sexta-feira, 26 de abril de 2013

Espelhamento de Portas em Switches Remotos (RSPAN)


Olá Pessoal.

No artigo anterior intitulado "Configuração de Espelhamento de Portas em Switch" foi explicado o conceito por trás do recurso SPAN (Switched Port Analyzer) com os passos necessários para configurá-lo,  já que esse é um recurso útil no monitoramento do tráfego da rede através do espelhamento de portas na linha Catalyst de Switches da Cisco.

Alguns leitores do blog interessados no assunto me pediram para escrever um artigo sobre o recurso RSPAN (Remote Switched Port Analyzer) que permite ampliar esse monitoramento em redes maiores através da criação de sessões de monitoramento com o destino do tráfego espelhado em algum outro switch remoto.

Para exemplificar como seria o processo de configuração do RSPAN estaremos considerando o cenário abaixo em que agora existem dois switches interligados através de um entroncamento (trunk), diferente do cenário do artigo anterior que havia um único switch. Vamos supor que a máquina na interface f0/2 quer se comunicar com a outra máquina e para tal enviou um quadro destinado a f0/1. Reparem que o quadro por ela originado é espelhado através da rede até chegar na interface f0/7 do switch remoto onde está "pendurado" o monitorador!




No SPAN tradicional (um único switch) você informava uma fonte (interfaces ou VLAN) e uma porta de destino onde os quadros espelhados eram entregues. No RSPAN o processo é um pouco diferente, já que envolve mais de um switch. Da mesma forma continua sendo necessário informar a(s) fonte(s) que podem ser interfaces (seja de acesso, trunk ou mesmo uma agregação lógica port-channel) ou uma VLAN. A diferença é que agora o destino será uma VLAN RSPAN por onde os quadros espelhados irão trafegar através da rede até chegarem no switch remoto que irá direcioná-los para a porta de destino!
 
Portanto, considerando o cenário da figura anterior, agora temos dois switches para configurar, o SW1 com as interfaces f0/1 e f0/2 de origem em que ocorrerá o espelhamento dos quadros e o SW2 com a interface f0/7 de destino onde o tráfego será entregue. Naturalmente que é necessário que entre os dois switches exista um canal de comunicação através da VLAN do RSPAN - a VLAN 33 nesse exemplo. Vamos às configurações:

01. SW1(config)# vlan 33
02. SW1(config-vlan)# name VLAN-RSPAN
03. SW1(config-vlan)# remote span
04. SW1(config-vlan)# exit
05. SW1(config)# interface g0/1
06. SW1(config-if)# switchport mode trunk 
07. SW1(config-if)# exit  
09. SW1(config)# monitor session 1 interface f0/1
10. SW1(config)# monitor session 1 interface f0/2
11. SW1(config)# monitor session 1 destination remote vlan 33     

Primeiro foi criada a VLAN 33 que já recebeu a instrução de que será utilizada para fins de transporte dos quadros espelhados pelo RSPAN. Na sequência configuramos a interface g0/1 em modo de entroncamento (trunk), ou seja, ela será capaz de transportar tráfego de todas as VLANs que existirem entre os switches, inclusive a VLAN RSPAN (33). Por fim foram informadas as interfaces de origem e reparem que agora o destino do espelhamento será a VLAN remota previamente criada.

01. SW2(config)# vlan 33
02. SW2(config-vlan)# name VLAN-RSPAN
03. SW2(config-vlan)# remote span
04. SW2(config-vlan)# exit
05. SW2(config)# interface g0/1
06. SW2(config-if)# switchport mode trunk
07. SW2(config-if)# exit
08. SW2(config)# monitor session 1 source remote vlan 33
09. SW2(config)# monitor session 1 destination interface f0/7 

As primeiras linhas (de 1 a 7) são idênticas e fazem exatamente a mesma coisa. A diferença é que no SW2 informamos a VLAN RSPAN (33) como origem e já configuramos qual será a interface de destino do tráfego espelhado. É só isso...
 
