Để việc giám sát mạng hiệu quả hơn chúng ta sử dụng Switched Port Analyzer - SPAN. Tính năng này sử dụng để copy - sao chép dữ liệu khi trao đổi của một port, vlan hay một IP cụ thể nào đó sang port khác, ta gọi là monitoring. Thiết bị phân tích sẽ gắng vào port này để phân tích dữ liệu/các gói tin đó nhằm mục đích ....
Yêu cầu:
1. Cấu hình SPAN sao cho port Gi0/18 trở thành port monitor để nhận bản sao dữ liệu, khi dữ liệu ra vào port Gi0/20
2. Lọc dữ liệu của vlan 116 trên port Gi0/20 forward đến port Gi0/18 (điều kiện: Gi0/20 phải là mode TRUNK)
3. Cấu hình lọc dữ liệu trao đổi giữa host 192.168.116.187 và host 192.168.99.26
4. Cấu hình Remote Span - RSPAN
Thực hiện:
1. Cấu hình SPAN sao cho port Gi0/18 trở thành port monitor để nhận bản sao dữ liệu, khi dữ liệu ra vào port Gi0/20
Cấu hình trên switch:
monitor session 1 source interface Gi0/20 both
monitor session 1 destination interface Gi0/18
Kiểm tra:
Sw_01#show monitor session 1
Session 1
---------
Type : Local Session
Source Ports :
Both : Gi0/20
Destination Ports : Gi0/18
Encapsulation : Native
Ingress : Disabled
Sw_01#show interfaces Gi0/18
GigabitEthernet0/18 is up, line protocol is down (monitoring)
Hardware is Gigabit Ethernet, address is 88f0.31d4.2792 (bia 88f0.31d4.2792)
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 1000Mb/s, media type is 10/100/1000BaseTX
input flow-control is off, output flow-control is unsupported
{...}
Mặc định khi cổng đã được cấu hình monitor port thì switch drop lưu lương vào cổng đó
2. Lọc dữ liệu của vlan 116 trên port Gi0/20 forward đến port Gi0/18 (điều kiện: Gi0/20 phải là mode TRUNK)
Giữ nguyên cấu hình ở yêu cầu 1 và cấu hình thêm phần filter 116 theo yêu cầu
Sw_01
monitor session 1 filter vlan 116
Trên wireshark bây giờ chúng ta chỉ thấy dữ liệu có liên qua đến vlan 116 mà thôi.
3. Cấu hình lọc dữ liệu trao đổi giữa host 192.168.116.187 và host 192.168.99.26
Tạo Access-List trên Sw_01
ip access-list extended LAB-SPAN-Filter
permit ip host 192.168.116.187 host 192.168.99.26
exit
!
no monitor session 1 filter vlan 116
monitor session 1 filter ip access-group LAB-SPAN-Filter
!
Chỉ được phép tồn tại file điều kiện filter nên chúng ta phải bỏ cấu hình ở yêu cầu 2 và gán điều kiện filter của ACL vừa tạo
Sw_01#show monitor session 1
Session 1
---------
Type : Local Session
Source Ports :
Both : Gi0/20
Destination Ports : Gi0/18
Encapsulation : Native
Ingress : Disabled
IP Access-group : LAB-SPAN-Filter
4. Cấu hình Remote Span - RSPAN
Đảm bảo đường đấu nối 2 switch phải là trunk
Sw_01#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Gi0/24 on 802.1q trunking 1
Port Vlans allowed on trunk
Gi0/24 1-4094
{...}
Tham khảo cấu hình trunk cho interfaceSw_02
interface GigabitEthernet7/48
switchport trunk encapsulation dot1q
switchport mode trunk
end
Sw_01
interface GigabitEthernet0/24
switchport trunk encapsulation dot1q
switchport mode trunk
end
Chúng ta phải tạo thêm vlan nhằm nhờ vlan này chuyển dữ liệu cho RSPAN thông qua đường trunk được thiết lập giữa các switch
Tạo VLAN 500 trên cả 2 switch
Sw_02
vlan 500
Remote-SPAN
exit
!
monitor session 2 source interface Gi7/22
monitor session 2 destination remote vlan 500
exit
Sw_01
vlan 500
Remote-SPAN
exit
!
monitor session 2 source remote vlan 500
monitor session 2 destination interface Gi0/18
exit
Kiểm tra
Sw_02#show monitor session 2
Session 2
---------
Type : Remote Source Session
Source Ports :
Both : Gi7/22
Filter Pkt Type :
RX Only : Good
Dest RSPAN VLAN : 500
Sw_01#show monitor session 2
Session 2
---------
Type : Remote Destination Session
Source RSPAN VLAN : 500
Destination Ports : Gi0/18
Encapsulation : Native
Ingress : Disabled
Xong!