Phần này sẽ bao gồm những thông tin cấu hình sau:
- Cấu hình SPAN và RSPAN mặc định
- Cấu hình Local SPAN
- Cấu hình RSPAN
1. Cấu hình SPAN và RSPAN mặc định
- Bảng 1.1 hiển thị các thông số cấu hình mặc định của SPAN và RSPAN.
Bảng 1.1
2. Cấu hình Local SPAN.
chủ đề cấu hình này sẽ bao gồm một số phần sau:
- Cấu hình SPAN theo hướng dẫn.
- Tạo một Local SPAN session.
- Tạo một Local SPAN session và cấu hình các lưu lượng đến.
- Chỉ ra các VLAN để Filter.
a. Cấu hình SPAN theo hướng dẫn.
Dưới đây là những hướng dẫn các bạn có thể dùng để tham khảo trong quá trình SPAN:
- Đối với các SPAN nguồn, bạn có thể kiểm tra những lưu lượng cho một port hoặc VLAN hoặc một dải các port hoặc các VLAN cho mỗi session. Bạn không thể dùng chung những port nguồn và VLAN nguồn với một SPAN session.
- Port đích không thể là một port nguồn; một port nguồn cũng không thể là một port đích.
- Bạn không thể có hai SPAN session sử dụng cùng một port đích.
- Khi bạn cấu hình một port của switch là một port đích của SPAN, thì nó không phải là một port bình thường của switch; duy nhất những lưu lượng được kiểm tra có thể đi qua port đích của SPAN.
- Khi nhập những câu lệnh cấu hình SPAN mà không muốn hủy bỏ những tham số cấu hình cũ của SPAN. Thì bạn sẽ phải nhập câu lệnh: no monitor session { session_number | all | local | remote } ở chế độ global configuration để xóa đi những tham số đã được cấu hình của SPAN.
- Với một Local SPAN, những gói tin đi ra thông qua port đích của SPAN có thể mang theo những hearder đã được đóng gói-untagged, ISL, hoặc IEEE 802.1Q – nếu từ khóa encapsulation replicate được chỉ ra. Nếu từ khóa này không được chỉ ra, những gói tin sẽ được gửi dưới định dạng Native. Với những port đích của RSPAN, thì những gói tin đi ra sẽ không được tagged.
- Bạn có thể cấu hình một port không hoạt động với vai trò port nguồn hoặc port đích, nhưng chức năng của SPAN sẽ không khởi động cho đến khi port đích và ít nhất một port nguồn hoặc VLAN nguồn được enable.
- Bạn có thể giới hành những lưu lượng của SPAN bằng cách dùng từ khóa filter vlan. Nếu một port trunk đã được cấu hình kiểm tra, thì duy nhất những lưu lượng trên những VLAN được chỉ ra với từ khóa đó sẽ được kiểm tra. Theo mặc định, tất cả các VLAN đều được kiểm tra trên các port trunk.
- Bạn không thể dùng chung các VLAN nguồn và các Filter VLAN trong cùng một SPAN session.
- Catalyst 3560-24PS và 3560-48PS switch có phần cứng giới hạn những liên quan đến SPAN. Một bản sao lưu lượng của SPAN là một lưu lượng định tuyến unicast sẽ phải hiển thị sai địa chỉ MAC trên cả hai local hoặc remote SPAN session. Sự giới hạn này sẽ không được áp dụng lên những gói tin được chuyển mạch trên Bridge.
b. Tạo một Local SPAN session.
Bắt đầu ở chế độ Privileged EXEC, những bước sau sẽ được thực hiện để tạo một SPAN session và chỉ ra các port hoặc các VLAN được kiểm tra và những port đích kiểm tra.
