SPAN được chia ra làm các loại sau :
- Local Span : Cả source port và destination port đều nằm trên một switch . Source port là một port hay nhiều port trên switch đó.
- Vlan-Based Span (VSPAN) : Source port không chỉ là một port vật lí duy nhất nữa , nó có thể là toàn bộ một vlan làm source (đây là một dạng của local Span).
- Remote Span (RSPAN) : SPAN source và destination nằm trên các switch khác nhau . Bản copy của packet sẽ được gửi cho một vlan đặc biệt chạy trên kết nối trunk và gửi về cho destination .
1. Mô hình bài lap:
Yêu cầu:
- Cấu hình Vlan, cho các máy client trong LAN ra internet
- Cấu hình capture gói tin trên các port f1/1, f1/2.
2. Cấu hình
- Cấu hình IP, routing, Nat trên
switch.
+ Cấu hình IP trên interface layer 3, có thể dùng lệnh no switch port để chuyển port layer 2 của switch sang layer 3
SW(config-if)#int f0/0
SW(config-if)#no shutdown
SW(config-if)#ip address dhcp
SW(config-if)#ip nat outside
+ Tạo và cấu hình VLAN 10
SW#vlan database
SW(vlan)#vlan 10
SW(vlan)#exit
SW#conf t
SW(config)#interface vlan 10
SW(config-if)#ip address 192.168.10.254 255.255.255.0
SW(config-if)#ip nat inside
SW(config-if)#no shut
+ Gán các interface cần thiết vào VLAN 10
SW(config)#interface range f1/1 - 3
SW(config-if-range)#switchport mode access
SW(config-if-range)#switchport access vlan 10
+ Cấu hình NAT overload trên interface f0/0 để các client trong LAN ra internet
SW(config)#access-list 1 permit any
SW(config)#ip nat inside source list 1 interface f0/0 overload
+ Kiểm tra ping ra internet
SW(config-if)#do ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/217/1024 ms
- Cấu hình SPAN Port
+ Sơ lược về SPAN port:
Cisco Catalyst switch sử dụng đặc tính SPAN (switch port analyzer) để giám sát traffic vào ra một port hay một vlan. Khi có một packet vào hay ra một source port (source vlan) thì packet này sẽ được copy thêm 1 bản nữa và gửi cho destination port để mình giám sát .
SPAN được chia ra làm các loại sau :
- Local Span : Cả source port và destination port đều nằm trên một switch . Source port là một port hay nhiều port trên switch đó .
- Vlan-Based Span (VSPAN) : Source port không chỉ là một port vật lí duy nhất nữa , nó có thể là toàn bộ một vlan làm source . ( đây là một dạng của local Span )
- Remote Span ( RSPAN) : SPAN source và destination nằm trên các switch khác nhau . Bản copy của packet sẽ được gửi cho một vlan đặc biệt chạy trên kết nối trunk và gửi về cho destination .
+ Cấu hình cổng nguồn, cổng mà nhận và gửi các lưu lượng sẽ bị sao lưu
SW(config)#monitor session 1 source interface f1/1 both
SW(config)#monitor session 1 source interface f1/2 both
+ Cấu hình cổng đích nơi mà lưu lượng sẽ được đưa đến thiết bị giám sát
SW(config)#monitor session 1 destination interface f1/3
+ Kiểm tra: từ PC1 ta ping ra internet ( 8.8.8.8 )
PC1> ping 8.8.8.8
8.8.8.8 icmp_seq=1 ttl=58 time=62.407 ms
8.8.8.8 icmp_seq=2 ttl=58 time=31.630 ms
8.8.8.8 icmp_seq=3 ttl=58 time=78.382 ms
8.8.8.8 icmp_seq=4 ttl=58 time=62.628 ms
8.8.8.8 icmp_seq=5 ttl=58 time=31.384 ms
Máy sử dụng để monitor thì chúng ta cài phần mền để giám sát lưu lượng như phần mềm Wireshark. Kết quả hiển thị như sau:
Cách cấu hình Cisco SPAN - RSPAN - ERSPAN (Với các lệnh cấu hình CLI)
Khả năng hiển thị lưu lượng truy cập qua mạng của bạn từ các máy chủ cụ thể là một cách tuyệt vời để khắc phục sự cố hoặc thu thập thông tin và dữ liệu hữu ích.
