- Trong phần này các bạn sẽ được làm quen với các phương pháp để cấu hình Switch Port Analyzer (SPAN) và Remote SPAN (RSPAN) trên Catalyst 3560 Switch.
- Cấu hình SPAN và RSPAN bao gồm những phần sau:
+ Phần I: Tìm hiểu SPAN và RSPAN
+ Phần II: Cấu hình SPAN và RSPAN
+ Phần III: Hiển trị trạng thái của SPAN và RSPAN.
Phần I: Tìm hiểu SPAN và RSPAN.
1. Tìm hiểu về SPAN và RSPAN.
- Bạn có thể phân tích lưu lượng mạng thông qua các port hoặc các VLAN bằng cách sử dụng SPAN hoặc RSPAN để gửi một bản sao lưu của những lưu lượng đó đến một port khác của switch hoặc trên một port của switch khác đã kết nối trực tiếp đến một thiết bị phân tích lưu lượng mạng hoặc thiết bị giám sát hoặc những thiết bị bảo mật. SPAN sẽ sao lưu những lưu lượng nhận được hoặc gửi trên những port nguồn hoặc những VLAN nguồn đến một port đích để phân tích. SPAN không ảnh hưởng đến quá trình chuyển mạch của những lưu lượng mạng trên những port nguồn hoặc những VLAN nguồn. Bạn sẽ phải dành port đích cho SPAN sử dụng. Trừ những lưu lượng cần cho SPAN hoặc RSPAN, những port đích sẽ không nhận hoặc chuyển mạch các lưu lượng này.
- Duy nhất những lưu lượng được đi vào hoặc đi ra khỏi port nguồn hoặc những lưu lượng được đi vào hoặc đi ra khỏi VLAN nguồn có thể được giám sát bằng bởi SPAN; những lưu lượng được định tuyến đến một VLAN nguồn không thể giám sát được. Cho ví dụ, nếu lưu lượng đến đã được giám sát, thì những lưu lượng được định tuyến từ một VLAN khác đến VLAN nguồn không thể giám sát được; tuy nhiên, những lưu lượng được nhận trên VLAN nguồn và được định tuyến đến VLAN khác có thể kiểm tra giám sát được.
- Bạn có thể sử dụng SPAN hoặc RSPAN của port đích để có thể kiểm tra hoặc giám sát được lưu lượng từ một thiết bị bảo mật mạng. Cho ví dụ, nếu bạn kết nối một thiết bị Cisco Intrusion Detection System (IDS) đến một port đích, thì thiết bị IDS có thể gửi một gói tin TCP reset để đóng lại TCP session của những người tấn công.
- Trong phần tìm hiểu về SPAN và RSPAN sẽ có một số chủ đề đang lưu ý sau:
+ Local SPAN
+ Remote SPAN
+ Các khái niệm và thuật ngữ của SPAN và RSPAN
+ Sự tương thích giữa SPAN và RSPAN với những giao thức khác.
2. Local SPAN
- Local SPAN có khả năng hỗ trợ một SPAN session hoàn toàn với một switch; tất cả các port nguồn hoặc VLAN nguồn và các port đích nằm trên cùng một switch. Local SPAN thực hiện sao lưu một lưu lượng từ một hoặc nhiều port nguồn trong một VLAN hoặc đến từ một hoặc nhiều VLAN đến một port đích để thực hiện phân tích. Cho ví dụ, trong hình 1.1, tất cả các lưu lượng trên port 5 (port nguồn) đã được sao lưu đến port 10 (port đích). Một công cụ phân tích mạng trên port 10 đã nhận tất cả các lưu lượng mạng từ port 5 mà không cần phải cắm trực tiếp vào port 5.
hình 1.1: Ví dụ về Local SPAN.
3. Remote SPAN (RSPAN)
- RSPAN có khả năng hỗ trợ các port nguồn, VLAN nguồn, và các port đích nằm trên các switch khác nhau, cho phép kiểm tra và giám sát từ xa đối với nhiều switch trong hệ thống mạng. Hình 1.2 hiển thị các port nguồn trên Switch A và Switch B. Lưu lượng cho mỗi RSPAN session sẽ được mang theo trên mỗi một user được chỉ định trong RSPAN VLAN. Lưu lượng RSPAN từ các port nguồn hoặc các VLAN nguồn sẽ được sao lưu vào trong một RSPAN VLAN và chuyển mạch ra các port trunk để mang theo RSPAN VLAN đến một RSPAN VLAN đích. Mỗi switch RSPAN nguồn phải có các port hoặc các VLAN đóng vai trò như một RSPAN nguồn. Đích sẽ luôn là một port vật lý, giống như switch C được hiển thị trong hình.
hình 1.2: Ví dụ về RSPAN
4. Các khái niệm và thuật ngữ của SPAN và RSPAN
- Trong chủ đề này sẽ đưa ra các khái niệm và các thuật ngữ có liên quan đến cấu hình SPAN và RSPAN.
a. SPAN Sessions.
- SPAN sessions (local hoặc remote) cho phép bạn có thể kiểm tra giám sát lưu lượng mạng trên một hoặc nhiều port, hoặc trên một hoặc nhiều VLAN, và gửi những lưu lượng đã được kiểm tra đến một hoặc nhiều port đích.