- Ví dụ dưới đây sẽ dùng để cấu hình một SPAN session 1 để kiểm tra và giám sát các lưu lượng port nguồn đến một port đích. Đầu tiên, mọi thông số cấu hình cho session 1 sẽ bị xóa, và sau đó các lưu lượng sẽ được kiểm tra từ port Gigabit Ethernet 1 nguồn đến port đích Gigabit Ethernet 2.
Example:
Switch_3560_ITNEWS.COM.VN# configure terminal
Swtich_3560_ITNEWS.COM.VN(config)# no monitor session 1 all
Swtich_3560_ITNEWS.COM.VN(config)# monitor session 1 source interface gigabitethernet 0/1
Swtich_3560_ITNEWS.COM.VN(config)# monitor session 1 destination interface gigabitethernet 0/2 encapsulation replicate
Swtich_3560_ITNEWS.COM.VN(config)# end
Swtich_3560_ITNEWS.COM.VN# show monitor session 1
Swtich_3560_ITNEWS.COM.VN# show running-config
Swtich_3560_ITNEWS.COM.VN# copy run start
- Để xóa bỏ một SPAN session, sử dụng câu lệnh: no monitor session session_number ở chế độ global configuration. Để tách một port nguồn hoặc một port đích hoặc VLAN khỏi một SPAN session, sử dụng câu lệnh: no monitor session session_number source {interface interface-id | vlan vlan-id} ở chế độ global configuration hoặc no monitor session session_number destination interface interface-id ở chế độ global configuration.
- Ví dụ sau sẽ mô tả cách để tách port 1 đóng vai trò như một SPAN nguồn cho SPAN session 1:
Example:
Switch_3560_ITNEWS.COM.VN# configure terminal
Switch_3560_ITNEWS.COM.VN(config)# no monitor session 1 source interface gi0/1
Switch_3560_ITNEWS.COM.VN(config)# end
- Ví dụ sau sẽ mô tả cách để disable chức năng nhận lưu lượng trên port 1:
Example:
Switch_3560_ITNEWS.COM.VN# configure terminal
Switch_3560_ITNEWS.COM.VN(config)# no monitor session 1 source interface gi0/1 rx
Switch_3560_ITNEWS.COM.VN(config)# end
Chức năng kiểm tra những lưu lượng nhận trên port 1 đã bị disable, những những lưu lượng gửi đi từ port này vẫn sẽ được kiểm tra và giám sát.
- Ví dụ sau sẽ mô tả cách xóa bỏ những tham số cấu hình trên SPAN session 2, và sau đó cấu hình SPAN session 2 để kiểm tra những lưu lượng nhận được trên tất cả các port nằm trong VLAN 1 đến VLAN 3, và gửi nó đến port đích Gigabit Ethernet 2.
Example:
Switch_3560_ITNEWS.COM.VN# configure terminal
Switch_3560_ITNEWS.COM.VN(config)# no monitor session 2
Switch_3560_ITNEWS.COM.VN(config)# monitor session 2 source vlan 1 – 3 rx
Switch_3560_ITNEWS.COM.VN(config)# monitor session 2 destination interface gi0/2
Switch_3560_ITNEWS.COM.VN(config)# monitor session source vlan 10
Switch_3560_ITNEWS.COM.VN(config)# end
Switch_3560_ITNEWS.COM.VN# copy run start
C. Tạo một Local SPAN session và cấu hình các lưu lượng đến.
- Bắt đầu cấu hình ở chế độ global configuration, những bước sau sẽ được thực hiện để tạo một SPAN session, để hiển thị những port nguồn hoặc những VLAN nguồn và các port đích, và để enable những lưu lượng đến trên một port đích cho một thiết bị bảo mật mạng (Cisco IDS).
Example:
Switch_3560# configure terminal
Switch_3560(config)# no monitor session 2
Switch_3560(config)# monitor session 2 source gigabitethernet 0/1 rx
Switch_3560(config)# monitor session 2 destination interface gi0/2 encapsulation replicate ingress dot1q vlan 6
Switch_3560(config)# end
Switch_3560# copy run start
D. Chỉ ra các VLAN để Filter.
Bắt đầu cấu hình ở chế độ Privileged EXEC, những bước sau sẽ được thực hiện để giới hạn lưu lượng SPAN nguồn cho những VLAN.
