Cấu hình SPAN và RSPAN bao gồm những phần sau:
+ Phần I: Tìm hiểu SPAN và RSPAN
+ Phần II: Cấu hình SPAN và RSPAN
+ Phần III: Hiển trị trạng thái của SPAN và RSPAN.
Phần I: Tìm hiểu SPAN và RSPAN.
1. Tìm hiểu về SPAN và RSPAN.
- Bạn có thể phân tích lưu lượng mạng thông qua các port hoặc các VLAN bằng cách sử dụng SPAN hoặc RSPAN để gửi một bản sao lưu của những lưu lượng đó đến một port khác của switch hoặc trên một port của switch khác đã kết nối trực tiếp đến một thiết bị phân tích lưu lượng mạng hoặc thiết bị giám sát hoặc những thiết bị bảo mật. SPAN sẽ sao lưu những lưu lượng nhận được hoặc gửi trên những port nguồn hoặc những VLAN nguồn đến một port đích để phân tích. SPAN không ảnh hưởng đến quá trình chuyển mạch của những lưu lượng mạng trên những port nguồn hoặc những VLAN nguồn. Bạn sẽ phải dành port đích cho SPAN sử dụng. Trừ những lưu lượng cần cho SPAN hoặc RSPAN, những port đích sẽ không nhận hoặc chuyển mạch các lưu lượng này.
- Duy nhất những lưu lượng được đi vào hoặc đi ra khỏi port nguồn hoặc những lưu lượng được đi vào hoặc đi ra khỏi VLAN nguồn có thể được giám sát bằng bởi SPAN; những lưu lượng được định tuyến đến một VLAN nguồn không thể giám sát được. Cho ví dụ, nếu lưu lượng đến đã được giám sát, thì những lưu lượng được định tuyến từ một VLAN khác đến VLAN nguồn không thể giám sát được; tuy nhiên, những lưu lượng được nhận trên VLAN nguồn và được định tuyến đến VLAN khác có thể kiểm tra giám sát được.
- Bạn có thể sử dụng SPAN hoặc RSPAN của port đích để có thể kiểm tra hoặc giám sát được lưu lượng từ một thiết bị bảo mật mạng. Cho ví dụ, nếu bạn kết nối một thiết bị Cisco Intrusion Detection System (IDS) đến một port đích, thì thiết bị IDS có thể gửi một gói tin TCP reset để đóng lại TCP session của những người tấn công.
- Trong phần tìm hiểu về SPAN và RSPAN sẽ có một số chủ đề đang lưu ý sau:
+ Local SPAN
+ Remote SPAN
+ Các khái niệm và thuật ngữ của SPAN và RSPAN
+ Sự tương thích giữa SPAN và RSPAN với những giao thức khác.
2. Local SPAN
- Local SPAN có khả năng hỗ trợ một SPAN session hoàn toàn với một switch; tất cả các port nguồn hoặc VLAN nguồn và các port đích nằm trên cùng một switch. Local SPAN thực hiện sao lưu một lưu lượng từ một hoặc nhiều port nguồn trong một VLAN hoặc đến từ một hoặc nhiều VLAN đến một port đích để thực hiện phân tích. Cho ví dụ, trong hình 1.1, tất cả các lưu lượng trên port 5 (port nguồn) đã được sao lưu đến port 10 (port đích). Một công cụ phân tích mạng trên port 10 đã nhận tất cả các lưu lượng mạng từ port 5 mà không cần phải cắm trực tiếp vào port 5.
Hình 1.1: Ví dụ về Local SPAN.
3. Remote SPAN (RSPAN)
- RSPAN có khả năng hỗ trợ các port nguồn, VLAN nguồn, và các port đích nằm trên các switch khác nhau, cho phép kiểm tra và giám sát từ xa đối với nhiều switch trong hệ thống mạng. Hình 1.2 hiển thị các port nguồn trên Switch A và Switch B. Lưu lượng cho mỗi RSPAN session sẽ được mang theo trên mỗi một user được chỉ định trong RSPAN VLAN. Lưu lượng RSPAN từ các port nguồn hoặc các VLAN nguồn sẽ được sao lưu vào trong một RSPAN VLAN và chuyển mạch ra các port trunk để mang theo RSPAN VLAN đến một RSPAN VLAN đích. Mỗi switch RSPAN nguồn phải có các port hoặc các VLAN đóng vai trò như một RSPAN nguồn. Đích sẽ luôn là một port vật lý, giống như switch C được hiển thị trong hình.
