[Cisco] RSPAN

Trong bài viết tuần trước, chúng ta đã cùng trao đổi với nhau về tính năng SPAN  (Switchport Analyzer) – một tính năng cho phép switch sao lưu các dữ liệu đi qua một  cổng hoặc một VLAN nào đó đến một monitoring server hay một IDS sensor để phục vụ  cho việc giám sát mạng hoặc công tác bảo mật. Tính năng SPAN là một tính năng rất  hiệu quả và có ích, tuy nhiên tính năng này bị giới hạn ở việc monitoring server và  VLAN/cổng bị giám sát bắt buộc phải thuộc về cùng một switch. Trong nhiều trường  hơp, để phục vụ cho việc quản lý tập trung, ta lại muốn rằng monitoring server hoặc  sensor IDS phải được đặt tập trung ở một switch, còn các VLAN hoặc các cổng bị giám  sát có thể nằm ở các switch khác. Để làm được điều này, chúng ta không sử dụng tính  năng SPAN mà sử dụng một dạng khác của tính năng này là RSPAN (Remote SPAN).  RSPAN cho phép các VLAN/các cổng bị giám sát và monitoring server nằm trên các  switch khác nhau.  

Như thường lệ, chúng ta cùng trao đổi vấn đề quan tâm thông qua một bài lab ví dụ.

Sơ đồ

Hình 1 – Sơ đồ bài lab ví dụ.

Mô tả 

• Sơ đồ lab ở hình 1 là một phần của một mạng doanh nghiệp và phần này bao gồm  một router và hai switch. Trên hai switch này, ta thực hiện tạo hai VLAN 10 và  20 cho người dùng. Cổng F0/1 của SW1 đấu nối với cổng F0/0 của router và  đường link đấu nối này được thiết lập trunking dot1Q cho phép hai VLAN 10 và  20 đi qua. Router thực hiện cấu hình các sub – interface thích hợp để đấu nối vào  hai VLAN 10, 20 và làm default – gateway cho các user thuộc hai VLAN này. Hai switch SW1 và SW2 thiết lập trunking dot1Q với nhau và cho phép các  VLAN người dùng 10 và 20 đi qua đường trunk này. 
• Quy hoạch IP cho hai VLAN 10 và 20 được chỉ ra như trên hình 1. Thực hiện 

Bước 1: Cấu hình ban đầu cho bài lab 

• Thiết lập trunking dot1Q giữa các switch, giữa SW1 và router. 
• Trên router tạo hai sub – interface F0/0.10 và F0/0.20 đấu nối đến hai VLAN 10  và 20; thực hiện đặt IP trên hai cổng sub này của router theo quy hoạch IP được  chỉ ra như hình vẽ. 
• Trên các switch tạo hai VLAN 10 và 20. Trên SW2, thực hiện gán cổng F0/10  vào VLAN 10 và cổng F0/20 vào VLAN 20. 

Cấu hình 

Trên SW1:

SW1(config)#interface f0/1 
SW1(config-if)#switchport trunk encapsulation dot1q  
SW1(config-if)#switchport mode trunk 
SW1(config-if)#exit 

SW1(config)#interface f0/12 
SW1(config-if)#switchport trunk encapsulation dot1q  
SW1(config-if)#switchport mode trunk 
SW1(config-if)#exit 

SW1(config)#vlan 10 
SW1(config-vlan)#exit 

SW1(config)#vlan 20 
SW1(config-vlan)#exit

Trên SW2:

SW2(config)#interface f0/12 
SW2(config-if)#switchport trunk encapsulation dot1q  
SW2(config-if)#switchport mode trunk 
SW2(config-if)#exit 

SW2(config)#vlan 10 
SW2(config-vlan)#exit 

SW2(config)#vlan 20 
SW2(config-vlan)#exit

SW2(config)#interface f0/10 
SW2(config-if)#switchport mode access 
SW2(config-if)#switchport access vlan 10 
SW2(config-if)#exit 

SW2(config)#interface f0/20 
SW2(config-if)#switchport mode access 
SW2(config-if)#switchport access vlan 20 
SW2(config-if)#exit

Trên router:

R(config)#interface f0/0 
R(config-if)#no shutdown 
R(config-if)#exit 

R(config)#interface f0/0.10 
R(config-subif)#encapsulation dot1Q 10 
R(config-subif)#ip address 192.168.10.254 255.255.255.0 
R(config-subif)#exit 

R(config)#interface f0/0.20 
R(config-subif)#encapsulation dot1Q 20 
R(config-subif)#ip address 192.168.20.254 255.255.255.0 
R(config-subif)#exit

Kiểm tra 

Trên SW1:

Trên SW2:

Bước 2: Cấu hình RSPAN 

• Sử dụng tính năng RSPAN để toàn bộ dữ liệu trao đổi trên cổng F0/10 và dữ liệu  đi qua VLAN 20 của SW2 được sao lưu một bản đến thiết bị giám sát đặt tại cổng  F0/24 của SW1.  
• Ta được phép tạo thêm VLAN 300 để thực hiện yêu cầu này. 