- Ví dụ sau sẽ mô tả cách thức để xóa bỏ những tham số cấu hình tồn tại trên SPAN session 2, sau đó cấu hình SPAN session 2 để kiểm tra những lưu lượng được nhận trên Gigabit Ethernet Trunk port 2, và những lưu lượng sẽ gửi duy nhất từ những vlan từ 1 đến 5 và VLAN 9 đến port đích là Gigabit Ethernet 1.
Example:
Switch_3560_ITNEWS.COM.VN# configure terminal
Switch_3560_ITNEWS.COM.VN(config)# no monitor session 2
Switch_3560_ITNEWS.COM.VN(config)# monitor session 2 source gigabitethernet 0/2 rx
Switch_3560_ITNEWS.COM.VN(config)# monitor session 2 filter vlan 1 – 5, 9
Switch_3560_ITNEWS.COM.VN(config)# monitor session 2 destination interface gigabitethernet 0/1
Switch_3560_ITNEWS.COM.VN(config)# end
Switch_3560_ITNEWS.COM.VN# copy run start
- Để kiểm tra và giám sát tất cả các VLAN trên port trunk, sử dụng câu lệnh: no monitor session session_number filter ở chế độ global configuration của switch.
3. Cấu hình RSPAN.
Trong phần cấu hình RSPAN này sẽ bao gồm những tiêu điểm sau:
- Cấu hình RSPAN theo hướng dẫn.
- Cấu hình một VLAN như một RSPAN VLAN.
- Tạo một RSPAN Source Session.
- Tạo một RSPAN Destination Session
- Tạo một RSPAN destination và Cấu hình những lưu lượng đến.
- Cấu hình các VLAN filter.
a. Cấu hình RSPAN theo hướng dẫn.
Những hướng dẫn sau các bạn có thể tham khảo khi cấu hình RSPAN.
- Tất cả các mục trong phần: “Cấu hình SPAN theo hướng dẫn” ở trên có thể dùng được đối với RSPAN.
- Các RSPAN VLAN sẽ có những thuộc tính đặc biệt, bạn sẽ có một số VLAN được rành riêng để cấu hình như những RSPAN VLAN trong hệ thống của bạn; không được phép gán những access port vào trong các VLAN này.
- Bạn có thể áp dụng một ACL cho một lưu lượng RSPAN để lọc hoặc kiểm tra giám sát những gói tin này. Những ACL này được chỉ định cho các RSPAN VLAN trong một RSPAN source switch.
- Khi cấu hình RSPAN, bạn có thể phân tán các port nguồn và các port đích thông qua nhiều switch trong hệ thống mạng của bạn.
- RSPAN không hỗ trợ việc kiểm tra giám sát các gói tin BPDU hoặc các giao thức của Layer 2.
- RSPAN VLAN được cấu hình duy nhất trên các port trunk và không được phép cấu hình trên các access port. Để ngăn ngừa việc không muốn các lưu lượng truyền trong các RSPAN VLAN, thì bạn cần phải chắc chắn rằng chức năng VLAN remote-span sẽ phải hỗ trợ trên tất cả các switch trong hệ thống.
- Các port access (bao gồm cả các Voice VLAN port) trên một RSPAN VLAN sẽ được đưa về trạng thái inactive.
- Các RSPAN VLAN bao gồm cả các port nguồn của RSPAN session được tạo dựa trên port khi các port trunk nguồn có RSPAN VLAN được active. RSPAN VLAN cũng có thể là một nguồn trong một SPAN session.
- Bạn có thể cấu hình nhiều VLAN như một RSPAN VLAN với những điều kiện sau:
+ Cùng một RSPAN VLAN được dùng cho một RSPAN session trong tất cả các switch.
