I SPAN Bạn có thể giám sát mạng hiệu quả thông qua một cổng bằng cách sử dụng Switched Port Analyzer (SPAN) Tính năng SPAN sử dụng để sao chép dữ liệu đang trao đổi của một cổng hoặc một Vlan đến cổng[.]
Trang 1Bạn có thể giám sát mạng hiệu quả thông qua một cổng bằng cách sử dụng Switched Port Analyzer (SPAN) Tính năng SPAN sử dụng để sao chép dữ liệu đang trao đổi của một cổng hoặc một Vlan đến cổng khác trên cùng một thiết bị Switch, quá trình này gọi là “mirroring” Bạn có thể cấu hình SPAN để phân tích
dữ liệu mà cổng nhận được hoặc truyền đi (hoặc cả hai quá trình) Thiết bị phân tích gắn trên cổng giám sát có thể là một thiết bị bắt gói tin hoặc một IPS/IDS (Instrution Prevention Sensor/Instrution Detection Sensor),
Để cấu hình Span trên Switch ta phải làm các bước:
Bước 1: Chỉ ra cổng hoặc vlan cần giám sát
Switch(config)#monitor session session-id source {vlan vlan-id |
interface tên_cổng} [tx | rx | both]
Ví dụ: SW(config)#monitor session 1 source vlan 10
Bước 2: Chỉ ra cổng đích có gắn thiết bị để giám sát
Switch(config)#monitor session session-id destination interface tên_cổng
Ví dụ: SW(config)#monitor session 1 destination interface f0/24
Mặc định, khi một cổng trở thành monitor port, switch sẽ drop mọi lưu lượng đi vào cổng đó
Trong đó:
session-id : session number <1-66>
source: có thể là 1 vlan hoặc 1 cổng của switch
destinantion: là 1 cổng của switch
tx : Chỉ giám sát traffic khi gửi đi
Trang 2rx : Chỉ giám sát traffic khi nhận được
both: Giám sát cả traffic gửi và nhận
II.RSPAN
Remote SPAN (RSPAN) là một phần mở rộng của SPAN, RSPAN cho phép bạn giám sát lưu lượng trên các cổng của một thiết bị Switch khác trong hệ thống RSPAN hoạt động bằng cách phản chiếu lưu lượng từ các cổng nguồn lên Vlan dành riêng cho session RSPAN và sau đó được chuyển tiếp đến các thiết bị Switch khác thông qua các đường trunk kết nối giữa các Switch đến cổng monitor trong hệ thống
Connect giữa 2 switch là trunk port
Ta làm các bước sau:
Bước 1: tạo 1 vlan dùng để chở dữ liệu capture Vlan này cần phải được tạo ra trên
tất cả các Switch nằm trên đường đi từ nơi bị giám sát tới nơi đặt thiết bị giám sát
Switch(config)# vlan vlan-id
Switch(config-vlan)#remote-span ->khai báo vlan này dùng cho RSPAN
Lưu ý: khi đã cấu hình vlan dùng cho RSPAN, nếu có bất kì cổng access nào được gán vào Vlan RSPAN sẽ bị disable và chuyển sang trạng thái dow/dow
Trang 3Bước 2: trên Switch có chứa thành phần bị giám sát, ta thực hiện khai báo các
monitor session
Switch1(config)#monitor session session-id source {vlan vlan-id |
interface tên_cổng} [tx | rx | both]
Switch1(config)#monitor session session-id destination remote vlan vlan-id
Bước 3: trên Switch đích có gắn thiết bị giám sát, ta thực hiện cấu hình monitor
session với source là RSPAN Vlan và destination là interface có gắn thiết bị giám sát
Switch3(config)#monitor session session-id source remote vlan vlan-id
Switch3(config)#monitor session session-id destination interface tên_cổng
III ERSPAN
ERSPAN (Encapsulated Remote Switched Port Analyzer) là một tính năng độc quyền của Cisco và chỉ có sẵn cho các nền tảng Catalyst 6500 hoặc 7600, Nexus và ASR 1000 cho đến nay ASR 1000 chỉ hỗ trợ nguồn ERSPAN (giám sát) trên Fast Ethernet, Gigabit Ethernet và các port-channel Interfaces Nó được sử dụng để gửi lưu lượng truy cập qua mạng lớp 3 và nó hoạt động bằng cách đóng gói lưu lượng bằng cách sử dụng Đường hầm GRE
Cấu hình tham khảo link sau:
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3850/software/release/ 16-5/configuration_guide/nmgmt/b_165_nmgmt_3850_cg/
b_165_nmgmt_3850_cg_chapter_0111.pdf