  • Somente uma porta de destino é permitida por sessão de SPAN, e a mesma porta não pode ser a porta de destino para diversas sessões de SPAN. Portanto, você não pode ter duas sessões de SPAN com a mesma porta de destino.

Os comandos de configuração do recurso SPAN são semelhantes no Catalyst 2950 e no Catalyst 3550. Entretanto, o Catalyst 2950 não pode monitorar as VLANs. Você pode configurar o SPAN, como neste exemplo:

C2950#configure terminal
C2950(config)#
C2950(config)#monitor session 1 source interface fastethernet 0/2

!--- Isto configura a interface Fast Ethernet 0/2 como porta de origem.

C2950(config)#monitor session 1 destination interface fastethernet 0/3

!--- Isto configura a interface Fast Ethernet 0/3 como porta de destino.

C2950(config)#

C2950#show monitor session 1
Session 1
---------
Source Ports:
    RX Only:       None
        TX Only:       None
        Both:          Fa0/2
Destination Ports: Fa0/3
C2950#

Você também pode configurar uma porta como destino para o SPAN e o RSPAN locais a fim de monitorar o tráfego da mesma VLAN. Para monitorar o tráfego de determinada VLAN que reside em dois switches conectados diretamente, configure estes comandos no switch que possui a porta de destino. Neste exemplo, monitoramos o tráfego da VLAN 5 distribuído entre dois switches:

c3750(config)#monitor session 1 source vlan < Remote RSPAN VLAN ID >
c3750(config)#monitor session 1 source vlan 5
c3750(config)#monitor session 1 destination fastethernet 0/3

!--- Isto configura a interface FastEthernet 0/3 como porta de destino.

No switch remoto, use esta configuração:

c3750_remote(config)#monitor session 1 source vlan 5

!--- Especifica a VLAN 5 como a VLAN a ser monitorada.

c3750_remote(config)#monitor session 1 destination remote vlan  <Remote vlan id>

No exemplo anterior, uma porta foi configurada como a porta de destino para o SPAN e o RSPAN locais a fim de monitorar o tráfego da mesma VLAN residente em dois switches.

Nota: Diferentemente dos 2900XL e 3500XL Series Switches, os Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750 e 3750-E Series Switches oferecem suporte a SPAN no tráfego da porta de origem somente no sentido de Rx (SPAN de Rx ou SPAN de entrada), somente no sentido de Tx (SPAN de Tx ou SPAN de saída) ou em ambos os sentidos.

Nota: Não há suporte aos comandos na configuração do Catalyst 2950 com o Cisco IOS Software Release 12.0(5.2)WC(1) ou com qualquer software anterior ao Cisco IOS Software Release 12.1(6)EA2. Consulte a seção Habilitando o SPAN (Switch Port Analyzer) de Gerenciando Switches para configurar o SPAN em um Catalyst 2950 com um software anterior ao Cisco IOS Software Release 12.1(6)EA2.

Nota: Os Catalyst 2950 Switches que usam o Cisco IOS Software Release 12.1.(9)EA1d e releases anteriores do Cisco IOS Software Release 12.1 oferecem suporte a SPAN. No entanto, todos os pacotes vistos na porta de destino de SPAN (conectada ao dispositivo sniffer ou ao PC) possuem um rótulo IEEE 802.1Q, embora a porta de origem de SPAN (porta monitorada) possa não ser uma porta de tronco 802.1Q. Se o dispositivo sniffer ou a placa de interface de rede (NIC) do PC não entender os pacotes rotulados como 802.1Q, o dispositivo poderá desconectar os pacotes ou enfrentar dificuldades ao tentar decodificá-los. A capacidade de ver quadros com rótulo 802.1Q será importante apenas quando a porta de origem de SPAN for uma porta de troncos. Com o Cisco IOS Software Release 12.1(11)EA1 e versões posteriores, você poderá habilitar e desabilitar o rotulamento dos pacotes na porta de destino de SPAN. Execute o comando monitor session número_da_sessão destination interface id_da_interface encapsulation dot1q para habilitar o encapsulamento dos pacotes na porta de destino. Se você não especificar a palavra-chave encapsulation, os pacotes serão enviados sem etiqueta, o que é o padrão no Cisco IOS Software Release 12.1(11)EA1 e posterior.

