| SPAN và RSPAN - Phần III |
 |
 |
 |
 3. Cấu hình RSPAN.Trong phần cấu hình RSPAN này sẽ bao gồm những tiêu điểm sau: - Cấu hình RSPAN theo hướng dẫn. - Cấu hình một VLAN như một RSPAN VLAN. - Tạo một RSPAN Source Session. - Tạo một RSPAN Destination Session - Tạo một RSPAN destination và Cấu hình những lưu lượng đến. - Cấu hình các VLAN filter. a. Cấu hình RSPAN theo hướng dẫn. Những hướng dẫn sau các bạn có thể tham khảo khi cấu hình RSPAN. - Tất cả các mục trong phần: "Cấu hình SPAN theo hướng dẫn" ở trên có thể dùng được đối với RSPAN. - Các RSPAN VLAN sẽ có những thuộc tính đặc biệt, bạn sẽ có một số VLAN được rành riêng để cấu hình như những RSPAN VLAN trong hệ thống của bạn; không được phép gán những access port vào trong các VLAN này. - Bạn có thể áp dụng một ACL cho một lưu lượng RSPAN để lọc hoặc kiểm tra giám sát những gói tin này. Những ACL này được chỉ định cho các RSPAN VLAN trong một RSPAN source switch. - Khi cấu hình RSPAN, bạn có thể phân tán các port nguồn và các port đích thông qua nhiều switch trong hệ thống mạng của bạn. - RSPAN không hỗ trợ việc kiểm tra giám sát các gói tin BPDU hoặc các giao thức của Layer 2. - RSPAN VLAN được cấu hình duy nhất trên các port trunk và không được phép cấu hình trên các access port. Để ngăn ngừa việc không muốn các lưu lượng truyền trong các RSPAN VLAN, thì bạn cần phải chắc chắn rằng chức năng VLAN remote-span sẽ phải hỗ trợ trên tất cả các switch trong hệ thống. - Các port access (bao gồm cả các Voice VLAN port) trên một RSPAN VLAN sẽ được đưa về trạng thái inactive. - Các RSPAN VLAN bao gồm cả các port nguồn của RSPAN session được tạo dựa trên port khi các port trunk nguồn có RSPAN VLAN được active. RSPAN VLAN cũng có thể là một nguồn trong một SPAN session. - Bạn có thể cấu hình nhiều VLAN như một RSPAN VLAN với những điều kiện sau: + Cùng một RSPAN VLAN được dùng cho một RSPAN session trong tất cả các switch. + Tất cả các switch sẽ hỗ trợ RSPAN. - Chúng tôi khuyến cáo rằng bạn nên cấu hình một RSPAN VLAN trước khi bạn cấu hình một RSPAN nguồn hoặc một RSPAN đích. - Nếu bạn enable VTP và VRP pruning, thì lưu lượng RSPAN sẽ được hạn ché trong các đường trunk để ngăn cản việc quảng bá các lưu lượng RSPAN không mong muốn thông qua mạng cho những VLAN ID có giá trị thấp hơn 1005. - Catatyst 3560-24PS và 3560-48PS switch có phần cứng giới hạn liên quan đến RSPAN: + Một bản sao của lưu lượng SPAN đi ra được định tuyến như một lưu lượng unicast sẽ phải hiển thị không đúng địa chỉ MAC trên cả hai session là: Local và Remote SPAN. Sự giới hạn này không được áp dùng cho các gói tin được chuyển mạch trên Bridged. + Các gói tin SPAN được định tuyến ra ngoài (cả unicast và multicast) sẽ hiển thị không đúng địa chỉ MAC nguồn. Vói những gói tin SPAN remote, thì địa chỉ MAC nguồn sẽ địa chỉ MAC của VLAN ra, nhưng thay vào đó gói tin này sẽ hiển thị địa chỉ MAC của RSPAN VLAN. b. Cấu hình một VLAN như một RSPAN VLAN. - Đầu tiên tạo một VLAN mới hoạt động với vai trò như một RSPAN VLAN cho một RSPAN session. Bạn sẽ phải tạo một RSPAN VLAN trên tất cả các switch nằm trong một RSPAN. Nếu RSPAN VLAN-ID nằm trong dải thấp hơn 1005 và VTP được enable trên hệ thống, bạn có thể tạo RSPAN VLAN trên một switch, và quảng bá các thông tin về VTP của nó cho các switch khác trong VTP domain đó. Với những VLAN mở rộng (lớn hơn 1005), bạn sẽ phải cấu hình RSPAN VLAN trên cả hai switch nguồn và đích. - Sử dụng VTP pruning để lấy về một luồng lưu lượng của RSPAN, hoặc có thể xóa một RSPAN VLAN từ tất cả những đường trunk mà không ảnh hưởng đến những lưu lượng RSPAN được mang theo trên những đường trunk đó. - Bắt đầu ở chế độ Privileged EXEC, những bước sau sẽ phải được thực hiện để tạo một RSPAN VLAN: example: Switch_3560_VNE# configure terminal Switch_3560_VNE(config)# vlan 901 Switch_3560_VNE(config-vlan)# remote span Switch_3560_VNE(config-vlan)# end Switch_3560_VNE# copy run start - Để xóa bỏ những tham số cấu hình của SPAN từ một VLAN và chuyển đổi nó trở về một VLAN bình thường, sử dụng câu lệnh: no remote-span ở chế độ VLAN configuration. C. Tạo một RSPAN Source Session. - Bắt