[Cisco] SPAN

Trong bài viết tuần này chúng ta cùng trao đổi về một tính năng cho phép thực hiện bắt  gói để giám sát các lưu lượng đi ngang qua một switch Cisco có tên gọi là SPAN. Tính  năng này sẽ khiến một switch Cisco redirect các lưu lượng đi qua một VLAN hay một  cổng nào đó về một monitoring server cho phép người quản trị thực hiện phân tích dữ  liệu nhận được để từ đó có những chính sách thích hợp về quản trị và bảo mật. Như thường lệ, chúng ta cùng trao đổi vấn đề quan tâm thông qua một bài lab ví dụ.

Sơ đồ

Hình 1 – Sơ đồ bài lab ví dụ.

Mô tả 

• Sơ đồ lab ở hình 1 là một phần của một mạng doanh nghiệp và phần này bao gồm  một router và một switch. Trên switch này, ta thực hiện tạo hai VLAN 10 và 20  cho người dùng. Cổng F0/1 của switch đấu nối với cổng F0/0 của router và đường  link đấu nối này được thiết lập trunking dot1Q cho phép hai VLAN 10 và 20 đi  qua. Router thực hiện cấu hình các sub – interface thích hợp để đấu nối vào hai  VLAN 10, 20 và làm default – gateway cho các user thuộc hai VLAN này. 
• Quy hoạch IP cho hai VLAN 10 và 30 được chỉ ra như trên hình 1. ∙ Ta sử dụng một PC giả lập làm user và một PC khác giả lập làm monitoring  server. Trên monitoring server ta sẽ thực hiện cài chương trình bắt gói Wireshark  để kiểm tra rằng lưu lượng đi qua switch được switch redirect một bản về cho  monitoring server.

Bước 1: Cấu hình ban đầu cho bài lab 

• Thiết lập trunking dot1Q giữa switch và router. 
• Trên router tạo hai sub – interface F0/0.10 và F0/0.20 đấu nối đến hai VLAN 10  và 20; thực hiện đặt IP trên hai cổng sub này của router theo quy hoạch IP được  chỉ ra như hình vẽ. 
• Trên switch tạo hai VLAN 10 và 20. Thực hiện gán cổng F0/10 vào VLAN 10 và  cổng F0/20 vào VLAN 20. 

Cấu hình 

Trên switch: 

SW(config)#interface f0/1 
SW(config-if)#switchport trunk encapsulation dot1q  
SW(config-if)#switchport mode trunk 
SW(config-if)#exit 

SW(config)#vlan 10 
SW(config-vlan)#exit 

SW(config)#vlan 20 
SW(config-vlan)#exit 

SW(config)#interface f0/10 
SW(config-if)#switchport mode access 
SW(config-if)#switchport access vlan 10 
SW(config-if)#exit 

SW(config)#interface f0/20 
SW(config-if)#switchport mode access 
SW(config-if)#switchport access vlan 20 
SW(config-if)#exit

Trên router:

R(config)#interface f0/0 
R(config-if)#no shutdown 
R(config-if)#exit 

R(config)#interface f0/0.10 
R(config-subif)#encapsulation dot1Q 10 
R(config-subif)#ip address 192.168.10.254 255.255.255.0 
R(config-subif)#exit 

R(config)#interface f0/0.20 
R(config-subif)#encapsulation dot1Q 20 
R(config-subif)#ip address 192.168.20.254 255.255.255.0 
R(config-subif)#exit

Kiểm tra 

Ta kiểm tra cấu hình vừa thực hiện trên switch SW:

Bước 2: Cấu hình SPAN giám sát VLAN 10 

• Cấu hình trên SW để mọi lưu lượng đi qua VLAN 10 sẽ được sao lưu đến host đặt  ở cổng F0/24 của switch. 
• Sử dụng PC đấu nối vào cổng F0/10 giả lập một user của VLAN 10; đặt địa chỉ  cho user này là 192.168.10.10/24 và ping đến gateway 192.168.10.254. Kiểm tra  kết quả bắt gói trên monitoring server để xác nhận rằng dữ liệu ping này đã được  chuyển đến server. 