Recurso

Catalyst 2950/3550

Opção Ingress (inpkts) enable/disable

Cisco IOS Software Release 12.1(12c)EA1

RSPAN

Cisco IOS Software Release 12.1(12c)EA1

Recurso

Catalyst 29401, 2950, 2955, 2960, 2970, 3550, 3560, 3750

Rx ou ambas as sessões de SPAN

2

Sessões de SPAN Tx

2

Sessões de origem de RSPAN, Rx, Tx ou ambas

2

Destino de RSPAN

2

Total de sessões

2

1 Os Catalyst 2940 Switches oferecem suporte somente a SPAN local. Não há suporte ao RSAPN nesta plataforma.

Consulte estes guias de configuração para obter mais informações sobre a configuração do SPAN e do RSPAN:

SPAN nos Catalyst 4500/4000 e 6500/6000 Series Switches que Executam o Cisco IOS System Software

Há suporte ao recurso SPAN nos Catalyst 4500/4000 e Catalyst 6500/6000 Series Switches que executam o Cisco IOS System Software. Ambas as plataformas de switches usam a mesma interface de linha de comando (CLI) abordada na seção SPAN nos Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560E, 3750 e 3750-E Series Switches e uma configuração semelhante à mostrada nessa seção. Consulte estes documentos para obter as configurações relacionadas:

Exemplo de Configuração

Você pode configurar o SPAN conforme este exemplo:

4507R#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.

4507R(config)#monitor session 1 source interface fastethernet 4/2

!--- Isto configura a interface Fast Ethernet 4/2 como porta de origem.

4507R(config)#monitor session 1 destination interface fastethernet 4/3

!--- Isto configura a interface Fast Ethernet 0/3 como porta de destino.



4507R#show monitor session 1
Session 1
---------
Type : Local Session
Source Ports :
Both : Fa4/2
Destination Ports : Fa4/3


4507R#

Resumo de Recursos e Limitações

Esta tabela resume os diferentes recursos introduzidos e fornece a versão do Cisco IOS Software mínima necessária para executá-los na plataforma específica:

Recurso

Catalyst 4500/4000 (Cisco IOS Software)

Catalyst 6500/6000 (Cisco IOS Software)

Opção Ingress (inpkts) enable/disable

Cisco IOS Software Release 12.1(19)EW

Sem suporte no momento1

RSPAN

Cisco IOS Software Release 12.1(20)EW

Cisco IOS Software Release 12.1(13)E

1 O recurso não está disponível no momento e a disponibilidade desses recursos não é normalmente publicada até o lançamento.

Nota: O recurso SPAN dos Cisco Catalyst 6500/6000 Series Switches apresenta uma limitação relacionada ao Protocolo PIM. Quando um switch é configurado para PIM e SPAN, o Analisador de Redes / Sniffer conectado à porta de destino de SPAN pode ver os pacotes PIM que não fazem parte da porta de origem de SPAN / tráfego de VLAN. Esse problema ocorre devido a uma limitação da arquitetura de encaminhamento de pacotes do switch. A porta de destino de SPAN não executa qualquer verificação para confirmar a origem dos pacotes. Esse problema também está documentado no bug da Cisco com ID CSCdy57506 (somente clientes registrados).

Esta tabela fornece um resumo sobre as restrições vigentes para o número de sessões de SPAN e RSPAN possíveis:

Recurso

Catalyst 4500/4000 (Cisco IOS Software)

Rx ou ambas as sessões de SPAN

2

Sessões de SPAN Tx

4

Sessões de origem de RSPAN, Rx, Tx ou ambas

2 (Rx, Tx ou ambas) e até 4 para Tx apenas

Destino de RSPAN

2

Total de sessões

6

Consulte Limites de Sessões de SPAN, RSPAN e ERSPAN Locais para saber quais Catalyst 6500/6000 Switches executam o Cisco IOS Software.