đầu ở chế độ Privileged EXEC của switch, những bước sau sẽ phải được thực hiện để khởi động một RSPAN source session và chỉ định một RSPAN VLAN nguồn và đích được kiểm tra: - Ví dụ dưới đây sẽ mô tả phương pháp để xóa bỏ những thông số cấu hình tồn tại trên RSPAN cho session 1, cấu hình RSPAN session 1 để kiểm tra giám sát nhiều interface nguồn, và cấu hình RSPAN VLAN 901 như một destination. example: Switch_3560_VNE# configure terminal Switch_3560_VNE(config)# no monitor session 1 Switch_3560_VNE(config)# monitor session 1 source interface gi0/1 tx Switch_3560_VNE(config)# monitor session 1 source interface gi0/2 rx Switch_3560_VNE(config)# monitor session 1 source interface port-channel 2 Switch_3560_VNE(config)# monitor session 1 destination remote vlan 901 Switch_3560_VNE(config)# end Switch_3560_VNE# copy run start - Để xóa một port nguồn hoặc một VLAN từ một SPAN session, sử dụng câu lệnh no monitor session session_number source {interface interface-id | vlan vlan-id} ở chế độ global configuration. Để xóa bỏ một RSPAN VLAN từ một session, sử dụng câu lệnh: no monitor session session_number destination remote vlan vlan-id. d. Tạo một RSPAN Destination Session. - Bạn cấu hình một RSPAN destination session trên một switch khác; không cấu hình source session trên một switch nào cả. - Bắt đầu ở chế độ Privileged EXEC, những bước sau sẽ được thực hiện để cấu hình một RSPAN VLAN trên một switch, để tạo một RSPAN destination session, và để chỉ ra một port RSPAN VLAN nguồn và đích. - Ví dụ bên dưới sẽ dùng để cấu hình VLAN 901 như một source remote VLAN và port 1 như một port đích. example: Switch_3560_VNE# configure terminal Switch_3560_VNE(config)# monitor session 1 source remote vlan 901 Switch_3560_VNE(config)# monitor session 1 destination interface gigabitethernet 0/1 Switch_3560_VNE(config)# end Switch_3560_VNE# copy run start - Để xóa một SPAN session, sử dụng câu lệnh: no monitor session session-number ở chế độ global configuration. e. Tạo một RSPAN destination và Cấu hình những lưu lượng đến. - Bắt đầu ở chế độ Privileged EXEC, những bước sau sẽ được thực thi để tạo một RSPAN destination session, để chỉ định một port RSPAN VLAN nguồn và đích, và để enable những lưu lượng đến trên một port đích của một thiết bị bảo mật. (cisco IDS). - Ví dụ sau sẽ mô tả cách cấu hình VLAN 901 như một source remote VLAn trong RSPAN session 2, để cấu hình port Gi0/2 như một port đích, và để enable chức năng chuyển mạch các lưu lượng đến trên interface VLAN 6 như một VLAN nhận mặc định. example: Switch_3560_VNE# configure terminal Switch_3560_VNE(config)# no monitor session 2 Switch_3560_VNE(config)# monitor session 2 source remote vlan 901 Switch_3560_VNE(config)# monitor session 2 destination interface gi0/2 ingress vlan 6 Switch_3560_VNE(config)# end Switch_3560_VNE# copy run start - Để xóa một RSPAN session, sử dụng câu lệnh no monitor session session_number ở chế độ global configuration. f. Cấu hình các VLAN filter. - Bắt đầu ở chế độ Privileged EXEC, những bước sau được thực hiện để cấu hình một RSPAN source session để giới hạn các lưu lượng RSPAN nguồn đến một số vlan được chỉ định. - Ví dụ sau sẽ mô tả cách xóa bỏ những thông tin cấu hình đang tồn tại trên một RSPAN session 2, và cấu hình RSPAN session 2 để kiểm tra những lưu lượng nhận được trên port trunk 2, và gửi những lưu lượng này duy nhất từ những VLAN 1 đến VLAN 5 và VLAN 9 đến RSPAN VLAN 902. example: Switch_3560_VNE# configure terminal Switch_3560_VNE(config)# monitor session 2 source interface gi0/2 rx Switch_3560_VNE(config)# monitor session 2 filter vlan 1 - 5, 9 Switch_3560_VNE(config)# monitor session 2 destination remote vlan 902 Switch_3560_VNE(config)# end Switch_3560_VNE# copy run start Phần III: Hiển trị trạng thái của SPAN và RSPAN. - Để hiển thị những thông số cấu hình hiện tại của SPAN hoặc RSPAN, sử dụng câu lệnh: show monitor ở chế độ user EXEC. Bạn cũng có thể sử dụng câu lệnh: show running-config ở chế độ privileged EXEC để hiển thị những thông số cấu hình của SPAN hoặc RSPAN. toandv@vnexperts.net - Dương Văn Toán. Tin mới hơn:
Tin cũ hơn:
|