Cấu hình 

Trên ASW1:

SW(config)#monitor session 1 source vlan 10  
SW(config)#monitor session 1 destination interface f0/24

Ghi chú 

Tính năng SPAN (Switchport Analyzer) được sử dụng để sao lưu dữ liệu đang trao đổi  trên một cổng hoặc một VLAN của một switch đến một cổng khác trên cùng switch ấy  nhằm mục đích phân tích dữ liệu này. Thiết bị phân tích gắn trên cổng khác ấy có thể là  một thiết bị bắt gói (packet sniffer) hoặc một IPS (Instrusion Prevention Sensor),.v.v…  

Để cấu hình SPAN, chúng ta cần làm hai thao tác: ∙ Thao tác đầu tiên là chỉ ra cổng hoặc VLAN mà ta muốn theo dõi dữ liệu:

Switch(config)#monitor session-id source {vlan vlan-list | interface tên_cổng} [tx | rx | both]

Trong đó: 

• session-id: là số hiệu của hoạt động monitor của chúng ta. Tùy theo  dòng switch được sử dụng mà ta có thể khai báo được bao nhiêu monitor  sesstion. VLAN hay cổng cần theo dõi dữ liệu được chỉ ra trong phần khai  báo “source vlan” hay “source interface” của câu lệnh.
• Trên VLAN hoặc interface được theo dõi, ta có thể giám sát dữ liệu đi ra  (tx), đi vào (rx) hoặc cả hai chiều (both). Một số dòng switch Cisco chỉ  cho phép giám sát dữ liệu đi vào một VLAN (rx). 
• Trong yêu cầu nêu ra của bài lab, chúng ta khai báo source VLAN cho SW là VLAN 10, theo dõi dữ liệu đi vào (rx). ∙ Thao tác tiếp theo là chỉ ra cổng đích đến mà ta có gắn thiết bị phân tích:

Switch(config)#monitor session-id destination interface tên_cổng [ingress vlan vlan-id]

Ta chỉ ra cổng mà monitor session sẽ phải gửi dữ liệu đến đó để giám sát và phân  tích trong phần khai báo “destination interface” của câu lệnh. Mặc định, khi  một cổng trở thành monitor port, switch sẽ drop bỏ mọi lưu lượng đi vào cổng đó  và như vậy host thực hiện nhiệm vụ bắt gói và giám sát trên cổng monitor sẽ  không thể gửi dữ liệu đi đâu được nữa. Ta có thể thay đổi ứng xử mặc định này  bằng cách khai báo thêm tham số “ingress vlan vlan-id” cho cổng. Với tham  số này được khai báo, host giám sát có thể gửi được lưu lượng vào switch và lưu  lượng này sẽ được đưa vào VLAN vlan-id đã chỉ ra trong câu lệnh. 

Kiểm tra 

Chúng ta kiểm tra kết quả cấu hình vừa thực hiện trên SW: 

Trên SW:

Tiếp theo, chúng ta thực hiện ping kiểm tra từ user thuộc VLAN 10 lên cổng F0/0.10 của  router và xác nhận rằng lưu lượng ping này đã được bắt gói trên monitoring server. 

Từ PC ping đến địa chỉ 192.168.10.254 của router (hình 2):

Hình 2 – User thuộc VLAN 10 ping router.

Kết quả bắt gói trên monitoring server (hình 3):

Kết quả bắt gói trên monitoring server (hình 3):

Ta thấy monitoring server đã nhận được mẫu dữ liệu ping được sao lưu một bản đến từ  switch.

Bước 3: Cấu hình SPAN giám sát port F0/20 

• Gỡ bỏ cấu hình SPAN mới thực hiện trên switch ở bước 2. 
• Cấu hình trên SW để mọi lưu lượng đi vào và đi ra khỏi cổng F0/20 của SW sẽ  đều được sao lưu đến monitoring server. 
• Sử dụng PC đấu nối vào cổng F0/20; đặt địa chỉ cho user này là 192.168.20.20/24  và ping đến gateway 192.168.20.254. Kiểm tra kết quả bắt gói trên monitoring  server để xác nhận rằng dữ liệu ping này đã được chuyển đến server. 

Cấu hình 

Trên SW:

SW(config)#no monitor session 1 
SW(config)#monitor session 1 source interface f0/20 both  
SW(config)#monitor session 1 destination interface f0/24 

Từ PC ping đến địa chỉ 192.168.20.254 của router (hình 4):

Hình 4 – User trên cổng F0/20 ping router.

Kết quả bắt gói trên monitoring server (hình 5):

Hình 5 – Kết quả bắt gói trên monitoring server của bước 3.

Ta thấy monitoring server đã bắt được các gói ping từ user trên cổng F0/20 gửi đến  router. 

Trên đây chúng ta đã cùng nhau trao đổi về tính năng SPAN trên switch Cisco. Trong bài  viết kế tiếp chúng ta sẽ cùng nhau trao đổi về một tính năng tương tự trên switch Cisco  nhưng cho phép đặt monitoring server trên một switch khác với switch có VLAN hoặc cổng cần giám sát lưu lượng, đó là tính năng RSPAN. 

Cảm ơn các bạn! 

Hẹn gặp lại các bạn trong các bài viết tiếp theo!