4. Các khái niệm và thuật ngữ của SPAN và RSPAN
- Trong chủ đề này sẽ đưa ra các khái niệm và các thuật ngữ có liên quan đến cấu hình SPAN và RSPAN.
a. SPAN Sessions.
- SPAN sessions (local hoặc remote) cho phép bạn có thể kiểm tra giám sát lưu lượng mạng trên một hoặc nhiều port, hoặc trên một hoặc nhiều VLAN, và gửi những lưu lượng đã được kiểm tra đến một hoặc nhiều port đích.
- Một local SPAN session là một sự kết hợp của một port đích với những port nguồn hoặc VLAN nguồn, tất cả trên một thiết bị mạng duy nhất. Local SPAN không có các session nguồn và đích riêng biệt. Local SPAN sessions thu thập được những gói tin đi vào và đi ra chỉ định bởi người dùng và đưa chúng vào trong một luồng của dữ liệu SPAN, và chuyển đến port đích.
- RSPAN có chứa ít nhất một RSPAN source session, một RSPAN VLAN, và ít nhất một RSPAN destination session. Bạn có thể cấu hình để tách riêng RSPAN source session và RSPAN destination session trên những thiết bị mạng khác nhau. Để cấu hình một RSPAN source session trên một thiết bị, bạn có thể kết hợp một số port nguồn hoặc VLAN nguồn với một RSPAN VLAN. Kết quả của session này là một luồng gói tin SPAN sẽ được gửi đến một RSPAN VLAN. Để cấu hình một RSPAN destication session trên một thiết bị khác, bạn có thể kết hợp port đích với một RSPAN VLAN. Session đích sẽ tập hợp tất cả các lưu lượng RSPAN VLAN và gửi chúng ra khỏi RSPAN destination port.
- Một RSPAN source session giống như một local SPAN session, trừ nơi mà luồng gói tin sẽ được chuyển đến. Trong một RSPAN source session, các gói tin SPAN sẽ có liên quan với một RSPAN VLAN ID và sẽ được chuyển trên những port trunk thông thường để đến các switch đích.
- Một RSPAN destination session sẽ giữ lại tất cả những gói tin đã được nhận trên một RSPAN VLAN, bỏ đi thông tin VLAN tagging, và biểu diễn chúng trên một port đích. Mục đích của nó là để biểu diễn một bản sao lưu của tất cả các gói tin RSPAN VLAN (trừ những gói tin điều khiển Layer 2) để người dùng có thể phân tích.
- Có thể có nhiều hơn một source session và nhiều hơn một destination session được hoạt động trong cùng một RSPAN VLAN. Và các RSPAN source và destination có thể hoạt động trên các switch riêng biệt.
- Các lưu lượng quản lý trong một SPAN session có những hạn chế sau:
+ Nguồn có thể là các port hoặc là các VLAN, nhưng bạn không thể dùng đồng thời port và VLAN trong cùng một session.
+ Switch có thể hỗ trợ hai source session (Local SPAN và RSPAN source session). Bạn có thể chạy cả hai: một Local SPAN và một RSPAN source session trên cùng một switch. Switch có khả năng hỗ trợ tối đa là 66 source và destination RSPAN session.
+ Bạn có thể có nhiều port đích trong một SPAN session, nhưng không thể nhiều hơn 64 port.
+ Bạn có thể cấu hình hai SPAN hoặc RSPAN source session riêng biệt với các port nguồn hoặc các VLAN nguồn. Các port đã được cấu hình chuyển mạch và định tuyến có thể được cấu hình như một SPAN nguồn và đích.
+ SPAN session không làm ảnh hưởng đến sự hoạt động bình thường của switch. Tuy nhiên, một SPAN đích, cho ví dụ, một port 10-Mb/s quản lý giám sát một port 100-Mb/s, có thể dẫn đến kết quả bị mất gói tin hoặc hủy gói tin.
+ Khi RSPAN đã được enable, mỗi gói tin sẽ được kiểm tra giám sát khi được truyền và nhận. Vì vậy quá trình kiểm tra giám sát với một số lượng port lớn hoặc VLAN lớn có thể dẫn đến việc đưa ra một lượng rất lớn của những lưu lượng quản lý mạng.
+ Bạn có thể cấu hình SPAN session trên các port đã bị disable; tuy nhiên, một SPAN session sẽ không hoạt động cho đến khi nào bạn enable port đích và có ít nhất một port nguồn hoặc VLAN nguồn cho session đó.