Cấu hình 

Trước hết, ta tạo VLAN 300 trên các switch để làm VLAN chuyên chở thông tin cho tính  năng RSPAN:

SW1(config)#vlan 300 
SW1(config-vlan)#remote-span  
SW1(config-vlan)#exit 

SW2(config)#vlan 300 
SW2(config-vlan)#remote-span  
SW2(config-vlan)#exit

Tiếp theo, ta thực hiện cấu hình RSPAN trên các switch. 

Trên SW2:

SW2(config)#monitor session 1 source interface f0/10 both
SW2(config)#monitor session 1 destination remote vlan 300  
SW2(config)#monitor session 2 source vlan 20 both 
SW2(config)#monitor session 2 destination remote vlan 300

Trên SW1:

SW1(config)#monitor session 1 source remote vlan 300 
SW1(config)#monitor session 1 destination interface f0/24

Ghi chú 

Như đã nói ở trên, nếu tính năng SPAN đã trình bày ở bài viết trước chỉ cho phép đặt host  monitor lên một cổng thuộc về cùng switch với các thành phần bị giám sát bị giám sát  (VLAN hoặc port) thì tính năng RSPAN cho phép host giám sát được đặt trên một switch  khác với switch có các thành phần bị giám sát từ đó mở rộng phạm vi giám sát mạng và  tập trung việc giám sát về một điểm cố định trong hệ thống mạng. 

Để cấu hình tính năng RSPAN, chúng ta thực hiện các bước như sau: 

Cấu hình tạo một VLAN để chuyên chở thông tin được sao lưu từ các thành phần  bị giám sát đi đến switch đích đến có gắn thiết bị giám sát. Vì VLAN này là  đường trung chuyển thông tin nên nó cần phải được tạo ra trên tất cả các switch  nằm trên đường đi từ nơi bị giám sát đến nơi đặt thiết bị giám sát. Ta thực hiện cấu hình VLAN này trên các switch bằng cách sử dụng lệnh tạo  VLAN như thông thường và khai báo thêm tính chất RSPAN cho VLAN mới tạo  bằng lệnh “remote-span”.

Switch(config)#vlan vlan-id 
Switch(config-vlan)#remote-span

Ta không sử dụng VLAN này cho các mục đích truyền dữ liệu thông thường. Mọi  cổng access được gán vào VLAN RSPAN sẽ bị disable và chuyển sang trạng thái  down/down. 

Trong bài lab này, chúng ta sử dụng VLAN 300 làm RSPAN VLAN trên các  switch. ∙ Trên các switch chứa các thành phần bị giám sát (trong bài lab này là switch  SW2), chúng ta khai báo các monitor session. Việc khai báo source của các  monitor session hoàn toàn giống như với tính năng SPAN đã thực hiện ở bài viết  trước. Với khai báo destination, chúng ta sử dụng destination là remote VLAN  chứ không phải interface như với SPAN:

Switch(config)#monitor session session-id destination remote vlan vlan-id

Trong bài lab này, chúng ta sử dụng session – id là 1 cho cổng F0/10 và 2 cho  VLAN 20. ∙ Cuối cùng, trên switch đích đến có gắn sensor, chúng ta cấu hình RSPAN với  source chính là RSPAN VLAN và destination là interface có gắn thiết bị Sensor.

Switch(config)#monitor session session-id source remote vlan vlan-id 
Switch(config)#monitor session session-id destination interface Tên_cổng

Session RSPAN được cấu hình trên SW1 sử dụng ID là 1. 

Kiểm tra 

Chúng ta kiểm tra kết quả cấu hình đã thực hiện trên SW1 và SW2: 

Trên SW1:

Trên SW2:

Trên ASW2

Cuối cùng, tương tự như trong bài viết trước, chúng ta có thể thực hiện ping từ user trên  cổng F0/10 và trên cổng F0/20 để kiểm tra rằng các lưu lượng này đều được chuyển một  bản sao về monitoring server trên cổng F0/24 của SW1. Trên monitoring server ta thực  hiện cài một phần mềm bắt gói, ví dụ Wireshark, để có thể hiển thị nội dung của các gói  tin được sao lưu này. 

Vì cách thức kiểm tra tương tự nhau giữa hai user, ta thực hiện ví dụ trên user của VLAN  20: 

Từ PC trên cổng F0/20 của VLAN 20 ping đến địa chỉ 192.168.20.254 của router (hình  2):

Hình 2 – User trên cổng F0/20 ping router.

Kết quả bắt gói trên monitoring server (hình 3):

Hình 3 – Kết quả bắt gói trên monitoring server.

Ta thấy monitoring server đã bắt được các gói ping từ user trên cổng F0/20 gửi đến  router. 

Ta có thể thực hiện tương tự với user trên cổng F0/10 của VLAN 10. 

Cảm ơn các bạn! 

Hẹn gặp lại các bạn trong các bài viết tiếp theo!