- Một local SPAN session là một sự kết hợp của một port đích với những port nguồn hoặc VLAN nguồn, tất cả trên một thiết bị mạng duy nhất. Local SPAN không có các session nguồn và đích riêng biệt. Local SPAN sessions thu thập được những gói tin đi vào và đi ra chỉ định bởi người dùng và đưa chúng vào trong một luồng của dữ liệu SPAN, và chuyển đến port đích.
- RSPAN có chứa ít nhất một RSPAN source session, một RSPAN VLAN, và ít nhất một RSPAN destination session. Bạn có thể cấu hình để tách riêng RSPAN source session và RSPAN destination session trên những thiết bị mạng khác nhau. Để cấu hình một RSPAN source session trên một thiết bị, bạn có thể kết hợp một số port nguồn hoặc VLAN nguồn với một RSPAN VLAN. Kết quả của session này là một luồng gói tin SPAN sẽ được gửi đến một RSPAN VLAN. Để cấu hình một RSPAN destication session trên một thiết bị khác, bạn có thể kết hợp port đích với một RSPAN VLAN. Session đích sẽ tập hợp tất cả các lưu lượng RSPAN VLAN và gửi chúng ra khỏi RSPAN destination port.
- Một RSPAN source session giống như một local SPAN session, trừ nơi mà luồng gói tin sẽ được chuyển đến. Trong một RSPAN source session, các gói tin SPAN sẽ có liên quan với một RSPAN VLAN ID và sẽ được chuyển trên những port trunk thông thường để đến các switch đích.
- Một RSPAN destination session sẽ giữ lại tất cả những gói tin đã được nhận trên một RSPAN VLAN, bỏ đi thông tin VLAN tagging, và biểu diễn chúng trên một port đích. Mục đích của nó là để biểu diễn một bản sao lưu của tất cả các gói tin RSPAN VLAN (trừ những gói tin điều khiển Layer 2) để người dùng có thể phân tích.
- Có thể có nhiều hơn một source session và nhiều hơn một destination session được hoạt động trong cùng một RSPAN VLAN. Và các RSPAN source và destination có thể hoạt động trên các switch riêng biệt.
- Các lưu lượng quản lý trong một SPAN session có những hạn chế sau:
+ Nguồn có thể là các port hoặc là các VLAN, nhưng bạn không thể dùng đồng thời port và VLAN trong cùng một session.
+ Switch có thể hỗ trợ hai source session (Local SPAN và RSPAN source session). Bạn có thể chạy cả hai: một Local SPAN và một RSPAN source session trên cùng một switch. Switch có khả năng hỗ trợ tối đa là 66 source và destination RSPAN session.
+ Bạn có thể có nhiều port đích trong một SPAN session, nhưng không thể nhiều hơn 64 port.
+ Bạn có thể cấu hình hai SPAN hoặc RSPAN source session riêng biệt với các port nguồn hoặc các VLAN nguồn. Các port đã được cấu hình chuyển mạch và định tuyến có thể được cấu hình như một SPAN nguồn và đích.
+ SPAN session không làm ảnh hưởng đến sự hoạt động bình thường của switch. Tuy nhiên, một SPAN đích, cho ví dụ, một port 10-Mb/s quản lý giám sát một port 100-Mb/s, có thể dẫn đến kết quả bị mất gói tin hoặc hủy gói tin.
+ Khi RSPAN đã được enable, mỗi gói tin sẽ được kiểm tra giám sát khi được truyền và nhận. Vì vậy quá trình kiểm tra giám sát với một số lượng port lớn hoặc VLAN lớn có thể dẫn đến việc đưa ra một lượng rất lớn của những lưu lượng quản lý mạng.
+ Bạn có thể cấu hình SPAN session trên các port đã bị disable; tuy nhiên, một SPAN session sẽ không hoạt động cho đến khi nào bạn enable port đích và có ít nhất một port nguồn hoặc VLAN nguồn cho session đó.
+ Switch sẽ không hỗ trợ cả Local SPAN và RSPAN hoạt động trong một session.
b. Kiểm tra lưu lượng.
SPAN session có khả năng kiểm tra và giám sát những loại lưu lượng sau:
- Receive (Rx) SPAN: SPAN có khả năng kiểm tra giám sát được những gói tin nhận từ interface nguồn hoặc VLAN nguồn trước khi có sự sửa đổi hoặc sử lý được thi hành bởi switch. Một bản sao lưu của mỗi một gói tin được nhận bởi nguồn sẽ gửi đến port đích của SPAN session đó. Những gói tin sẽ được sửa đổi bởi quá trình định tuyến hoặc quá trình phân loại của QoS.
- Transmit (Tx) SPAN: SPAN có khả năng kiểm tra giám sát được các gói tin gửi bởi interface nguồn sau khi tất cả quá trình sửa đổi hoặc quá trình xử lý được thi hành bởi switch. Một bản sao lưu của mỗi một gói tin được gửi bởi nguồn sẽ gửi đến port đích của SPAN session đó. Bản sao lưu của gói tin sẽ được cung cấp sau khi gói tin được sửa đổi. Các gói tin sẽ bị sửa đổi vì quá trình định tuyến, cho ví dụ: sửa đổi thông tin của trường TTL (time-to-live), địa chỉ MAC, hoặc giá trị QoS.