Các thiết bị chuyển mạch
Switch Cisco cung cấp khả năng sao chép các gói từ các cổng hoặc VLAN cụ thể và gửi chúng đến các cổng khác để thu thập và phân tích.
Lưu lượng truy cập có thể được ghi lại và phân tích bằng cách sử dụng ví dụ như Wireshark. Điều này cũng hữu ích khi bạn muốn gửi lưu lượng đến Hệ thống phát hiện xâm nhập (IDS) cho mục đích bảo mật.
Trong môi trường Cisco, bạn có thể sử dụng một tính năng gọi là SPAN (Switch Port Analyzer - phân tích cổng chuyển mạch) cho mục đích này.
Có ba loại chế độ SPAN khả dụng cho các tình huống khác nhau: SPAN, RSPAN & ERSPAN, tất cả chúng đều có các tính năng chính sau:
- Yêu cầu một cổng nguồn hoặc vlan và một cổng đích nơi lưu lượng truy cập sẽ được thu thập.
- Cổng nguồn có thể là cổng định tuyến, cổng chuyển mạch, cổng trunk hoặc etherchannel.
- Cổng đích không hỗ trợ 802.1x, private vlan, CDP, STP, VTP.
Một điều cũng cần lưu ý là bạn có thể theo dõi ba loại lưu lượng truy cập:
1.
Incoming (rx) - lưu lượng được giám sát được gửi tới cổng đích trước khi có bất kỳ sửa đổi chính sách nào (ACL, QoS, Policy-Map, v.v.)
2.
Transmitting (tx) - lưu lượng được giám sát được gửi tới cổng đích sau khi bất kỳ chính sách nào được áp dụng.
3.
Encapsulation replicate - Chuyển tiếp lưu lượng CDP, STP, VTP thường bị SPAN bỏ qua.
Cấu hình SPAN cơ bản
Đối với Kỹ sư mạng, khả năng phản chiếu lưu lượng truy cập chuyển mạch và gửi nó đến một trình đánh giá để phân tích là một kỹ thuật khắc phục sự cố cần thiết.
Tất cả các thiết bị chuyển mạch Cisco Catalyst đều hỗ trợ tính năng
Switched Port Analyzer (SPAN), tính năng này sao chép lưu lượng từ các cổng hoặc VLAN nguồn chuyển mạch được chỉ định và phản chiếu lưu lượng này tới một cổng chuyển đổi đích được chỉ định (cổng SPAN).
Sau đó, bạn có thể kết nối PC của mình có công cụ dò tìm (như WireShark) trên cổng SPAN đích để thu thập tất cả lưu lượng được sao chép. Sơ đồ dưới đây cho thấy điều này:
SPAN cơ bản nắm bắt lưu lượng từ một cổng nguồn hoặc VLAN và gửi lưu lượng đến một cổng khác trên cùng một Switch.
Trên sơ đồ bên dưới, chúng ta sẽ bắt lưu lượng từ cổng nguồn fa0 / 1 (kết nối với máy tính người dùng) và gửi lưu lượng đến cổng đích fa0 / 5.
Configuration:
Switch# configure terminal
Switch(config)# monitor session 1 source interface fa0/1
Switch(config)# monitor session 1 destination interface fa0/5
Với cấu hình đơn giản này, lưu lượng truy cập có nguồn từ giao diện fa0 / 1 sẽ được sao chép sang giao diện fa0 / 5 nơi bạn có thể nắm bắt nó.
Chúng ta cũng có thể theo dõi lưu lượng của toàn bộ Vlan và gửi một bản sao của lưu lượng đến một cổng vật lý đích như được hiển thị bên dưới:
Ví dụ về cấu hình - Giám sát toàn bộ lưu lượng VLAN
Core-SW(config)#monitor session 1 source vlan 5
Core-SW (config)#monitor session 1 destination interface fastethernet 0/5
Cấu hình trên sẽ nắm bắt tất cả lưu lượng của VLAN 5 và gửi đến cổng SPAN fastethernet 0/5.
