Cổng SPAN là gì? Cách cấu hình Port Mirroring trên Switch

Cổng SPAN là gì? Cách cấu hình Port Mirroring trên Switch

Trong bài viết này, mình sẽ giới thiệu kỹ hơn về cổng phản chiếu SPAN hay còn gọi là Port Mirroring. Bài viết sẽ đi tìm hiểu xem cổng SPAN là gì? Nó hoạt động ra sao và có những ưu nhược điểm gì? Cũng như cách tốt nhất để sử dụng cổng phản chiếu!

Lời mở đầu

Khả năng quan sát mạng là một trong những yếu tố cốt lõi trong việc quản trị mạng. Bất kể mạng của bạn thế nào thì bạn vẫn cần biết điều gì đang xảy ra trên mạng của mình.

Việc trang bị khả năng quan sát mạng tốt hơn sẽ mang đến nhiều giá trị bất ngờ:

Chẳng hạn như bạn gặp một sự cố mạng, với khả năng quan sát mạnh hơn đồng nghĩa với việc bạn tìm thấy vấn đề nhanh hơn. Điều đó cũng có nghĩa là ít thời gian xử lý và hệ thống bạn hoạt động trở lại nhanh chóng.

minh họa Port Mirroring

Việc kiểm tra lưu lượng truy cập mạng cũng giúp nhà quản trị phát hiện các điểm tắc nghẽn mạng và cải thiện trải nghiệm hàng ngày cho người dùng cuối trên mạng của bạn. Trong bài viết này, mình sẽ giới thiệu bạn một trong những cách để quan sát mạng phổ biến nhất. Đó chính là cổng SPAN.

Cổng phản chiếu SPAN là gì?

Để hiểu khái niệm về cổng phản chiếu SPAN cũng khá đơn giản. Khi cấu hình Switch, bạn sẽ dữ trữ 1 cổng trống và định cấu hình để phản chiếu tất cả các lưu lượng truy cập đi qua cổng này.

Bất cứ khi nào Switch xử lý 1 gói tin thì nó sẽ tạo ra 1 bản sao và gửi đến thiết bị được kết nối trên cổng trên. Thông thường thiết bị này sẽ là loại hệ thống chuyên dụng để thiết lập giám sát lưu lượng trên Switch.

minh họa cổng phản chiếu SPAN trên Switch

SPAN là cách xử lý phản chiếu cảnh dành riêng cho Switch Cisco tuy nhiên bạn có thể sử dụng các thuật ngữ này thay thế cho nhau nhưng bạn nên nhớ rằng mọi nhà sản xuất Switch khác đều cung cấp cổng phản chiếu.

Cổng phản chiếu SPAN hoạt động như thế nào?

Cổng SPAN hoạt động có thể chia làm 2 kiểu: Local (cục bộ) hoặc Remote (từ xa). Chúng có nguyên tắc hoạt động riêng.

Phản chiếu cục bộ là hình thức cơ bản nhất. Tất cả các cổng nguồn được đặt trên cùng một thiết bị mạng với cổng đích. Như hình 1, việc phản chiếu cục bộ cho phép Switch chuyến tiếp bản sao trên cổng nguồn Eth 1/1 tới cổng đích Eth 1/2. Sau đó, thiết bị giám sát được kết nối với cổng đích có thể giám sát và phân tích gói tin.

hình 1 minh họa cổng phản chiếu cục bộ
hình 1 minh họa cổng phản chiếu cục bộ

Đối với phản chiếu cổng từ xa, cổng nguồn và cổng đích không nằm trên cùng một thiết bị. Như hình 2, cổng nguồn (Eth 1/3) nằm trên một switch và cổng đích (Eth 1/3) nằm trên switch khác. Cổng nguồn chuyển tiếp bản sao gói tin đến cổng đích thông qua kết nối UPLINK mà cổng (Eth 1/4) đạt được trên hai thiết bị chuyển mạch. Do đó, phản chiếu cổng cục bộ có thể thực hiện giám sát và phân tích dữ liệu trên các thiết bị.

hình 2 minh họa cổng phản chiếu từ xa
hình 2 minh họa cổng phản chiếu từ xa

Các loại cấu hình cổng SPAN

Khi nói về cấu hình cổng SPAN bạn phải hiểu những gì thiết lập SPAN có thể làm và không thể. Đầu tiên, bạn sẽ không thể biết về các lưu lượng truy cập không định tuyến qua Switch bạn đang cấu hình.

Khi bạn định cấu hình cổng SPAN, bạn phải hiểu được lưu lượng truy cập qua mạng là như nào? Nếu bạn định cấu hình SPAN sai trên Switch, chắc chắn bạn sẽ thiếu các gói tin muốn xem. Điều tốt là việc triển khai SPAN không có nghĩa là bị giới hạn bởi 1 Switch duy nhất.

