Hướng Dẫn Cấu Hình SPAN Trên Thiết Bị Chuyển Mạch Cisco Catalyst - Theo Dõi Và Nắm Bắt Lưu Lượng/Gói Mạng

Hướng Dẫn Cấu Hình SPAN Trên Thiết Bị Chuyển Mạch Cisco Catalyst - Theo Dõi Và Nắm Bắt Lưu Lượng/Gói Mạng

Khả năng giám sát lưu lượng mạng của bạn là điều cần thiết khi gặp sự cố khắc phục sự cố, thực hiện kiểm tra bảo mật hoặc thậm chí tình cờ kiểm tra mạng của bạn để tìm lưu lượng truy cập đáng ngờ.

Quay lại những ngày xưa, bất cứ khi nào có nhu cầu theo dõi hoặc nắm bắt lưu lượng mạng, một trung tâm sẽ được đưa vào đâu đó trong liên kết mạng và nhờ thiết kế kém hiệu quả của trung tâm, nó sẽ sao chép tất cả các gói đến từ một cổng sang tất cả các cổng còn lại của các cổng, giúp dễ dàng giám sát lưu lượng mạng.

Tất nhiên, các Switch hoạt động theo một nguyên tắc hoàn toàn khác và không sao chép các gói unicast ra khỏi mọi cổng trên công tắc, nhưng giữ chúng cách ly trừ khi đó là quảng bá hoặc phát đa hướng.

Rất may, giám sát lưu lượng mạng trên thiết bị chuyển mạch Cisco Catalyst là một quy trình đơn giản và không yêu cầu sự hiện diện của trung tâm. Phương pháp của Cisco được gọi là Switched Port Analyzer còn được gọi là  SPAN.

Hiểu Thuật Ngữ SPAN

  • Ingress Traffic : Lưu lượng đi vào switch
  • Egress Traffic : Lưu lượng rời khỏi switch
  • Cổng nguồn (SPAN) : Một cổng được giám sát
  • Nguồn (SPAN) VLAN : Một VLAN có lưu lượng được giám sát
  • Cổng đích (SPAN) : Cổng giám sát các cổng nguồn. Đây thường là điểm mà máy phân tích mạng được kết nối.
  • Remote SPAN ( RSPAN ): Khi các cổng Nguồn không nằm trên cùng một công tắc với cổng Đích . RSPAN là một tính năng nâng cao yêu cầu một Vlan đặc biệt để mang lưu lượng được giám sát và không được hỗ trợ bởi tất cả các thiết bị chuyển mạch. Phần giải thích và cấu hình RSPAN sẽ được đề cập trong một bài viết khác.

Các cổng SPAN nguồn được theo dõi đối với lưu lượng nhận (RX - Ingress), truyền (TX - Egress) hoặc hai chiều (cả hai). Lưu lượng truy cập vào hoặc ra khỏi các cổng SPAN Nguồn được phản chiếu tới cổng SPAN Đích . Thông thường, bạn sẽ kết nối PC với bộ phân tích mạng trên cổng SPAN Đích và định cấu hình để nó nắm bắt và phân tích lưu lượng.

Lượng thông tin bạn có thể thu được từ một phiên SPAN thực sự phụ thuộc vào mức độ diễn giải và hiểu dữ liệu đã thu được. Trình phân tích mạng đáng tin cậy sẽ không chỉ hiển thị các gói đã chụp mà còn tự động chẩn đoán các sự cố như truyền lại TCP, lỗi DNS, phản hồi TCP chậm, thông báo chuyển hướng ICMP, v.v. Những khả năng này giúp bất kỳ kỹ sư nào nhanh chóng xác định các sự cố mạng mà không thể tìm thấy dễ dàng.

Đặc Điểm & Hạn Chế Cơ Bản Của Cổng Nguồn

Một cổng nguồn có các đặc điểm sau:

  • Nó có thể là bất kỳ loại cổng nào như EtherChannel, Fast Ethernet, Gigabit Ethernet, v.v.
  • Nó có thể được theo dõi trong nhiều phiên SPAN.
  • Nó không thể là cổng đích (đó là nơi kết nối bộ phân tích gói)
  • Mỗi cổng nguồn có thể được cấu hình với một hướng (vào, ra hoặc cả hai) để giám sát. Đối với các nguồn EtherChannel, hướng được giám sát áp dụng cho tất cả các cổng vật lý trong nhóm.
  • Các cổng nguồn có thể nằm trong cùng một VLAN hoặc khác nhau.
  • Đối với các nguồn VLAN SPAN, tất cả các cổng hoạt động trong VLAN nguồn được bao gồm như các cổng nguồn.

Đặc Điểm & Hạn Chế Cơ Bản Của Cổng Đích

Mỗi phiên SPAN phải có một cổng đích nhận một bản sao của lưu lượng từ các cổng nguồn và VLAN.

Một cổng đích có các đặc điểm sau:

  • Cổng đích phải nằm trên cùng một công tắc với cổng nguồn (đối với phiên SPAN cục bộ).
  • Cổng đích có thể là bất kỳ cổng vật lý Ethernet nào.
  • Một cổng đích chỉ có thể tham gia vào một phiên SPAN tại một thời điểm.
  • Cổng đích trong một phiên SPAN không thể là cổng đích cho phiên SPAN thứ hai.
  • Một cổng đích không thể là một cổng nguồn.
  • Một cổng đích không thể là một nhóm EtherChannel.

