Suponha que eu tenha dois comutadores Cisco cada um transmitindo algum tráfego de rede para uma porta SPAN e precise enviar a soma de todo esse tráfego para um terceiro dispositivo para monitorar esse tráfego via libpcap. A maneira mais fácil de conseguir isso seria ter duas placas de rede no dispositivo de destino e enviar uma porta SPAN para cada uma, mas suponha que o dispositivo de destino contivesse apenas uma única placa de rede e não fosse expansível.
Obviamente, não posso rotear o tráfego SPAN através de um switch ou roteador, já que o switch não envia passivamente todo o tráfego para o meu dispositivo de monitoramento, desconsiderando MAC, IP, ARP, etc. Passivo "Hub faria.
Duas portas SPAN "serão reproduzidas" gerando um único hub ou "conversarão" umas com as outras e ignorarão a contenção de recursos, etc. Conheço uma porta SPAN operando como um dispositivo ethernet normal, pois ela não pode receber nenhum tráfego, responder a solicitações ARP, etc, mas mantém inteligência suficiente da Ethernet para coexistir com outros transmissores no mesmo circuito, ou seria possível? precisa ser o único transmissor no fio?
As portas SPAN em um switch só enviam tráfego para fora - elas descartam tráfego de entrada. Experimente isso em um ambiente de laboratório.
Veja a RSPAN - link - que pode ajudá-lo entrando no seu tráfego SPANned em outro switch e em uma única porta SPANned.