Abraço.

Samuel.

13 comentários:

  1. Samuel, boa tarde.

    Obrigado pela atenção dedicada e também parabenizo o artigo formulado, pois, conhecimento nunca é demais!

    Atenciosamente,

    Fagner Vieira.

    ResponderExcluir
  2. Criei remote spam da porta de um usuário para a aplicação da Riverbed, porém tenho a necessidade configurar outro remote spam para outro usuários, que está em um switche diferente. POrém minha duvida é, preciso criar uma outra vlan para este outro remote span, ou posso utilizar a mesma criada para o primeiro que havia criado?

    Estou com esta demanda, porém achei seu blog que me ajudou muito neste modelo de configuração.

    Muito obrigado Samuel! Muito bom o blog!

    ResponderExcluir
    Respostas
    1. Você deve usar outra VLAN para não misturar os tráfegos dos hosts monitorados, mas fique atento com o limite de sessões RSPAN suportadas pelo switch.

      Excluir
  3. Samuel, Excelente explicação, Deus o abençoe.

    ResponderExcluir
  4. Samuel boa tarde

    Configurei o RSPAN na minha empresa, porém na rede tenho VOIP, onde na mesma interface fisica do usuário tenho a vlan de dados que chamamos de acesso vlan x e vlan de voz que chamamos de voice vlan y.

    No gravador após o espelhamento só chega os ips que estão na acesso vlan x, os ips da mesma interface que seria de voz que esta na voice vlan y não bate no gravador.

    Tem algum comando a mais ou a remote vlan do Rspan tem que ser o mesmo numero da voice vlan da porta do switch?

    ResponderExcluir
    Respostas
    1. Tiago,

      Não entendi bem sua explicação, mas me pareceu que você está usando a VLAN errada para o RSPAN. Você configurou uma VLAN dedicada apenas para o RSPAN? Fique atento que o source pode ser interfaces ou VLANS, mas não é possível misturar como portas e VLANs na mesma sessão remota.

      Excluir
    2. Este comentário foi removido pelo autor.

      Excluir
  5. Samuel, tenho um switch no Chile que é interligado em uma Nuvem MPLS, para eu comunicar com este switch o tráfego é roteado até lá por BGP dentro dessa nuvem, minha dúvida é se consigo fazer o RSPAN através desse roteamento para espelhar essa porta do Chile aqui no meu data center?

    ResponderExcluir
  6. Boa noite;

    Configurei o RSPAN (origem) em um Cisco Catalyst 4500, adicionei a VLAN SPAN ao uplink (TRUNK) já existente entre o Catalyst 4500 e um Catalyst 2960. No Catalyst 2960 (destino), destinei a VLAN SPAN para uma porta untagged, ao colocar um monitor nesta porta capturo apenas trafego rotulado IP6.
    O que posso esta fazendo de errado ? Alguma sugestão de literatura.

    Atenciosamente;

    Luiz Sérgio

    ResponderExcluir
  7. Samuel, bom dia.

    Estou precisando fazer monitoramento via flow através do PRTG para analisar o excesso de tráfego da minha rede.

    Tenho 3 switchs Cisco modelo SG200, todos na VLAN padrão e um switch HP modelo V1910-24G-PoE.
    O software que utilizo para monitoramento está em uma VM conectadas na rede através de um teaming das interfaces ETH 1 e ETH 2.

    Como eu faria para configurar o RSPAN para espelhar o tráfego para esse servidor?

    A topologia está da seguinte forma:
    http://imageshack.com/a/img924/2382/yeYztC.png

    Agradeço muito se puder me ajudar.

    ResponderExcluir
    Respostas
    1. Os switches SG (e SF) da Cisco são da linha Small Business e não possuem o sistema IOS encontrado na família Catalyst. Por isso a configuração apresentada nesse artigo não funcionará para voce. Sugiro que você procure por documentação para saber se existe suporte a espelhamento de portas (port mirroring) nos seus switches e como fazer essa configuração.

      Excluir