Consulte estes documentos para obter diretrizes adicionais sobre restrições e configurações:

Impacto no Desempenho do SPAN em Diferentes Plataformas do Catalyst

Catalyst 2900XL/3500XL Series

Visão Geral da Arquitetura

Esta é uma visão simplista da arquitetura interna dos 2900XL/3500XL Switches:

41q.gif

As portas do switch estão conectadas a satélites que se comunicam com uma switching fabric através de canais radiais. Além disso, todos os satélites estão interconectados por meio de um anel de notificação de alta velocidade dedicado à sinalização de tráfego.

Quando um satélite recebe um pacote de uma porta, ele é dividido em células e enviado à switching fabric por meio de um ou mais canais. Em seguida, o pacote é armazenado na memória compartilhada. Todos os satélites conhecem as portas de destino. No diagrama nesta seção, o satélite 1 sabe que o pacote X será recebido pelos satélites 3 e 4. O satélite 1 envia uma mensagem aos outros satélites através do anel de notificação. Em seguida, os satélites 3 e 4 podem começar a recuperar as células da memória compartilhada através dos canais radiais e podem, eventualmente, encaminhar o pacote. Como o satélite de origem conhece o destino, ele também transmite um índice que especifica o número de downloads desse pacote por outros satélites. Todas as vezes que um satélite recuperar o pacote de uma memória compartilhada, esse índice será reduzido. Quando o índice atingir 0, a memória compartilhada poderá ser liberada.

Impacto no Desempenho

Para monitorar algumas portas com o SPAN, um pacote deve ser copiado do buffer de dados para um satélite mais uma vez. O impacto na switching fabric de alta velocidade pode ser desconsiderado.

A porta de monitoramento recebe cópias do tráfego transmitido e recebido de todas as portas monitoradas. Nessa arquitetura, um pacote para vários destinos é armazenado na memória até que todas as cópias tenham sido encaminhadas. Se a porta de monitoramento estiver com 50 por cento de excesso de demanda por um certo período de tempo, a porta provavelmente ficará congestionada e usará parte da memória compartilhada. Há a possibilidade de que uma ou mais portas monitoradas fiquem lentas.

Catalyst 4500/4000 Series

Visão Geral da Arquitetura

O Catalyst 4500/4000 é baseado em uma switching fabric de memória compartilhada. Este diagrama consiste em uma visão geral de alto nível sobre o caminho de um pacote pelo switch. A implementação real é na verdade muito mais complexa:

41r.gif

Em um Catalyst 4500/4000, você pode distinguir o caminho dos dados. O caminho dos dados corresponde à transferência real dos dados dentro do switch, a partir do caminho de controle, onde todas as decisões são tomadas.

Quando um pacote entra no switch, um buffer é alocado na memória de buffer de pacote (uma memória compartilhada). Uma estrutura de pacotes que aponta para esse buffer é inicializada na Tabela de Descrição de Pacotes (PDT). Enquanto os dados são copiados na memória compartilhada, o caminho de controle determina onde comutar o pacote. Para fazer essa determinação, um valor de hash é calculado a partir destas informações:

  • O endereço de origem do pacote

  • Endereço de destino

  • VLAN

  • Tipo de protocolo

  • Porta de entrada

  • Classe de serviço (CoS) (rótulo IEEE 802.1p ou porta padrão)

Esse valor é utilizado para encontrar o Índice de Caminho Virtual (VPI) de uma estrutura de caminhos na Tabela de Caminhos Virtuais (VPT). Esta entrada de caminho virtual na VPT mantém vários campos relacionados a este fluxo específico. Esses campos incluem as portas de destino. A estrutura do pacote na PDT foi atualizada agora com uma referência ao caminho virtual e contador. No exemplo nesta seção, o pacote será transmitido para duas portas diferentes, sendo assim, o contador inicializará em 2. Finalmente, a estrutura de pacotes será adicionada à fila de saída das duas portas de destino. De lá, os dados são copiados da memória compartilhada para o buffer de saída da porta e o contador de estrutura de pacotes é reduzido. Quando ele atinge 0, o buffer de memória compartilhada é liberado.

Impacto no Desempenho

Com o uso do recurso SPAN, um pacote deve ser enviado para duas portas diferentes, como no exemplo mostrado na seção Visão Geral da Arquitetura. O envio do pacote para duas portas não é um problema porque a switching fabric não está bloqueada. Se a porta de SPAN de destino estiver congestionada, os pacotes serão descartados na fila de saída e serão liberados corretamente da memória compartilhada. Portanto, não há impacto na operação do switch.