Hạn Chế Của SPAN Trên Các Mẫu Cisco Catalyst

Sau đây là những hạn chế của SPAN trên các thiết bị chuyển mạch Cisco Catalyst khác nhau :

  • Thiết bị chuyển mạch Cisco Catalyst 2950 chỉ có thể kích hoạt một phiên SPAN tại một thời điểm và có thể giám sát các cổng nguồn. Các switch này không thể giám sát nguồn VLAN.
  • Thiết bị chuyển mạch Cisco Catalyst có thể chuyển tiếp lưu lượng truy cập trên cổng SPAN đích trong Cisco IOS 12.1(13)EA1 trở lên
  • Thiết bị chuyển mạch Cisco Catalyst 3550, 3560 và 3750 có thể hỗ trợ tối đa hai phiên SPAN cùng một lúc và có thể giám sát các cổng nguồn cũng như Vlan
  • Bộ chuyển mạch Catalyst 2970, 3560 và 3750 không yêu cầu cấu hình cổng phản xạ khi bạn định cấu hình phiên RSPAN.
  • Bộ chuyển mạch Catalyst 3750 hỗ trợ cấu hình phiên với việc sử dụng các cổng nguồn và đích nằm trên bất kỳ thành viên ngăn xếp chuyển đổi nào.
  • Chỉ một cổng đích được phép cho mỗi phiên SPAN và cùng một cổng không thể là cổng đích cho nhiều phiên SPAN . Do đó, bạn không thể có hai phiên SPAN sử dụng cùng một cổng đích.

Định Cấu Hình SPAN Trên Thiết Bị Chuyển Mạch Cisco Catalyst

Giường thử nghiệm của chúng tôi là bộ chuyển mạch Cisco Catalyst 3550 Lớp 3, tuy nhiên, các lệnh được sử dụng được hỗ trợ đầy đủ trên tất cả Cisco Catalyst 2940, 2950, ​​2955, 2960, 2970, 3550, 3560, 3560−E, 3750, 3750−E và 4507R Công tắc hàng loạt.

Sơ đồ bên dưới thể hiện một thiết lập mạng điển hình trong đó cần giám sát lưu lượng truy cập vào (Ingress) và thoát (Egress) cổng mà bộ định tuyến kết nối (FE0/1). Cổng được lựa chọn chiến lược này về cơ bản giám sát tất cả lưu lượng truy cập vào và ra khỏi mạng của chúng tôi.

Vì bộ định tuyến R1 kết nối với bộ chuyển mạch 3550 Catalyst trên cổng FE0/1 , nên cổng này được cấu hình là cổng Source SPAN . Lưu lượng được sao chép từ FE0/1 sẽ được phản chiếu ra FE0/24 nơi máy trạm giám sát của chúng tôi đang chờ để nắm bắt lưu lượng. Khi chúng tôi đã thiết lập và chạy bộ phân tích mạng, bước đầu tiên là định cấu hình FastEthernet 0/1 làm cổng SPAN nguồn:

Catalyst-3550(config)# monitor session 1 source interface fastethernet 0/1

Tiếp theo, cấu hình FastEthernet 0/24 làm cổng SPAN đích :

Catalyst-3550(config)# monitor session 1 destination interface fastethernet 0/24

Sau khi nhập cả hai lệnh, chúng tôi nhận thấy đèn LED cổng SPAN đích của chúng tôi ( FE0/24 ) bắt đầu nhấp nháy đồng bộ với đèn LED của FE0/1 – một hành vi dự kiến ​​khi xem xét tất cả các gói FE0/1 đang được sao chép sang FE0/24 .

Xác nhận phiên giám sát và hoạt động yêu cầu một lệnh đơn giản, hiển thị phiên giám sát 1:

Catalyst-3550#  show monitor session 1
Session 1
---------
Type           : Local Session
Source Ports   :
Both           : Fa0/1
Destination Ports : Fa0/24
    Encapsulation : Native
          Ingress : Disabled

Để hiển thị thông tin chi tiết từ phiên bản đã lưu của cấu hình màn hình cho một phiên cụ thể, hãy đưa ra lệnh chi tiết show monitor session 1:

Catalyst-3550# show monitor session 1 detail
Session 1
---------
Type              : Local Session
Source Ports      :
    RX Only       : None
    TX Only       : None
    Both          : Fa0/1
Source VLANs      :
    RX Only       : None
    TX Only       : None
    Both          : None
Source RSPAN VLAN : None
Destination Ports    : Fa0/24
    Encapsulation    : Native
          Ingress:    Disabled
Reflector Port       : None
Filter VLANs         : None
Dest RSPAN VLAN    : None

Lưu ý cách phần Cổng nguồn hiển thị Fa0/1 cho hàng có tên là Cả hai . Điều này có nghĩa là chúng tôi đang giám sát cả hai gói RX & TX cho Fa0/1, trong khi Cổng đích được đặt thành Fa0/24.

Chuyển sang bộ phân tích mạng của chúng tôi, nhờ các bộ lọc được xác định trước của nó, chúng tôi có thể bắt các gói đến và đi từ máy trạm được giám sát:

Nếu bạn có bất kỳ câu hỏi hoặc gặp khó khăn, đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.

CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH

• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội

• Điện thoại: 02432012368

• Hotline: 098 115 6699

 Email: info@datech.vn

• Website: https://datech.vn