Trong các bài viết trước chúng ta đã cùng trao đổi về hai tính năng SPAN và RSPAN trên switch Cisco. Hai tính năng này cho phép switch sao lưu một bản mọi gói tin đi qua một cổng hoặc một VLAN đến một monitoring server hoặc một sensor IDS/IPS để phục vụ công việc giám sát hoặc bảo mật. Trong bài viết này, chúng ta sẽ cùng trao đổi về một tính năng tương tự trên router với công dụng giống như SPAN/RSPAN: sao lưu các gói tin vào/ra một cổng router đến một thiết bị giám sát nào đó. Như thông lệ, chúng ta cùng tìm hiểu vấn đề quan tâm thông qua một bài lab ví dụ:
Sơ đồ
Hình 1 – Sơ đồ bài lab ví dụ.
Mô tả
- Trên sơ đồ lab hình 1 là một phần của một sơ đồ mạng doanh nghiệp. Phần này gồm 3 router của ba chi nhánh đấu nối với nhau với quy hoạch IP được chỉ ra trên hình vẽ.
- Trên cổng F0/0 của router R2 có đấu nối một monitoring server với địa chỉ IP là 172.16.2.100/24 và địa chỉ MAC là 30F9.EDAE.0EA0.
- Ta sẽ thực hiện cấu hình tính năng RITE trên router R2 để dữ liệu hai mạng LAN 172.16.1.0/24 và 172.16.3.0/24 trao đổi với nhau khi đi qua cổng S0/0/0 của R2 sẽ được capture và redirect đến monitoring server.
Thực hiện
Bước 1: Cấu hình cơ bản trên các router
- Thực hiện cấu hình đặt địa chỉ IP trên các router theo quy hoạch IP của hình 1.
- Cấu hình định tuyến OSPF Area 0 trên các router đảm bảo mọi địa chỉ trên sơ đồ thấy nhau.
Cấu hình
Trên R1:
R1(config)#interface s0/0/0
R1(config-if)#no shutdown
R1(config-if)#ip address 172.16.12.1 255.255.255.0
R1(config-if)#exit
R1(config)#interface f0/0
R1(config-if)#no shutdown
R1(config-if)#ip address 172.16.1.1 255.255.255.0
R1(config-if)#exit
R1(config)#router ospf 1
R1(config-router)#network 172.16.12.1 0.0.0.0 area 0
R1(config-router)#network 172.16.1.1 0.0.0.0 area 0
R1(config-router)#exitTrên R2:
R2(config)#interface s0/0/0
R2(config-if)#ip address 172.16.12.2 255.255.255.0
R2(config-if)#exit
R2(config)#interface f0/0
R2(config-if)#no shutdown
R2(config-if)#ip address 172.16.2.1 255.255.255.0
R2(config-if)#exit
R2(config)#interface s0/1/0
R2(config-if)#no shutdown
R2(config-if)#ip address 172.16.23.2 255.255.255.0
R2(config-if)#exit
R2(config)#router ospf 1
R2(config-router)#network 172.16.12.2 0.0.0.0 area 0
R2(config-router)#network 172.16.23.2 0.0.0.0 area 0
R2(config-router)#network 172.16.2.1 0.0.0.0 area 0
R2(config-router)#exitTrên R3
R3(config)#interface s0/0/0
R3(config-if)#no shutdown
R3(config-if)#ip address 172.16.23.3 255.255.255.0
R3(config-if)#exit
R3(config)#interface f0/0
R3(config-if)#no shutdown
R3(config-if)#ip address 172.16.3.1 255.255.255.0
R3(config-if)#exit
R3(config)#router ospf 1
R3(config-router)#network 172.16.23.3 0.0.0.0 area 0
R3(config-router)#network 172.16.3.1 0.0.0.0 area 0
R3(config-router)#exitKiểm tra
Chúng ta kiểm tra rằng định tuyến đã hội tụ, các subnet đều đã hiển thị trong bảng định tuyến của các router:
Hai mạng LAN 172.16.1.0/24 và 172.16.3.0/24 đã đi đến nhau được:
Bước 2: Cấu hình tính năng RITE trên router R2
Cấu hình tính năng RITE trên R2 đảm bảo mọi dữ liệu trao đổi giữa hai subnet 172.16.1.0/24 đến 172.16.3.0/24 khi đi qua cổng S0/0/0 sẽ được capture và chuyển đến monitoring server đặt trên cổng F0/0 của R2.