Catalyst 5500/5000 e 6500/6000 Series

Visão Geral da Arquitetura

Nos Catalyst 5500/5000 e 6500/6000 Series Switches, um pacote recebido em uma porta é transmitido no barramento de switching interno. Todas as placas de linha do switch começam a armazenar esse pacote em buffers internos. Ao mesmo tempo, a Lógica de Reconhecimento de Endereço Codificado (EARL) recebe o cabeçalho do pacote e calcula um índice de resultados. A EARL envia o índice de resultados para todas placas de linha através do barramento de resultados. O conhecimento desse índice permite que a placa de linha decida individualmente se deve descarregar ou transmitir o pacote à medida que o recebe em seus buffers.

41s.gif

41t.gif

Impacto no Desempenho

O fato de uma ou várias portas eventualmente transmitirem o pacote não tem qualquer influência na operação do switch. Portanto, ao considerar essa arquitetura, o recurso SPAN não afeta o desempenho.

Perguntas Freqüentes e Problemas Comuns

Problemas de Conectividade Devido ao Erro de Configuração do SPAN

Freqüentemente ocorrem problemas de conectividade nas versões do CatOS anteriores à 5.1 devido à configuração incorreta de SPAN. Nessas versões, somente uma sessão de SPAN é possível. A sessão permanecerá na configuração, mesmo quando você desabilitar o SPAN. Ao executar o comandoset span enable, o usuário reativará a sessão de SPAN armazenada. A ação geralmente ocorre devido a um erro tipográfico, por exemplo, se o usuário desejar habilitar o STP. Problemas sérios de conectividade podem fazer com que a porta de destino seja usada para encaminhar o tráfego do usuário.

cuidado Cuidado: Esse problema ainda ocorre na implementação atual do CatOS. Seja bastante cuidadoso ao escolher a porta a ser usada como um destino de SPAN.

Porta de Destino de SPAN Ativada/Desativada

Quando as portas são distribuídas para monitoramento, o estado da porta exibe UP/DOWN (ativada/desativada).

Ao configurar uma sessão de SPAN para monitorar a porta, a interface de destino exibe o estado down (monitoramento), de acordo com o design. A interface mostra a porta nesse estado para evidenciar que ela não está utilizável no momento como porta de produção. A porta com monitoramento ativado/desativado está normal.

Por que a Sessão de SPAN Cria um Loop de Bridging?

Geralmente, a criação de um loop de bridging ocorre quando o administrador tenta falsificar o recurso RSPAN. Além disso, pode ocorrer devido a um erro de configuração.

Este é um exemplo do cenário:

41u.gif

Há dois switches principais conectados por um tronco. Nesta situação, cada switch possui vários servidores, clientes e outras bridges conectadas a ele. O administrador deseja monitorar a VLAN 1 que aparece em várias bridges com SPAN. O administrador cria uma sessão de SPAN que monitora a VLAN 1 inteira em cada switch principal e, para combinar essas duas sessões, ele conecta a porta de destino ao mesmo hub (ou ao mesmo switch, usando outra sessão de SPAN).

O administrador atinge o objetivo. Cada pacote único recebido por um switch principal na VLAN 1 é duplicado na porta de SPAN e encaminhado para o hub. Eventualmente, um sniffer captura o tráfego.

O único problema é que o tráfego também é reinjetado no switch principal 2 através da porta de SPAN de destino. A reinjeção do tráfego no switch principal 2 cria um loop de bridging na VLAN 1. Lembre-se de que uma porta de SPAN de destino não executa o STP e não pode evitar esse loop.

41v.gif

Nota: Com a introdução da opção inpkts (pacotes de entrada) no CatOS, uma porta de destino de SPAN descarta todos os pacotes de entrada por padrão, o que evita esse cenário de falha. No entanto, esse problema potencial ainda está presente nos Catalyst 2900XL/3500XL Series Switches.

Nota: Mesmo quando a opção inpkts evita o loop, a configuração mostrada nesta seção pode gerar alguns problemas na rede. Podem ocorrer problemas na rede devido a questões de aprendizado de endereços MAC associados ao aprendizado habilitado na porta de destino.