+ Switch sẽ không hỗ trợ cả Local SPAN và RSPAN hoạt động trong một session.
b. Kiểm tra lưu lượng.
SPAN session có khả năng kiểm tra và giám sát những loại lưu lượng sau:
- Receive (Rx) SPAN: SPAN có khả năng kiểm tra giám sát được những gói tin nhận từ interface nguồn hoặc VLAN nguồn trước khi có sự sửa đổi hoặc sử lý được thi hành bởi switch. Một bản sao lưu của mỗi một gói tin được nhận bởi nguồn sẽ gửi đến port đích của SPAN session đó. Những gói tin sẽ được sửa đổi bởi quá trình định tuyến hoặc quá trình phân loại của QoS.
- Transmit (Tx) SPAN: SPAN có khả năng kiểm tra giám sát được các gói tin gửi bởi interface nguồn sau khi tất cả quá trình sửa đổi hoặc quá trình xử lý được thi hành bởi switch. Một bản sao lưu của mỗi một gói tin được gửi bởi nguồn sẽ gửi đến port đích của SPAN session đó. Bản sao lưu của gói tin sẽ được cung cấp sau khi gói tin được sửa đổi. Các gói tin sẽ bị sửa đổi vì quá trình định tuyến, cho ví dụ: sửa đổi thông tin của trường TTL (time-to-live), địa chỉ MAC, hoặc giá trị QoS.
- Cả hai: Transmit và Recieve trong một SPAN session, bạn cũng có thể kiểm tra và giám sát một port hoặc một VLAN cho cả hai loại gói tin gửi và nhận. Và cơ chế này là mặc định.
- Cấu hình mặc định cho local SPAN session port là gửi tất cả những gói tin mà không cần tagged. SPAN cũng không kiểm tra giám sát các gói tin BPDU và các giao thức Layer 2, như: CDP (Cisco Discovery Protocol), VTP (VLAN Trunk Protocol), DTP (Dynamic Trunking Protocol), STP (Spanning Tree Protocol), và PAgP (Port Aggregation Protoccol). Tuy nhiên, bạn nhập câu lệnh: enacapsulation replicate khi bạn cấu hình một port đích, thì sẽ có những sự thay đổi sau:
+ Các gói tin sẽ được gửi trên một port đích với cùng giao thức đóng gói, ISL (Inter-Switch) Link, hoặc IEEE 802.1Q với port nguồn.
+ Các loại gói tin, bao gồm BPDU và các gói tin của các giao thức Layer 2 sẽ được kiểm tra và giám sát.
C. Port nguồn.
- Một Port nguồn (còn được gọi là monitored port) sẽ là một port chuyển mạch hoặc một port định tuyến được bạn dùng để kiểm tra và phân tích các lưu lượng mạng. Trong một Local SPAN session hoặc RSPAN source session, bạn có thể kiểm tra và giám sát những port nguồn hoặc các VLAN nguồn cho những lưu lượng truyền theo cả hai hướng. Switch có khả năng hỗ trợ rất nhiều port nguồn (tối đa số port đang hoạt động trên switch) và một số VLAN nguồn (tối đa số VLAN đang được cấu hình hoạt động trên Switch). Tuy nhiên, switch chỉ có khả năng hỗ trợ tối đa là hai session (local hoặc RSPAN ) với các port hoặc VLAN nguồn, và bạn không thể sử dụng chung cả port và VLAN trong một session.
- Một Port nguồn sẽ có những đặc điểm sau:
+ Nó có thể được kiểm tra và giám sát trong nhiều SPAN session
+ Mỗi port nguồn có thể cấu hình với một hướng (đi vào, đi ra hoặc cả hai) để kiểm tra giám sát.
+ Port nguồn có thể có nhiều loại port (ví dụ: EtherChannel, Fastethernet, Gigabit Ethernet..)
+ Những nguồn EtherChannel, bạn có thể kiểm tra và giám sát cho toàn bộ EtherChannel hoặc riêng biệt từng port vật lý
của EtherChannel đó.
+ Nó có thể là một Access Port, Trunk Port, Routed Port, hoặc Voice VLAN port.
+ Nó không thể là một port đích.
+ Các port nguồn có thể nằm trong cùng một VLAN hoặc khác VLAN.
+ Bạn có thể kiểm tra và giám sát nhiều Port nguồn trong cùng một session.
d. VLAN nguồn.