Cấu hình
Trên R2:
R2(config)#ip access-list extended LAN1_LAN3
R2(config-ext-nacl)#permit ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255
R2(config-ext-nacl)#permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255
R2(config-ext-nacl)#exit
R2(config)#ip traffic-export profile CAPTURE
R2(conf-rite)#interface f0/0
R2(conf-rite)#bidirectional
R2(conf-rite)#incoming access-list LAN1_LAN3
R2(conf-rite)#outgoing access-list LAN1_LAN3
R2(conf-rite)#mac-address 30F9.EDAE.0EA0
R2(conf-rite)#exit
R2(config)#interface s0/0/0
R2(config-if)#ip traffic-export apply CAPTURE
R2(config-if)#exitGhi chú
Router IP Traffic Export (RITE) là một tính năng của router cho phép monitor mọi lưu lượng gửi/nhận trên một cổng nào đó của router. Tính năng này khi được cấu hình trên router sẽ cho phép router capture mọi dữ liệu gửi/nhận trên một cổng và forward đến một host nào đó kết nối lên một cổng Ethernet của router. Tính năng này thường được dùng cho việc triển khai IPS/IDS hoặc một monitoring server với dữ liệu đi qua một router. RITE có công dụng tương tự như tính năng SPAN trên switch Cisco.
Các bước cấu hình tính năng RITE trên router: ∙ Viết một access – list chỉ ra loại dữ liệu mà ta muốn giám sát. Trong bài lab này, đó là lưu lượng trao đổi giữa subnet 172.16.1.0/24 và 172.16.3.0/24:
R2(config)#ip access-list extended LAN1_LAN3
R2(config-ext-nacl)#permit ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255
R2(config-ext-nacl)#permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255
R2(config-ext-nacl)#exitViết một RITE profile chỉ ra cổng Ethernet mà ta sẽ gửi kết quả sao lưu ra ngoài, đồng thời chỉ ra địa chỉ MAC của host sẽ tiếp nhận kết quả sao lưu. Cũng trong profile, ta chỉ rõ dữ liệu trên cổng bị theo dõi (trong bài lab này là s0/0/0) sẽ được giám sát theo chiều nào; mặc định, chiều giám sát sẽ là cả hai chiều (bidirectional).
R2(config)#ip traffic-export profile CAPTURE
R2(conf-rite)#interface f0/0
R2(conf-rite)#bidirectional
R2(conf-rite)#incoming access-list LAN1_LAN3
R2(conf-rite)#outgoing access-list LAN1_LAN3
R2(conf-rite)#mac-address 30F9.EDAE.0EA0
R2(conf-rite)#exitCuối cùng, ta áp profile RITE vừa cấu hình lên cổng cần giám sát dữ liệu:
R2(config)#interface s0/0/0
R2(config-if)#ip traffic-export apply CAPTURE
R2(config-if)#exitKiểm tra
Để kiểm tra, ta thực hiện ping từ subnet 172.16.1.0/24 đến 172.16.3.0/24:
R1#ping 172.16.3.1 source 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.3.1, timeout is 2 seconds:
Packet sent with a source address of 172.16.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 36/50/72 msKiểm tra trên R2:
Kết quả thống kê trên access – list cho thấy hoạt động bắt gói đã xảy ra.
Ta kiểm tra kết quả bắt gói trên monitoring server (người viết sử dụng phần mềm Wireshark trên server này) (hình 2):
Hình 2 – Kết quả bắt gói trên monitoring server.
Như ta thấy, các gói ICMP ping giữa hai địa chỉ 172.16.1.1 và 172.16.3.1 đã được capture đến server.
Đến đây, chúng ta đã hoàn tất cấu hình và kiểm tra hoạt động của tính năng RITE trên router.
Cảm ơn các bạn!
Hẹn gặp lại các bạn trong các bài viết tiếp theo!