Sử dụng lệnh
show monitor session 1 để xác minh cấu hình của bạn.
Cấu hình RSPAN cơ bản
Tính năng RSPAN (Remote SPAN từ xa) cho phép lưu lượng truy cập lấy từ một bộ chuyển mạch được sao chép tới một bộ chuyển mạch từ xa trong mạng lớp 2 qua các cổng trung kế. Để thực hiện điều này, bạn sẽ phải cấu hình VLAN đích trên toàn bộ đường dẫn giữa các thiết bị chuyển mạch.
Trong sơ đồ dưới đây, chúng ta muốn nắm bắt lưu lượng từ Switch1 (cổng fa0 / 1) và gửi lưu lượng đến Switch2 (cổng fa0 / 5).
Mặc dù ở đây cho thấy kết nối trực tiếp với cổng trung kế Layer2 giữa Switch1-Switch2, bạn có thể có nhiều switch giữa chúng mà không có vấn đề gì (mặc dù vlan bắt phải hoạt động trên toàn bộ đường dẫn).
Configuration:
Switch1# config term
Switch1 (config)# vlan 100 < —Đây là VLAN capture
Switch1 (config-vlan)# remote span
Switch1(config-vlan)# exit
Switch1 (config)# monitor session 10 source interface fa0/1
Switch1 (config)# monitor session 10 destination remote vlan 100
Switch2_Remote# config term
Switch2_Remote (config)# vlan 100 < —Đây là VLAN capture
Switch2_Remote (config-vlan)# remote span
Switch2_Remote (config-vlan)# exit
Switch2_Remote (config)# monitor session 11 source remote vlan 100
Switch2_Remote (config)# monitor session 11 destination interface fa0/5
Tất cả lưu lượng truy cập có nguồn từ giao diện fa0 / 1 trên Switch 1 sẽ được chuyển tiếp bằng vlan 100 tới cổng đích trên Switch 2 từ xa, nơi bạn có thể đánh hơi lưu lượng.
Cấu hình ERSPAN cơ bản
ERSPAN (Encapsulated Remote Switched Port Analyzer) là một tính năng có trên IOS-XE mới trên ASR1000 nhưng cũng có sẵn trên Catalyst 6500 hoặc 7600. Nó được sử dụng để gửi lưu lượng truy cập qua mạng lớp3 và nó hoạt động bằng cách đóng gói lưu lượng bằng cách sử dụng Đường hầm GRE.
Trên sơ đồ bên dưới, có một đường hầm GRE giữa Switch1 và Switch2 từ xa. Đường hầm GRE được thiết lập giữa địa chỉ IP 172.16.10.10 (trên switch1) và 10.10.10.10 (trên switch2). Chúng ta muốn gửi lưu lượng từ fa0 / 1 trên Switch1 đến fa0 / 5 trên Switch2.
Configuration:
Switch1
Switch1(config)# monitor session 1 type erspan-source
Switch1 (config-mon-erspan-src)# source interface fa0/1
Switch1 (config-mon-erspan-src)# destination
Switch1 (config-mon-erspan-src-dst)# erspan-id 110 < — số ID phải giống trên Switch2
Switch1 (config-mon-erspan-src-dst)# ip address 10.10.10.10 < — ip address on switch2
Switch1(config-mon-erspan-src-dst)# origin ip address 172.16.10.10 < — ip address on switch 1
Switch2
Switch2_Remote (config)# monitor session 1 type erspan-destination
Switch2_Remote (config-mon-erspan-dst)# destination interface fa0/5
Switch2_Remote (config-mon-erspan-dst)# source
Switch2_Remote (config-mon-erspan-dst-src)# erspan-id 110
Switch2_Remote (config-mon-erspan-dst-src)# ip address 10.10.10.10 < — IP address on switch 2
Một số lưu ý:
Bạn có thể theo dõi lưu lượng vlan cụ thể bằng lệnh:
#monitor session 1 source vlan 10
Bạn có thể theo dõi lưu lượng truy cập đến hoặc đi bằng cách sử dụng
#monitor session 1 source vlan 10 rx/tx
Quá trình xác minh đã hoàn tất phát hành:
#show monitor session 1