- VSPAN (VLAN-based SPAN) là sự kiểm tra các lưu lượng mạng trên một hoặc nhiều VLAN. SPAN hoặc RSPAN source interface trong VSPAN là một VLAN ID, và lưu lượng được kiểm tra trên tất cả các port của VLAN đó.
- VSPAN có những đặc điểm sau:
+ Tất cả các port hoạt động trong một VLAN nguồn sẽ bao gồm các port nguồn và có thể được kiểm tra theo cả hai hướng truyền dữ liệu.
+ Trên một port, duy nhất những lưu lượng trên một VLAN được kiểm tra sẽ gửi đến port đích.
+ Nếu port đích nằm trong một VLAN nguồn, thì nó sẽ không nằm trong danh sách của nguồn và sẽ không được kiểm tra.
+ Nếu các port được thêm vào hoặc hủy khỏi VLAN nguồn, thì những lưu lượng trên VLAN nguồn sẽ được nhận bởi những port được thêm vào hoặc hủy đi đến những port được kiểm tra.
+ Bạn không thể sử dụng các VLAN filter trong cùng một session với VLAN nguồn.
+ Bạn có thể kiểm tra duy nhất các VLAN Ethernet.
e. VLAN Filtering
Khi bạn kiểm tra và giám sát một port trunk như một port nguồn, theo mặc định, tất cả các vlan hoạt động trên đường trunk đó sẽ được kiểm tra. Bạn có thể giới hạn các lưu lượng SPAN được kiểm tra trên port trunk của các VLAN bằng cách sử dụng VLAN filtering:
- VLAN filtering sẽ được áp dụng duy nhất trên các port trunk hoặc các port Voice VLAN.
- VLan filtering chỉ áp dụng cho duy nhất các port-based sessions và không cho phép những session với các VLAN nguồn.
- Khi một danh sách VLAN filter được định nghĩa, duy nhất những VLAN trong danh sách được kiểm tra và giám sát trên những port trunk đó hoặc những port Voice VLAN đó.
- Lưu lượng SPAN đến từ các loại port khác sẽ không được lọc bởi VLAN filtering.
- VLAN filtering sẽ ảnh hưởng duy nhất đến những lưu lượng được chuyển đến các port SPAN đích và không ảnh hưởng đến những lưu lượng chuyển mạch bình thường.
f. Port đích.
- Mỗi một Local SPAN session hoặc RSPAN destination session sẽ phải có một port đích (còn được gọi là monitoring port), và port đó sẽ nhận một bản sao của những lưu lượng từ các port nguồn hoặc các VLAN nguồn và gửi các gói tin SPAN đến các người dùng, và thường sử dụng một bộ công cụ phân tích mạng.
- Một Port đích sẽ có những đặc điểm sau:
+ Một Local SPAN session, port đích phải nằm trong cùng một switch với port nguồn. Trong một RSPAN session, thì port đích nằm trên một switch có chứa RSPAN destination session. Không có port đích trên một switch đang chạy duy nhất một RSPAN session.
+ Khi một port được cấu hình là một SPAN destination port, thì cấu hình này sẽ thay thế cấu hình port nguyên bản ban đầu. Khi cấu hình SPAN destination bị hủy bỏ, thì port sẽ chuyển đổi lại thành cấu hình trước kia của nó. Nếu một cấu hình thay đổi trên một port trong khi nó đang hoạt động với vai trò là một SPAN destination port, thì sự thay đổi đó không bị ảnh hưởng cho đến khi cấu hình SPAN destination bị hủy bỏ.
+ Nếu một port nằm trong một nhóm EtherChannel, thì nó sẽ bị hủy bỏ khỏi nhóm đó trong khi nó là một port đích. Nếu port đó là một routed port, thì nó sẽ không còn đóng vai trò như một routed port nữa.
+ Nó có thể là các port Ethernet vật lý.
+ Nó không thể là một port secure.
+ Nó không thể là một port nguồn
+ Nó không thể là một nhóm EtherChannel hoặc một VLAN.
+ Nó có thể là một port trong một SPAN session tại một thời điểm nào đó.
+ Khi port đích được active, thì các lưu lượng đi đến sẽ bị disable. Các port này sẽ không truyền mọi lưu lượng trừ những lưu lượng cần thiết cho SPAN session.
- Local SPAN và RSPAN destination port có những điểm khác nhau khi đề cập đến VLAN tagging và encapsulation:
+ Local SPAN, nếu từ khóa encapsulation replicate được chỉ định cho port đích, thì những gói tin sẽ được biểu diễn với những kiểu đóng gói sau: untegged, ISL, hoặc IEEE 802.1Q. Những từ khóa đó không được chỉ ra, thì các gói tin sẽ được biểu diễn dưới dạng định dạng untagged.
