O espelhamento de porta é uma técnica que permite que o Switch efetuar a cópia dos pacotes de uma porta para outra porta.
Essa técnica é bastante utilizada quando precisamos analisar o comportamento da rede, como por exemplo, para identificação de vírus, acessos “estranhos”, comportamento de aplicações, serviços, etc.
O espelhamento de VLANs é uma técnica que permite que o Switch efetue a cópia dos pacotes de uma VLAN para uma porta do Switch.
Essa técnica é bastante utilizada quando precisamos analisar o comportamento de alguma rede como por exemplo, para identificação de vírus, acessos “estranhos”, etc.
No cenário abaixo efetuaremos a cópia do tráfego da vlan 99 do Switch para o Servidor de Análise. A comunicação da VLAN 99 com qualquer host ou servidor da rede não será afetada pois o Switch direcionará apenas a cópia do tráfego!
Configuração
#
vlan 99
#
traffic classifier TRAFEGO operator and
if-match any
! Criando a política para dar match no tráfego, nesse caso, qualquer tráfego (any)
! ( é possível inclusive vincular uma ACL para filtrar o tráfego)
#
traffic behavior ESPELHAR
mirror-to interface Ethernet1/0/7
! Criando o behavior para o espelhamento [para a interface Ethernet1/0/7]
#
qos policy ESPELHAMENTO
classifier TRAFEGO behavior ESPELHAR
! Vinculando o tráfego com o comportamento na policy
#
qos vlan-policy ESPELHAMENTO vlan 99 inbound
! Vinculando a policy para a vlan 99
#
No servidor de coleta poderíamos utilizar os Softwares TCPDump, Wireshark, etc para monitorar o tráfego.
Obs: No post http://www.comutadores.com.br/switches-3com-4500-configurando-o-espelhamento-de-porta-port-mirroring/ demonstramos a configuração para o espelhamento de porta.
O espelhamento de portas é uma técnica que permite que o Switch efetue a cópia dos pacotes de rede de uma porta para outra em um Switch.
Essa técnica é bastante utilizada quando precisamos analisar o comportamento de algum servidor, como por exemplo, para identificação de vírus, acessos “estranhos”, etc.
No cenário abaixo efetuaremos a cópia do tráfego da porta do Switch que está conectada ao Roteador de Internet (como origem) para o Servidor de Análise ( como destino). A comunicação com a Internet não será afetada pois o Switch direcionará apenas a cópia!
Configuração
#
mirroring-group 1 local
! Criando o Grupo 1 de portas para o Espelhamento
#
interface Ethernet1/0/3
stp disable
! desabilitando o Spanning-Tree da porta para não interferir na coleta
mirroring-group 1 monitor-port
!Configurando a porta para monitorar o tráfego da porta mirroring (no exemplo a porta Ethernet1/0/1)
#
interface Ethernet1/0/1
mirroring-group 1 mirroring-port both
! Configurando a Porta de origem que terá seu tráfego copiado no sentido inbound (entrada) e outbound (saída); comando both
#
Pronto! Configurações efetuadas… 🙂
No servidor de coleta poderíamos utilizar os Softwares TCPDump, Wireshark, etc para monitorar o tráfego. No exemplo abaixo, “printamos” a tela do software NTOP (freeware) com estatisticas da coleta!
Simples, agora é só atuar no tráfego e/ou comportamento identificados na rede….
Até logo!