- Cả hai: Transmit và Recieve trong một SPAN session, bạn cũng có thể kiểm tra và giám sát một port hoặc một VLAN cho cả hai loại gói tin gửi và nhận. Và cơ chế này là mặc định.
- Cấu hình mặc định cho local SPAN session port là gửi tất cả những gói tin mà không cần tagged. SPAN cũng không kiểm tra giám sát các gói tin BPDU và các giao thức Layer 2, như: CDP (Cisco Discovery Protocol), VTP (VLAN Trunk Protocol), DTP (Dynamic Trunking Protocol), STP (Spanning Tree Protocol), và PAgP (Port Aggregation Protoccol). Tuy nhiên, bạn nhập câu lệnh: enacapsulation replicate khi bạn cấu hình một port đích, thì sẽ có những sự thay đổi sau:
+ Các gói tin sẽ được gửi trên một port đích với cùng giao thức đóng gói, ISL (Inter-Switch) Link, hoặc IEEE 802.1Q với port nguồn.
+ Các loại gói tin, bao gồm BPDU và các gói tin của các giao thức Layer 2 sẽ được kiểm tra và giám sát.
C. Port nguồn.
- Một Port nguồn (còn được gọi là monitored port) sẽ là một port chuyển mạch hoặc một port định tuyến được bạn dùng để kiểm tra và phân tích các lưu lượng mạng. Trong một Local SPAN session hoặc RSPAN source session, bạn có thể kiểm tra và giám sát những port nguồn hoặc các VLAN nguồn cho những lưu lượng truyền theo cả hai hướng. Switch có khả năng hỗ trợ rất nhiều port nguồn (tối đa số port đang hoạt động trên switch) và một số VLAN nguồn (tối đa số VLAN đang được cấu hình hoạt động trên Switch). Tuy nhiên, switch chỉ có khả năng hỗ trợ tối đa là hai session (local hoặc RSPAN ) với các port hoặc VLAN nguồn, và bạn không thể sử dụng chung cả port và VLAN trong một session.
- Một Port nguồn sẽ có những đặc điểm sau:
+ Nó có thể được kiểm tra và giám sát trong nhiều SPAN session
+ Mỗi port nguồn có thể cấu hình với một hướng (đi vào, đi ra hoặc cả hai) để kiểm tra giám sát.
+ Port nguồn có thể có nhiều loại port (ví dụ: EtherChannel, Fastethernet, Gigabit Ethernet..)
+ Những nguồn EtherChannel, bạn có thể kiểm tra và giám sát cho toàn bộ EtherChannel hoặc riêng biệt từng port vật lý của EtherChannel đó.
+ Nó có thể là một Access Port, Trunk Port, Routed Port, hoặc Voice VLAN port.
+ Nó không thể là một port đích.
+ Các port nguồn có thể nằm trong cùng một VLAN hoặc khác VLAN.
+ Bạn có thể kiểm tra và giám sát nhiều Port nguồn trong cùng một session.
d. VLAN nguồn.
- VSPAN (VLAN-based SPAN) là sự kiểm tra các lưu lượng mạng trên một hoặc nhiều VLAN. SPAN hoặc RSPAN source interface trong VSPAN là một VLAN ID, và lưu lượng được kiểm tra trên tất cả các port của VLAN đó.
- VSPAN có những đặc điểm sau:
+ Tất cả các port hoạt động trong một VLAN nguồn sẽ bao gồm các port nguồn và có thể được kiểm tra theo cả hai hướng truyền dữ liệu.
+ Trên một port, duy nhất những lưu lượng trên một VLAN được kiểm tra sẽ gửi đến port đích.
+ Nếu port đích nằm trong một VLAN nguồn, thì nó sẽ không nằm trong danh sách của nguồn và sẽ không được kiểm tra.
+ Nếu các port được thêm vào hoặc hủy khỏi VLAN nguồn, thì những lưu lượng trên VLAN nguồn sẽ được nhận bởi những port được thêm vào hoặc hủy đi đến những port được kiểm tra.
+ Bạn không thể sử dụng các VLAN filter trong cùng một session với VLAN nguồn.
+ Bạn có thể kiểm tra duy nhất các VLAN Ethernet.
e. VLAN Filtering
Khi bạn kiểm tra và giám sát một port trunk như một port nguồn, theo mặc định, tất cả các vlan hoạt động trên đường trunk đó sẽ được kiểm tra. Bạn có thể giới hạn các lưu lượng SPAN được kiểm tra trên port trunk của các VLAN bằng cách sử dụng VLAN filtering:
- VLAN filtering sẽ được áp dụng duy nhất trên các port trunk hoặc các port Voice VLAN.
- VLan filtering chỉ áp dụng cho duy nhất các port-based sessions và không cho phép những session với các VLAN nguồn.
- Khi một danh sách VLAN filter được định nghĩa, duy nhất những VLAN trong danh sách được kiểm tra và giám sát trên những port trunk đó hoặc những port Voice VLAN đó.