+ Tất cả các switch sẽ hỗ trợ RSPAN.
- Chúng tôi khuyến cáo rằng bạn nên cấu hình một RSPAN VLAN trước khi bạn cấu hình một RSPAN nguồn hoặc một RSPAN đích.
- Nếu bạn enable VTP và VRP pruning, thì lưu lượng RSPAN sẽ được hạn ché trong các đường trunk để ngăn cản việc quảng bá các lưu lượng RSPAN không mong muốn thông qua mạng cho những VLAN ID có giá trị thấp hơn 1005.
- Catatyst 3560-24PS và 3560-48PS switch có phần cứng giới hạn liên quan đến RSPAN:
+ Một bản sao của lưu lượng SPAN đi ra được định tuyến như một lưu lượng unicast sẽ phải hiển thị không đúng địa chỉ MAC trên cả hai session là: Local và Remote SPAN. Sự giới hạn này không được áp dùng cho các gói tin được chuyển mạch trên Bridged.
+ Các gói tin SPAN được định tuyến ra ngoài (cả unicast và multicast) sẽ hiển thị không đúng địa chỉ MAC nguồn. Vói những gói tin SPAN remote, thì địa chỉ MAC nguồn sẽ địa chỉ MAC của VLAN ra, nhưng thay vào đó gói tin này sẽ hiển thị địa chỉ MAC của RSPAN VLAN.
b. Cấu hình một VLAN như một RSPAN VLAN.
Đầu tiên tạo một VLAN mới hoạt động với vai trò như một RSPAN VLAN cho một RSPAN session. Bạn sẽ phải tạo một RSPAN VLAN trên tất cả các switch nằm trong một RSPAN. Nếu RSPAN VLAN-ID nằm trong dải thấp hơn 1005 và VTP được enable trên hệ thống, bạn có thể tạo RSPAN VLAN trên một switch, và quảng bá các thông tin về VTP của nó cho các switch khác trong VTP domain đó. Với những VLAN mở rộng (lớn hơn 1005), bạn sẽ phải cấu hình RSPAN VLAN trên cả hai switch nguồn và đích.
- Sử dụng VTP pruning để lấy về một luồng lưu lượng của RSPAN, hoặc có thể xóa một RSPAN VLAN từ tất cả những đường trunk mà không ảnh hưởng đến những lưu lượng RSPAN được mang theo trên những đường trunk đó.
- Bắt đầu ở chế độ Privileged EXEC, những bước sau sẽ phải được thực hiện để tạo một RSPAN VLAN:
Example:
Switch_3560# configure terminal
Switch_3560(config)# vlan 901
Switch_3560(config-vlan)# remote span
Switch_3560(config-vlan)# end
Switch_3560# copy run start
- Để xóa bỏ những tham số cấu hình của SPAN từ một VLAN và chuyển đổi nó trở về một VLAN bình thường, sử dụng câu lệnh: no remote-span ở chế độ VLAN configuration.
C. Tạo một RSPAN Source Session.
- Bắt đầu ở chế độ Privileged EXEC của switch, những bước sau sẽ phải được thực hiện để khởi động một RSPAN source session và chỉ định một RSPAN VLAN nguồn và đích được kiểm tra:
- Ví dụ dưới đây sẽ mô tả phương pháp để xóa bỏ những thông số cấu hình tồn tại trên RSPAN cho session 1, cấu hình RSPAN session 1 để kiểm tra giám sát nhiều interface nguồn, và cấu hình RSPAN VLAN 901 như một destination.
