O espelhamento de porta (SPAN – Switch Port Analyzer) é uma técnica que permite que o Switch efetue a cópia dos pacotes de uma porta para uma outra porta do Switch.
Essa técnica é bastante utilizada quando precisamos analisar o comportamento da rede como por exemplo, identificação da comunicação de uma aplicação, troubleshooting, direcionar o tráfego inúmeras atividades de segurança como IDS etc.
Configurando o espelhamento de porta
Crie um “mirror” e adicione a interface a ser usada como porta para captura de pacotes. Neste caso a porta 9 será usada para receber os pacotes duplicados.
mirror 1 port 9
! Criando o Grupo 1 para o Espelhamento, vinculando a porta 9 para recebimento do tráfego capturado
Selecione a interface que terá o tráfego duplicado e vincule ao processo do mirror. O tráfego dessas portas será copiado para a porta mirror para captura. Neste exemplo, a interface ou porta Ethernet 1 duplicará seu tráfego para o “mirror 1”.
interface 2
monitor all both mirror 1
! Configurando a Porta de origem (2) que terá seu tráfego copiado no sentido inbound (entrada) e outbound (saída); comando both para o mirror 1
Conecte um notebook à interface 9 no switch e use o wireshark, TCPDUMP ou o cliente PCAP de sua escolha para analisar o tráfego.