- Lưu lượng SPAN đến từ các loại port khác sẽ không được lọc bởi VLAN filtering.
- VLAN filtering sẽ ảnh hưởng duy nhất đến những lưu lượng được chuyển đến các port SPAN đích và không ảnh hưởng đến những lưu lượng chuyển mạch bình thường.
f. Port đích.
- Mỗi một Local SPAN session hoặc RSPAN destination session sẽ phải có một port đích (còn được gọi là monitoring port), và port đó sẽ nhận một bản sao của những lưu lượng từ các port nguồn hoặc các VLAN nguồn và gửi các gói tin SPAN đến các người dùng, và thường sử dụng một bộ công cụ phân tích mạng.
- Một Port đích sẽ có những đặc điểm sau:
+ Một Local SPAN session, port đích phải nằm trong cùng một switch với port nguồn. Trong một RSPAN session, thì port đích nằm trên một switch có chứa RSPAN destination session. Không có port đích trên một switch đang chạy duy nhất một RSPAN session.
+ Khi một port được cấu hình là một SPAN destination port, thì cấu hình này sẽ thay thế cấu hình port nguyên bản ban đầu. Khi cấu hình SPAN destination bị hủy bỏ, thì port sẽ chuyển đổi lại thành cấu hình trước kia của nó. Nếu một cấu hình thay đổi trên một port trong khi nó đang hoạt động với vai trò là một SPAN destination port, thì sự thay đổi đó không bị ảnh hưởng cho đến khi cấu hình SPAN destination bị hủy bỏ.
+ Nếu một port nằm trong một nhóm EtherChannel, thì nó sẽ bị hủy bỏ khỏi nhóm đó trong khi nó là một port đích. Nếu port đó là một routed port, thì nó sẽ không còn đóng vai trò như một routed port nữa.
+ Nó có thể là các port Ethernet vật lý.
+ Nó không thể là một port secure.
+ Nó không thể là một port nguồn
+ Nó không thể là một nhóm EtherChannel hoặc một VLAN.
+ Nó có thể là một port trong một SPAN session tại một thời điểm nào đó.
+ Khi port đích được active, thì các lưu lượng đi đến sẽ bị disable. Các port này sẽ không truyền mọi lưu lượng trừ những lưu lượng cần thiết cho SPAN session.
- Local SPAN và RSPAN destination port có những điểm khác nhau khi đề cập đến VLAN tagging và encapsulation:
+ Local SPAN, nếu từ khóa encapsulation replicate được chỉ định cho port đích, thì những gói tin sẽ được biểu diễn với những kiểu đóng gói sau: untegged, ISL, hoặc IEEE 802.1Q. Những từ khóa đó không được chỉ ra, thì các gói tin sẽ được biểu diễn dưới dạng định dạng untagged.
+ RSPAN, thì VLAN ID nguyên bản sẽ bị mất bởi vì nó được thay thế bởi RSPAN VLAN ID. Vì vậy tất cả các gói tin sẽ được biểu diễn trên port đích dưới định dạng untagged.
5. Sự tương thích của SPAN và RSPAN với những giao thức khác.
SPAN có khả năng tương thích với những tính năng sau:
- Routing: SPAN không có khả năng kiểm tra và giám sát những lưu lượng đã được định tuyến. VSPAN duy nhất chỉ có khả năng kiểm tra và giám sát những lưu lượng được đưa vào switch hoặc tồn tại trên switch, không có lưu lượng nào được định tuyến giữa các VLAN. Cho ví dụ, nếu một VLAN nào mà có Rx-monitored và switch sẽ định tuyến những lưu lượng từ VLAN khác để có thể kiểm tra và giám sát được, những lưu lượng này sẽ không được kiểm tra và không được nhận trên một port đích của SPAN.
- STP: một port đích không hoạt động với giao thức SPT trong khi SPAN hoặc RSPAN của nó đang hoạt động. Port đích có thể hoạt động trong một STP sau khi SPAN hoặc RSPAn session bị disbable. Trên một port nguồn, SPAN sẽ không làm ảnh hưởng đến trạng thái của STP. STP có thể hoạt động trên các port trunk và mang theo các RSPAN VLAN.
- CDP: Một port đích của SPAN không hoạt động với giao thức CDP trong khi SPAN session thì đang hoạt động. Sau khi SPAN session bị disable, thì port đó sẽ lại hoạt động với CDP.
- VTP: Bạn có thể sử dụng VTP để hạn chế một RSPAN VLAN giữa các switch.
- VLAN và Trunking: Bạn có thể sửa đổi các thành viên của VLAN hoặc Trunk cho các port nguồn và port đích ở mọi thời điểm. Tuy nhiên, những thay đổi của các thành viên trong VLAN hoặc Trunk cho port đích sẽ không ảnh hưởng cho đến khi bạn hủy bỏ cấu hình SPAN destination. Những thay đổi của các thành viên trong VLAN hoặc trunk của các port nguồn sẽ bị ảnh hưởng ngay lập tức, và tương ứng cho những SPAN session.