Example:
Switch_3560# configure terminal
Switch_3560(config)# no monitor session 1
Switch_3560(config)# monitor session 1 source interface gi0/1 tx
Switch_3560(config)# monitor session 1 source interface gi0/2 rx
Switch_3560(config)# monitor session 1 source interface port-channel 2
Switch_3560(config)# monitor session 1 destination remote vlan 901
Switch_3560(config)# end
Switch_3560# copy run start
- Để xóa một port nguồn hoặc một VLAN từ một SPAN session, sử dụng câu lệnh no monitor session session_number source {interface interface-id | vlan vlan-id} ở chế độ global configuration. Để xóa bỏ một RSPAN VLAN từ một session, sử dụng câu lệnh: no monitor session session_number destination remote vlan vlan-id.
d. Tạo một RSPAN Destination Session.
- Bạn cấu hình một RSPAN destination session trên một switch khác; không cấu hình source session trên một switch nào cả.
- Bắt đầu ở chế độ Privileged EXEC, những bước sau sẽ được thực hiện để cấu hình một RSPAN VLAN trên một switch, để tạo một RSPAN destination session, và để chỉ ra một port RSPAN VLAN nguồn và đích.
- Ví dụ bên dưới sẽ dùng để cấu hình VLAN 901 như một source remote VLAN và port 1 như một port đích.
Example:
Switch_3560# configure terminal
Switch_3560(config)# monitor session 1 source remote vlan 901
Switch_3560(config)# monitor session 1 destination interface gigabitethernet 0/1
Switch_3560(config)# end
Switch_3560# copy run start
- Để xóa một SPAN session, sử dụng câu lệnh: no monitor session session-number ở chế độ global configuration.
e. Tạo một RSPAN destination và Cấu hình những lưu lượng đến.
Bắt đầu ở chế độ Privileged EXEC, những bước sau sẽ được thực thi để tạo một RSPAN destination session, để chỉ định một port RSPAN VLAN nguồn và đích, và để enable những lưu lượng đến trên một port đích của một thiết bị bảo mật. (cisco IDS).
- Ví dụ sau sẽ mô tả cách cấu hình VLAN 901 như một source remote VLAn trong RSPAN session 2, để cấu hình port Gi0/2 như một port đích, và để enable chức năng chuyển mạch các lưu lượng đến trên interface VLAN 6 như một VLAN nhận mặc định.
Example:
Switch_3560# configure terminal
Switch_3560(config)# no monitor session 2
Switch_3560(config)# monitor session 2 source remote vlan 901
Switch_3560(config)# monitor session 2 destination interface gi0/2 ingress vlan 6
Switch_3560(config)# end
Switch_3560# copy run start
- Để xóa một RSPAN session, sử dụng câu lệnh no monitor session session_number ở chế độ global configuration.
f. Cấu hình các VLAN filter.
Bắt đầu ở chế độ Privileged EXEC, những bước sau được thực hiện để cấu hình một RSPAN source session để giới hạn các lưu lượng RSPAN nguồn đến một số vlan được chỉ định.
- Ví dụ sau sẽ mô tả cách xóa bỏ những thông tin cấu hình đang tồn tại trên một RSPAN session 2, và cấu hình RSPAN session 2 để kiểm tra những lưu lượng nhận được trên port trunk 2, và gửi những lưu lượng này duy nhất từ những VLAN 1 đến VLAN 5 và VLAN 9 đến RSPAN VLAN 902.
Example:
Switch_3560# configure terminal
Switch_3560(config)# monitor session 2 source interface gi0/2 rx
Switch_3560(config)# monitor session 2 filter vlan 1 – 5, 9
Switch_3560(config)# monitor session 2 destination remote vlan 902
Switch_3560(config)# end
Switch_3560# copy run start
Phần III: Hiển trị trạng thái của SPAN và RSPAN.
- Để hiển thị những thông số cấu hình hiện tại của SPAN hoặc RSPAN, sử dụng câu lệnh: show monitor ở chế độ user EXEC. Bạn cũng có thể sử dụng câu lệnh: show running-config ở chế độ privileged EXEC để hiển thị những thông số cấu hình của SPAN hoặc RSPAN.
Refer to http://www.itnews.com.vn