+ RSPAN, thì VLAN ID nguyên bản sẽ bị mất bởi vì nó được thay thế bởi RSPAN VLAN ID. Vì vậy tất cả các gói tin sẽ được biểu diễn trên port đích dưới định dạng untagged.
5. Sự tương thích của SPAN và RSPAN với những giao thức khác.
SPAN có khả năng tương thích với những tính năng sau:
- Routing: SPAN không có khả năng kiểm tra và giám sát những lưu lượng đã được định tuyến. VSPAN duy nhất chỉ có khả năng kiểm tra và giám sát những lưu lượng được đưa vào switch hoặc tồn tại trên switch, không có lưu lượng nào được định tuyến giữa các VLAN. Cho ví dụ, nếu một VLAN nào mà có Rx-monitored và switch sẽ định tuyến những lưu lượng từ VLAN khác để có thể kiểm tra và giám sát được, những lưu lượng này sẽ không được kiểm tra và không được nhận trên một port đích của SPAN.
- STP: một port đích không hoạt động với giao thức SPT trong khi SPAN hoặc RSPAN của nó đang hoạt động. Port đích có thể hoạt động trong một STP sau khi SPAN hoặc RSPAn session bị disbable. Trên một port nguồn, SPAN sẽ không làm ảnh hưởng đến trạng thái của STP. STP có thể hoạt động trên các port trunk và mang theo các RSPAN VLAN.
- CDP: Một port đích của SPAN không hoạt động với giao thức CDP trong khi SPAN session thì đang hoạt động. Sau khi SPAN session bị disable, thì port đó sẽ lại hoạt động với CDP.
- VTP: Bạn có thể sử dụng VTP để hạn chế một RSPAN VLAN giữa các switch.
- VLAN và Trunking: Bạn có thể sửa đổi các thành viên của VLAN hoặc Trunk cho các port nguồn và port đích ở mọi thời điểm. Tuy nhiên, những thay đổi của các thành viên trong VLAN hoặc Trunk cho port đích sẽ không ảnh hưởng cho đến khi bạn hủy bỏ cấu hình SPAN destination. Những thay đổi của các thành viên trong VLAN hoặc trunk của các port nguồn sẽ bị ảnh hưởng ngay lập tức, và tương ứng cho những SPAN session.
- EtherChannel: Bạn có thể cấu hình một nhóm EtherChannel như một port nguồn nhưng không thể như một port đích của SPAN. Khi một nhóm được cấu hình như một SPAN nguồn, thì toàn bộ nhóm đó sẽ được kiểm tra và giám sát. Nếu một port vật lý được thêm vào một nhóm EtherChannel đã được kiểm tra, thì port mới đó sẽ nằm trong danh sách của port nguồn. Nếu một port được hủy bỏ khỏi nhóm EtherChannel đã được kiểm tra, thì nó sẽ tự động hủy bỏ khỏi danh sách port nguồn. Một port vật lý nằm trong một nhóm EtherChannel có thể được cấu hình như một SPAN source port và vẫn là một phần của EtherChannel. Trong trường hợp này, dữ liệu từ port vật lý đó sẽ được kiểm tra như một thành phần của EtherChannel. Tuy nhiên, nếu một port vật lý nằm trong một nhóm EtherChannel được cấu hình như một SPAN destination, thì nó sẽ rời bỏ khỏi nhóm đó. Sau khi port này rời bỏ khỏi SPAN session, thì nó sẽ ra nhập vào một nhóm EtherChannel. Các port tách từ một nhóm EtherChannel vẫn sẽ là thành viên của nhóm, nhưng chúng sẽ ở trạng thái inactive hoặc suspended. Nếu một port vật lý hoạt động bên dưới một nhóm EtherChannel là một port đích và nhóm EtherChannel đó là một SPAN nguồn, thì port đó sẽ tách khỏi nhóm EtherChannel đó và cũng tách khỏi danh sách các port được kiểm tra.
- Lưu lượng Multicast có thể được kiểm tra.
- Một Private-VLAN port không thể là một port đích của SPAN.
- Một secure port không thể là một port đích của SPAN.
- Một IEEE 802.1x port có thể là một port nguồn của SPAN. Bạn có thể enable IEEE 802.1x trên một port để trở thành port đích của SPAN.
Refer to http://www.itnews.com.vn