- EtherChannel: Bạn có thể cấu hình một nhóm EtherChannel như một port nguồn nhưng không thể như một port đích của SPAN. Khi một nhóm được cấu hình như một SPAN nguồn, thì toàn bộ nhóm đó sẽ được kiểm tra và giám sát. Nếu một port vật lý được thêm vào một nhóm EtherChannel đã được kiểm tra, thì port mới đó sẽ nằm trong danh sách của port nguồn. Nếu một port được hủy bỏ khỏi nhóm EtherChannel đã được kiểm tra, thì nó sẽ tự động hủy bỏ khỏi danh sách port nguồn. Một port vật lý nằm trong một nhóm EtherChannel có thể được cấu hình như một SPAN source port và vẫn là một phần của EtherChannel. Trong trường hợp này, dữ liệu từ port vật lý đó sẽ được kiểm tra như một thành phần của EtherChannel. Tuy nhiên, nếu một port vật lý nằm trong một nhóm EtherChannel được cấu hình như một SPAN destination, thì nó sẽ rời bỏ khỏi nhóm đó. Sau khi port này rời bỏ khỏi SPAN session, thì nó sẽ ra nhập vào một nhóm EtherChannel. Các port tách từ một nhóm EtherChannel vẫn sẽ là thành viên của nhóm, nhưng chúng sẽ ở trạng thái inactive hoặc suspended. Nếu một port vật lý hoạt động bên dưới một nhóm EtherChannel là một port đích và nhóm EtherChannel đó là một SPAN nguồn, thì port đó sẽ tách khỏi nhóm EtherChannel đó và cũng tách khỏi danh sách các port được kiểm tra.
- Lưu lượng Multicast có thể được kiểm tra.
- Một Private-VLAN port không thể là một port đích của SPAN.
- Một secure port không thể là một port đích của SPAN.
- Một IEEE 802.1x port có thể là một port nguồn của SPAN. Bạn có thể enable IEEE 802.1x trên một port để trở thành port đích của SPAN.
Phần II: Cấu hình SPAN và RSPAN
Phần này sẽ bao gồm những thông tin cấu hình sau:
- Cấu hình SPAN và RSPAN mặc định
- Cấu hình Local SPAN
- Cấu hình RSPAN
1. Cấu hình SPAN và RSPAN mặc định
- Bảng 1.3 hiển thị các thông số cấu hình mặc định của SPAN và RSPAN.
Bảng 1.3
2. Cấu hình Local SPAN.
chủ đề cấu hình này sẽ bao gồm một số phần sau:
- Cấu hình SPAN theo hướng dẫn.
- Tạo một Local SPAN session.
- Tạo một Local SPAN session và cấu hình các lưu lượng đến.
- Chỉ ra các VLAN để Filter.
a. Cấu hình SPAN theo hướng dẫn.
Dưới đây là những hướng dẫn các bạn có thể dùng để tham khảo trong quá trình SPAN:
- Đối với các SPAN nguồn, bạn có thể kiểm tra những lưu lượng cho một port hoặc VLAN hoặc một dải các port hoặc các VLAN cho mỗi session. Bạn không thể dùng chung những port nguồn và VLAN nguồn với một SPAN session.
- Port đích không thể là một port nguồn; một port nguồn cũng không thể là một port đích.
- Bạn không thể có hai SPAN session sử dụng cùng một port đích.
- Khi bạn cấu hình một port của switch là một port đích của SPAN, thì nó không phải là một port bình thường của switch; duy nhất những lưu lượng được kiểm tra có thể đi qua port đích của SPAN.
- Khi nhập những câu lệnh cấu hình SPAN mà không muốn hủy bỏ những tham số cấu hình cũ của SPAN. Thì bạn sẽ phải nhập câu lệnh: no monitor session { session_number | all | local | remote } ở chế độ global configuration để xóa đi những tham số đã được cấu hình của SPAN.
- Với một Local SPAN, những gói tin đi ra thông qua port đích của SPAN có thể mang theo những hearder đã được đóng gói-untagged, ISL, hoặc IEEE 802.1Q - nếu từ khóa encapsulation replicate được chỉ ra. Nếu từ khóa này không được chỉ ra, những gói tin sẽ được gửi dưới định dạng Native. Với những port đích của RSPAN, thì những gói tin đi ra sẽ không được tagged.
- Bạn có thể cấu hình một port không hoạt động với vai trò port nguồn hoặc port đích, nhưng chức năng của SPAN sẽ không khởi động cho đến khi port đích và ít nhất một port nguồn hoặc VLAN nguồn được enable.
- Bạn có thể giới hành những lưu lượng của SPAN bằng cách dùng từ khóa filter vlan. Nếu một port trunk đã được cấu hình kiểm tra, thì duy nhất những lưu lượng trên những VLAN được chỉ ra với từ khóa đó sẽ được kiểm tra. Theo mặc định, tất cả các VLAN đều được kiểm tra trên các port trunk.
- Bạn không thể dùng chung các VLAN nguồn và các Filter VLAN trong cùng một SPAN session.
- Catalyst 3560-24PS và 3560-48PS switch có phần cứng giới hạn những liên quan đến SPAN. Một bản sao lưu lượng của SPAN là một lưu lượng định tuyến unicast sẽ phải hiển thị sai địa chỉ MAC trên cả hai local hoặc remote SPAN session. Sự giới hạn này sẽ không được áp dụng lên những gói tin được chuyển mạch trên Bridge.
b. Tạo một Local SPAN session.