O SPAN Afeta o Desempenho?

Consulte estas sessões deste documento para obter informações sobre o impacto no desempenho em plataformas Catalyst específicas:

O SPAN Pode Ser Configurado em uma Porta EtherChannel?

Um EtherChannel não será formado se uma das portas no agrupamento for uma porta de destino de SPAN. Se você tentar configurar o SPAN nesta situação, o switch informará:

Channel port cannot be a Monitor Destination Port
Failed to configure span feature

Você pode usar uma porta em um agrupamento EtherChannel como uma porta de origem de SPAN.

Várias Sessões de SPAN Podem Ser Executadas ao Mesmo Tempo?

Nos Catalyst 2900XL/3500XL Series Switches, o número de portas de destino disponíveis do switch é o único limite para o número de sessões de SPAN.

Nos Catalyst 2950 Series Switches, você pode ter apenas uma porta monitora atribuída por vez. Se você selecionar outra porta como a porta monitora, a porta monitora anterior será desabilitada e a porta recém-selecionada se tornará a monitora.

Nos Catalyst 4500/4000, 5500/5000 e 6500/6000 Switches com CatOS 5.1 e versões posteriores, é possível ter várias sessões simultâneas de SPAN. Consulte as seções Criar Várias Sessões Simultâneas e Resumo de Recursos e Limitações deste documento.

Error "% Local Session Limit Has Been Exceeded"

Essa mensagem é exibida quando a sessão de SPAN permitida excede o limite do Supervisor Engine:

% Local Session limit has been exceeded

Os Supervisor Engines possuem uma limitação de sessões de SPAN. Consulte a seção Limites de Sessões de SPAN, RSPAN e ERSPAN Locais de Configurando o SPAN, o RSPAN e o ERSPAN Locais para obter mais informações.

Não é Possível Excluir uma Sessão do SPAN no Módulo de Serviço VPN com o Erro "% Session [Session No:] Used by Service Module"

Com esse problema, o módulo de Virtual Private Network (VPN) é inserido no chassi, onde um módulo de switch fabric já foi inserido. O Cisco IOS Software cria automaticamente uma sessão de SPAN para o módulo de serviço VPN para lidar com o tráfego de multicast.

Execute este comando para excluir a sessão de SPAN que o software cria para o módulo de serviço VPN:

Switch(config)#no monitor session session_number service-module

Nota: Se você excluir a sessão, o módulo de serviço VPN descartará o tráfego de multicast.

Por que Não Consigo Capturar Pacotes Corrompidos com o SPAN?

Você não pode capturar pacotes corrompidos com o SPAN devido à operação geral dos switches. Quando um pacote passa por um switch, os seguintes eventos ocorrem:

  1. O pacote atinge a porta de entrada.

  2. O pacote é armazenado em pelo menos um buffer.

  3. Eventualmente, o pacote é retransmitido na porta de saída.

41w.gif

Se o switch receber um pacote corrompido, geralmente, a porta de entrada descartará o pacote. Portanto, você não vê o pacote na porta de saída. Um switch não será totalmente transparente em relação à captura de tráfego. Analogamente, quando você vê um pacote corrompido no seu sniffer no cenário desta seção, você sabe que os erros foram gerados no passo 3, no segmento de saída.

Se você suspeitar que um dispositivo esteja enviando pacotes corrompidos, você poderá optar por inserir o host de envio e o dispositivo sniffer em um hub. O hub não executa verificações de erros. Portanto. diferentemente do switch, o hub não descarta os pacotes. Dessa forma, você pode vê-los.

A Porta Refletora Descarta os Pacotes

A porta refletora recebe cópias do tráfego enviado e recebido de todas as portas de origem monitoradas. Se houver um excesso de demanda em uma porta refletora, ela poderá ficar congestionada. Isso pode afetar o encaminhamento de tráfego em uma ou mais portas de origem. Se a largura de banda da porta refletora não for suficiente para o volume de tráfego das portas de origem correspondentes, os pacotes excedentes serão descartados. Uma porta 10/100 reflete a 100 Mbps. Uma porta Gigabit reflete a 1 Gbps.