Nếu cấu trúc liên kết mạng của bạn trải rộng trên nhiều thiết bị chuyển mạch, SPAN sẽ hỗ trợ bạn. Có hai biến thể SPAN xử lý môi trường phân tán một cách hiệu quả: RSPAN và ERSPAN.

RSPAN

RSPAN hoạt động bằng cách sử dụng các VLAN (Virtual LAN) để đóng gói và chuyển lưu lượng mạng từ các cổng nguồn đến cổng đích. Các gói tin được gửi qua VLAN RSPAN và sau đó truyền từ thiết bị cung cấp dịch vụ RSPAN đến thiết bị giám sát. Điều này giúp tạo ra một cách hiệu quả để theo dõi và phân tích lưu lượng mạng từ xa mà không cần phải đặt các thiết bị giám sát trực tiếp trên các thiết bị nguồn.

Điều quan trọng cần biết về RSPAN là tất cả các switch liên quan cần phải nằm trên cùng một mạng vật lý. RSPAN là cấu hình OSI Lớp 2 . Nó không hỗ trợ định tuyến lưu lượng truy cập qua Lớp 3..

ERSPAN

Nếu bạn đọc đoạn trước, bạn có thể đoán tại sao ERSPAN tồn tại. Trong khi RSPAN chỉ hỗ trợ định tuyến Lớp 2, ERSPAN hỗ trợ Lớp 3. Khi bật ERSPAN, bạn sẽ có khả năng định tuyến lưu lượng truy cập được nhân đôi trên nhiều mạng vật lý. Điều này mang lại lợi ích thực sự cho các tổ chức có nhiều môi trường mạng phân tán theo địa lý.

Thật không may, ERSPAN là một tính năng độc quyền của Cisco. Nó chỉ có sẵn trên một số mẫu nhất định. Những giới hạn đó sẽ loại bỏ rất nhiều sản phẩm bạn muốn chọn nếu ERSPAN là tính năng mà bạn cần.

Cách cấu hình cổng SPAN

Điều kiện tiên quyết của việc định cấu hình phản chiếu cổng là đảm bảo thiết bị mạng (bất kể bộ chuyển mạch hay bộ định tuyến) hỗ trợ phản chiếu cổng. Sau đó chọn một chế độ, cấu hình phản chiếu cổng cục bộ hoặc cấu hình phản chiếu cổng từ xa.

Lộ trình cấu hình phản chiếu Local:

1. Tạo Vlan.

2. Thêm cổng nguồn và cổng đích vào VLAN.

3. Cấu hình địa chỉ IP.

4. Định cấu hình phản chiếu cổng trên cổng đích và sao chép gói từ cổng nguồn sang cổng đích.

Lộ trình cấu hình phản chiếu cổng Remote:

1. Tạo cổng nguồn trong lược đồ chung.

2. Cấu hình cổng đường lên trên một switch.

3. Tạo cổng đích trong lược đồ chung.

4. Cấu hình cổng UPLINK trên một switch khác.

Để cấu hình cổng SPAN trên một thiết bị mạng, bạn cần truy cập giao diện quản trị của thiết bị đó. Cách cụ thể có thể thay đổi tùy theo loại và hãng sản xuất của thiết bị mạng. Dưới đây là một hướng dẫn tổng quan về cách cấu hình cổng SPAN trên nhiều thiết bị mạng thông dụng:

Cisco Switch (Cisco IOS):

1. Đăng nhập vào switch bằng SSH, Telnet hoặc console.

2. Truy cập chế độ cấu hình bằng lệnh enable (hoặc configure terminal).

3. Tạo một cổng SPAN bằng lệnh sau:

monitor session <session_number> source interface <source_interface> rx | tx | both

<session_number>: Số phiên (session) cần tạo.

<source_interface>: Cổng nguồn bạn muốn sao chép lưu lượng từ.

rx: Chỉ sao chép lưu lượng nhận (received).

tx: Chỉ sao chép lưu lượng gửi (transmitted).

both: Sao chép cả lưu lượng nhận và gửi.

4. Xác định cổng đích (destination port) bằng lệnh:

monitor session <session_number> destination interface <destination_interface>

<destination_interface>: Cổng nơi bạn muốn đưa lưu lượng đã sao chép đến.

5. Kết thúc phiên cấu hình SPAN bằng lệnh end hoặc exit.

6. Lưu cấu hình bằng lệnh write memory hoặc copy running-config startup-config để cấu hình được lưu lại.

Juniper Switch (Junos):

1. Đăng nhập vào switch bằng SSH hoặc console.

2. Truy cập chế độ cấu hình bằng lệnh cli.

3. Tạo một cổng SPAN bằng lệnh sau:

set forwarding-options analyzer <analyzer_name> input ingress interface <source_interface>

<analyzer_name>: Tên của phiên (session) SPAN.