- Bắt đầu ở chế độ Privileged EXEC, những bước sau sẽ được thực hiện để tạo một SPAN session và chỉ ra các port hoặc các VLAN được kiểm tra và những port đích kiểm tra.
- Ví dụ dưới đây sẽ dùng để cấu hình một SPAN session 1 để kiểm tra và giám sát các lưu lượng port nguồn đến một port đích. Đầu tiên, mọi thông số cấu hình cho session 1 sẽ bị xóa, và sau đó các lưu lượng sẽ được kiểm tra từ port Gigabit Ethernet 1 nguồn đến port đích Gigabit Ethernet 2.
example:Switch_3560_VNE# configure terminalSwtich_3560_VNE(config)# no monitor session 1 allSwtich_3560_VNE(config)# monitor session 1 source interface gigabitethernet 0/1Swtich_3560_VNE(config)# monitor session 1 destination interface gigabitethernet 0/2 encapsulation replicateSwtich_3560_VNE(config)# endSwtich_3560_VNE# show monitor session 1Swtich_3560_VNE# show running-configSwtich_3560_VNE# copy run start
- Để xóa bỏ một SPAN session, sử dụng câu lệnh: no monitor session session_number ở chế độ global configuration. Để tách một port nguồn hoặc một port đích hoặc VLAN khỏi một SPAN session, sử dụng câu lệnh: no monitor session session_number source {interface interface-id | vlan vlan-id} ở chế độ global configuration hoặc no monitor session session_number destination interface interface-id ở chế độ global configuration.
- Ví dụ sau sẽ mô tả cách để tách port 1 đóng vai trò như một SPAN nguồn cho SPAN session 1:
example:Switch_3560_VNE# configure terminalSwitch_3560_VNE(config)# no monitor session 1 source interface gi0/1Switch_3560_VNE(config)# end
- Ví dụ sau sẽ mô tả cách để disable chức năng nhận lưu lượng trên port 1:
example:
Switch_3560_VNE# configure terminalSwitch_3560_VNE(config)# no monitor session 1 source interface gi0/1 rxSwitch_3560_VNE(config)# end
- Chức năng kiểm tra những lưu lượng nhận trên port 1 đã bị disable, những những lưu lượng gửi đi từ port này vẫn sẽ được kiểm tra và giám sát.
- Ví dụ sau sẽ mô tả cách xóa bỏ những tham số cấu hình trên SPAN session 2, và sau đó cấu hình SPAN session 2 để kiểm tra những lưu lượng nhận được trên tất cả các port nằm trong VLAN 1 đến VLAN 3, và gửi nó đến port đích Gigabit Ethernet 2.
example:Switch_3560_VNE# configure terminalSwitch_3560_VNE(config)# no monitor session 2Switch_3560_VNE(config)# monitor session 2 source vlan 1 - 3 rxSwitch_3560_VNE(config)# monitor session 2 destination interface gi0/2Switch_3560_VNE(config)# monitor session source vlan 10Switch_3560_VNE(config)# endSwitch_3560_VNE# copy run start
C. Tạo một Local SPAN session và cấu hình các lưu lượng đến.
- Bắt đầu cấu hình ở chế độ global configuration, những bước sau sẽ được thực hiện để tạo một SPAN session, để hiển thị những port nguồn hoặc những VLAN nguồn và các port đích, và để enable những lưu lượng đến trên một port đích cho một thiết bị bảo mật mạng (Cisco IDS).
example:Switch_3560_VNE# configure terminalSwitch_3560_VNE(config)# no monitor session 2Switch_3560_VNE(config)# monitor session 2 source gigabitethernet 0/1 rxSwitch_3560_VNE(config)# monitor session 2 destination interface gi0/2 encapsulation replicate ingress dot1q vlan 6Switch_3560_VNE(config)# endSwitch_3560_VNE# copy run start
D. Chỉ ra các VLAN để Filter.
- Bắt đầu cấu hình ở chế độ Privileged EXEC, những bước sau sẽ được thực hiện để giới hạn lưu lượng SPAN nguồn cho những VLAN.
- Ví dụ sau sẽ mô tả cách thức để xóa bỏ những tham số cấu hình tồn tại trên SPAN session 2, sau đó cấu hình SPAN session 2 để kiểm tra những lưu lượng được nhận trên Gigabit Ethernet Trunk port 2, và những lưu lượng sẽ gửi duy nhất từ những vlan từ 1 đến 5 và VLAN 9 đến port đích là Gigabit Ethernet 1.
example:Switch_3560_VNE# configure terminalSwitch_3560_VNE(config)# no monitor session 2Switch_3560_VNE(config)# monitor session 2 source gigabitethernet 0/2 rxSwitch_3560_VNE(config)# monitor session 2 filter vlan 1 - 5, 9Switch_3560_VNE(config)# monitor session 2 destination interface gigabitethernet 0/1Switch_3560_VNE(config)# endSwitch_3560_VNE# copy run start
- Để kiểm tra và giám sát tất cả các VLAN trên port trunk, sử dụng câu lệnh: no monitor session session_number filter ở chế độ global configuration của switch.