A Sessão de SPAN é Sempre Usada com um FWSM no Chassi do Catalyst 6500

Quando você utiliza o Supervisor Engine 720 com um FWSM no chassi que executa o Cisco Native IOS, uma sessão de SPAN é usada por padrão. Se você verificar as sessões não usadas com o comando show monitor, a sessão 1 será usada:

Cat6K#show monitor
Session 1
---------
Type : Service Module Session

Quando há uma placa de firewall no chassi do Catalyst 6500, essa sessão é automaticamente instalada para o suporte da replicação de multicast do hardware, pois o FWSM não é capaz de replicar fluxos de multicast. Caso os fluxos de multicast originados atrás do FWSM devam ser replicados na Camada 3 para várias placas de linha, a sessão automática copiará o tráfego para o supervisor através de um fabric channel.

Se houver uma origem de multicast que gere um fluxo de multicast atrás do FWSM, será necessário um refletor de SPAN. Se você colocar a origem de multicast na VLAN externa, o refletor de SPAN não será necessário. O refletor de SPAN é incompatível com BPDUs de bridging através do FWSM. Você pode usar o comando no monitor session service module para desabilitar o refletor de SPAN.

É Possível Ter uma Sessão de SPAN e uma Sessão de RSPAN com o Mesmo ID no Mesmo Switch?

Não, não é possível usar o mesmo ID para uma sessão de SPAN normal e uma sessão de destino de RSPAN. Cada sessão de SPAN e de RSPAN deve ter um ID diferente.

Uma Sessão de RSPAN Pode Funcionar em Diferentes Domínios VTP?

Sim. Uma sessão de RSPAN pode funcionar em vários domínios VTP. Contudo, verifique se a VLAN RSPAN está presente nos bancos de dados desses domínios VTP. Além disso, verifique se não há um dispositivo de Camada 3 presente no caminho da origem para o destino da sessão.

Uma Sessão de RSPAN Pode Funcionar em uma WAN ou em Várias Redes?

Não. Uma sessão de RSPAN não pode atravessar nenhum dispositivo de Camada 3 porque o RSPAN é um recurso de LAN (Camada 2). Para monitorar o tráfego em uma WAN ou em várias redes, use o Encapsulated Remote SwitchPort Analyser (ERSPAN). O recurso ERSPAN oferece suporte a portas de origem, VLANs de origem e portas de destino em diversos switches, o que permite o monitoramento remoto de vários switches na rede.

O ERSPAN consiste em uma sessão de origem de ERSPAN, no tráfego de ERSPAN roteável encapsulado com o GRE e em uma sessão de destino de ERSPAN. Configure separadamente sessões de origem e de destino de ERSPAN em switches diferentes.

No momento, há suporte ao recurso ERSPAN no:

  • Supervisor 720 com PFC3B ou PFC3BXL que executa o Cisco IOS Software Release 12.2(18)SXE ou posterior

  • Supervisor 720 com PFC3A que possui a versão 3.2 ou posterior de hardware e que executa o Cisco IOS Software Release 12.2(18)SXE ou posterior

Consulte Configurando o SPAN Local, o SPAN Remoto (RSPAN) e o RSPAN Encapsulado - Guia de Configuração do Cisco IOS Software do Catalyst 6500 Series, 12.2SX para obter mais informações sobre ERSPAN.

Pode Haver uma Sessão de Origem e de Destino de RSPAN no Mesmo Catalyst Switch?

Não. O RSPAN não funciona quando as sessões de origem e de destino de RSPAN estão no mesmo switch.

Se uma sessão de origem de RSPAN estiver configurada com uma determina VLAN RSPAN e houver uma sessão de destino de RSPAN para essa VLAN RSPAN configurada no mesmo switch, a porta de destino da sessão de destino de RSPAN não transmitirá os pacotes capturados da sessão de origem de RSPAN devido a limitações de hardware. Não há suporte para esse recurso nos 4500 Series e 3750 Series Switches. Esse problema está documentado no bug da Cisco com ID CSCeg08870 (somente usuários registrados).

Este é um exemplo:

monitor session 1 source interface Gi6/44
monitor session 1 destination remote vlan 666
monitor session 2 destination interface Gi6/2
monitor session 2 source remote vlan 666

A solução alternativa para esse problema é usar o SPAN normal.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 10570