3. Cấu hình RSPAN.
Trong phần cấu hình RSPAN này sẽ bao gồm những tiêu điểm sau:
- Cấu hình RSPAN theo hướng dẫn.
- Cấu hình một VLAN như một RSPAN VLAN.
- Tạo một RSPAN Source Session.
- Tạo một RSPAN Destination Session
- Tạo một RSPAN destination và Cấu hình những lưu lượng đến.
- Cấu hình các VLAN filter.
a. Cấu hình RSPAN theo hướng dẫn.
Những hướng dẫn sau các bạn có thể tham khảo khi cấu hình RSPAN.
- Tất cả các mục trong phần: "Cấu hình SPAN theo hướng dẫn" ở trên có thể dùng được đối với RSPAN.
- Các RSPAN VLAN sẽ có những thuộc tính đặc biệt, bạn sẽ có một số VLAN được rành riêng để cấu hình như những RSPAN VLAN trong hệ thống của bạn; không được phép gán những access port vào trong các VLAN này.
- Bạn có thể áp dụng một ACL cho một lưu lượng RSPAN để lọc hoặc kiểm tra giám sát những gói tin này. Những ACL này được chỉ định cho các RSPAN VLAN trong một RSPAN source switch.
- Khi cấu hình RSPAN, bạn có thể phân tán các port nguồn và các port đích thông qua nhiều switch trong hệ thống mạng của bạn.
- RSPAN không hỗ trợ việc kiểm tra giám sát các gói tin BPDU hoặc các giao thức của Layer 2.
- RSPAN VLAN được cấu hình duy nhất trên các port trunk và không được phép cấu hình trên các access port. Để ngăn ngừa việc không muốn các lưu lượng truyền trong các RSPAN VLAN, thì bạn cần phải chắc chắn rằng chức năng VLAN remote-span sẽ phải hỗ trợ trên tất cả các switch trong hệ thống.
- Các port access (bao gồm cả các Voice VLAN port) trên một RSPAN VLAN sẽ được đưa về trạng thái inactive.
- Các RSPAN VLAN bao gồm cả các port nguồn của RSPAN session được tạo dựa trên port khi các port trunk nguồn có RSPAN VLAN được active. RSPAN VLAN cũng có thể là một nguồn trong một SPAN session.
- Bạn có thể cấu hình nhiều VLAN như một RSPAN VLAN với những điều kiện sau:
+ Cùng một RSPAN VLAN được dùng cho một RSPAN session trong tất cả các switch.
+ Tất cả các switch sẽ hỗ trợ RSPAN.
- Chúng tôi khuyến cáo rằng bạn nên cấu hình một RSPAN VLAN trước khi bạn cấu hình một RSPAN nguồn hoặc một RSPAN đích.
- Nếu bạn enable VTP và VRP pruning, thì lưu lượng RSPAN sẽ được hạn ché trong các đường trunk để ngăn cản việc quảng bá các lưu lượng RSPAN không mong muốn thông qua mạng cho những VLAN ID có giá trị thấp hơn 1005.
- Catatyst 3560-24PS và 3560-48PS switch có phần cứng giới hạn liên quan đến RSPAN:
+ Một bản sao của lưu lượng SPAN đi ra được định tuyến như một lưu lượng unicast sẽ phải hiển thị không đúng địa chỉ MAC trên cả hai session là: Local và Remote SPAN. Sự giới hạn này không được áp dùng cho các gói tin được chuyển mạch trên Bridged.
+ Các gói tin SPAN được định tuyến ra ngoài (cả unicast và multicast) sẽ hiển thị không đúng địa chỉ MAC nguồn. Vói những gói tin SPAN remote, thì địa chỉ MAC nguồn sẽ địa chỉ MAC của VLAN ra, nhưng thay vào đó gói tin này sẽ hiển thị địa chỉ MAC của RSPAN VLAN.
b. Cấu hình một VLAN như một RSPAN VLAN.
- Đầu tiên tạo một VLAN mới hoạt động với vai trò như một RSPAN VLAN cho một RSPAN session. Bạn sẽ phải tạo một RSPAN VLAN trên tất cả các switch nằm trong một RSPAN. Nếu RSPAN VLAN-ID nằm trong dải thấp hơn 1005 và VTP được enable trên hệ thống, bạn có thể tạo RSPAN VLAN trên một switch, và quảng bá các thông tin về VTP của nó cho các switch khác trong VTP domain đó. Với những VLAN mở rộng (lớn hơn 1005), bạn sẽ phải cấu hình RSPAN VLAN trên cả hai switch nguồn và đích.
- Sử dụng VTP pruning để lấy về một luồng lưu lượng của RSPAN, hoặc có thể xóa một RSPAN VLAN từ tất cả những đường trunk mà không ảnh hưởng đến những lưu lượng RSPAN được mang theo trên những đường trunk đó.
- Bắt đầu ở chế độ Privileged EXEC, những bước sau sẽ phải được thực hiện để tạo một RSPAN VLAN:
example:Switch_3560_VNE# configure terminalSwitch_3560_VNE(config)# vlan 901Switch_3560_VNE(config-vlan)# remote spanSwitch_3560_VNE(config-vlan)# endSwitch_3560_VNE# copy run start
- Để xóa bỏ những tham số cấu hình của SPAN từ một VLAN và chuyển đổi nó trở về một VLAN bình thường, sử dụng câu lệnh: no remote-span ở chế độ VLAN configuration.
C. Tạo một RSPAN Source Session.
- Bắt đầu ở chế độ Privileged EXEC của switch, những bước sau sẽ phải được thực hiện để khởi động một RSPAN source session và chỉ định một RSPAN VLAN nguồn và đích được kiểm tra:
- Ví dụ dưới đây sẽ mô tả phương pháp để xóa bỏ những thông số cấu hình tồn tại trên RSPAN cho session 1, cấu hình RSPAN session 1 để kiểm tra giám sát nhiều interface nguồn, và cấu hình RSPAN VLAN 901 như một destination.
example:Switch_3560_VNE# configure terminalSwitch_3560_VNE(config)# no monitor session 1Switch_3560_VNE(config)# monitor session 1 source interface gi0/1 txSwitch_3560_VNE(config)# monitor session 1 source interface gi0/2 rxSwitch_3560_VNE(config)# monitor session 1 source interface port-channel 2Switch_3560_VNE(config)# monitor session 1 destination remote vlan 901Switch_3560_VNE(config)# endSwitch_3560_VNE# copy run start
- Để xóa một port nguồn hoặc một VLAN từ một SPAN session, sử dụng câu lệnh no monitor session session_number source {interface interface-id | vlan vlan-id} ở chế độ global configuration. Để xóa bỏ một RSPAN VLAN từ một session, sử dụng câu lệnh: no monitor session session_number destination remote vlan vlan-id.
d. Tạo một RSPAN Destination Session.
- Bạn cấu hình một RSPAN destination session trên một switch khác; không cấu hình source session trên một switch nào cả.
- Bắt đầu ở chế độ Privileged EXEC, những bước sau sẽ được thực hiện để cấu hình một RSPAN VLAN trên một switch, để tạo một RSPAN destination session, và để chỉ ra một port RSPAN VLAN nguồn và đích.
- Ví dụ bên dưới sẽ dùng để cấu hình VLAN 901 như một source remote VLAN và port 1 như một port đích.
example:Switch_3560_VNE# configure terminalSwitch_3560_VNE(config)# monitor session 1 source remote vlan 901Switch_3560_VNE(config)# monitor session 1 destination interface gigabitethernet 0/1Switch_3560_VNE(config)# endSwitch_3560_VNE# copy run start
- Để xóa một SPAN session, sử dụng câu lệnh: no monitor session session-number ở chế độ global configuration.
e. Tạo một RSPAN destination và Cấu hình những lưu lượng đến.
- Bắt đầu ở chế độ Privileged EXEC, những bước sau sẽ được thực thi để tạo một RSPAN destination session, để chỉ định một port RSPAN VLAN nguồn và đích, và để enable những lưu lượng đến trên một port đích của một thiết bị bảo mật. (cisco IDS).
- Ví dụ sau sẽ mô tả cách cấu hình VLAN 901 như một source remote VLAn trong RSPAN session 2, để cấu hình port Gi0/2 như một port đích, và để enable chức năng chuyển mạch các lưu lượng đến trên interface VLAN 6 như một VLAN nhận mặc định.
example:Switch_3560_VNE# configure terminalSwitch_3560_VNE(config)# no monitor session 2Switch_3560_VNE(config)# monitor session 2 source remote vlan 901Switch_3560_VNE(config)# monitor session 2 destination interface gi0/2 ingress vlan 6Switch_3560_VNE(config)# endSwitch_3560_VNE# copy run start
- Để xóa một RSPAN session, sử dụng câu lệnh no monitor session session_number ở chế độ global configuration.
f. Cấu hình các VLAN filter.
- Bắt đầu ở chế độ Privileged EXEC, những bước sau được thực hiện để cấu hình một RSPAN source session để giới hạn các lưu lượng RSPAN nguồn đến một số vlan được chỉ định.
- Ví dụ sau sẽ mô tả cách xóa bỏ những thông tin cấu hình đang tồn tại trên một RSPAN session 2, và cấu hình RSPAN session 2 để kiểm tra những lưu lượng nhận được trên port trunk 2, và gửi những lưu lượng này duy nhất từ những VLAN 1 đến VLAN 5 và VLAN 9 đến RSPAN VLAN 902.
example:Switch_3560_VNE# configure terminalSwitch_3560_VNE(config)# monitor session 2 source interface gi0/2 rxSwitch_3560_VNE(config)# monitor session 2 filter vlan 1 - 5, 9 Switch_3560_VNE(config)# monitor session 2 destination remote vlan 902 Switch_3560_VNE(config)# endSwitch_3560_VNE# copy run start
Phần III: Hiển trị trạng thái của SPAN và RSPAN.
- Để hiển thị những thông số cấu hình hiện tại của SPAN hoặc RSPAN, sử dụng câu lệnh: show monitor ở chế độ user EXEC. Bạn cũng có thể sử dụng câu lệnh: show running-config ở chế độ privileged EXEC để hiển thị những thông số cấu hình của SPAN hoặc RSPAN.