<source_interface>: Cổng nguồn bạn muốn sao chép lưu lượng từ.

4. Xác định cổng đích (destination port) bằng lệnh:

set interfaces <destination_interface> unit 0 family ethernet-switching analyzer <analyzer_name>.0

5. Kết thúc phiên cấu hình SPAN bằng lệnh commit.

HPE/Aruba Switch:

1. Đăng nhập vào switch bằng SSH, Telnet hoặc console.

2. Truy cập chế độ cấu hình bằng lệnh configure terminal.

3. Tạo một cổng SPAN bằng lệnh sau:

mirror <session_number> source <source_interface> destination <destination_interface>

<session_number>: Số phiên (session) cần tạo.

<source_interface>: Cổng nguồn bạn muốn sao chép lưu lượng từ.

<destination_interface>: Cổng đích nơi bạn muốn đưa lưu lượng đã sao chép đến.

4. Kết thúc phiên cấu hình SPAN bằng lệnh end hoặc exit.

5. Lưu cấu hình bằng lệnh write memory hoặc copy running-config startup-config để cấu hình được lưu lại.

Các lỗi về cổng SPAN cần tránh

Khi thiết lập và sử dụng tính năng cổng SPAN, điều cần thiết là tránh các lỗi phổ biến về cổng SPAN như:

  1. Cấu hình sai: Cấu hình không đúng có thể dẫn đến giảm khả năng hiển thị hoặc thậm chí gây ra sự cố mạng.
  2. Không đủ băng thông: Nếu cổng giám sát không có đủ băng thông, nó có thể khiến các gói tin bị mất và hạn chế khả năng phân tích lưu lượng mạng của bạn. Đảm bảo cổng giám sát của bạn có đủ băng thông cho lưu lượng truy cập bạn đang thu thập.
  3. Quá tải: Switch sẽ quá tải với quá nhiều cổng được nhân đôi hoặc lưu lượng truy cập quá mức có thể gây ra các vấn đề về hiệu suất. Hãy thận trọng với số lượng cổng được nhân đôi mà bạn thiết lập và chỉ xem xét việc giám sát lưu lượng truy cập quan trọng nhất.
  4. Lựa chọn cổng nguồn sai: Chọn sai cổng nguồn có thể dẫn đến thiếu lưu lượng mạng quan trọng. Đảm bảo rằng bạn hiểu rõ về cấu trúc liên kết mạng và luồng lưu lượng truy cập để chọn đúng cổng nguồn để giám sát.
  5. Giám sát lưu lượng truy cập sai: Tập trung vào lưu lượng truy cập không liên quan có thể dẫn đến thiếu thông tin chi tiết và lãng phí tài nguyên. Hãy chọn lọc lưu lượng truy cập mà bạn theo dõi để đảm bảo bạn nắm bắt được dữ liệu phù hợp nhất cho mục tiêu về khả năng quan sát mạng của mình.

Phân biệt cổng SPAN và TAP

Để giám sát mạng hiệu quả có hai phương pháp phổ biến là SPAN và TAP. Cúng cung cấp quyên truy cập trực tiếp vào các gói tin thực tế truyền qua mạng.

TAP là một thiết bị nằm trong phân đoạn mạng giữa hai thiết bị (chẳng hạn như bộ định tuyến, bộ chuyển mạch hoặc tường lửa) và cho phép bạn truy cập và giám sát trực tiếp lưu lượng mạng. Do đó, tất cả dữ liệu đều truyền qua TAP và nó tạo ra một bản sao của dữ liệu để theo dõi khi dữ liệu gốc tiếp tục truyền qua mạng, đồng thời truyền và nhận dữ liệu trên các kênh riêng biệt.

Cổng SPAN, còn được gọi là Port Mirroring, là các cổng chuyên dụng trên bộ chuyển mạch hoặc bộ định tuyến tạo bản sao của các gói đã chọn đi qua thiết bị và gửi chúng đến một cổng đích cụ thể.

Ưu nhược điểm của cổng SPAN

Ưu điểm:

  • Được tích hợp trong switch, không yêu cầu phần cứng bổ sung.
  • Tiết kiệm chi phí và dễ cấu hình.
  • Có thể nhanh chóng kích hoạt hoặc vô hiệu hóa khi cần thiết.
  • Vô hình trên mạng, giảm điểm lỗi

Nhược điểm:

  • Mức độ ưu tiên thấp hơn, có khả năng làm rơi các gói được nhân đôi khi lưu lượng truy cập cao
  • Khả năng hiển thị hạn chế trong trường hợp có sự cố chuyển đổi hoặc cấu hình sai
  • Yêu cầu tài nguyên trên các thiết bị vật lý hoặc ảo.
  • Có thể ít phù hợp hơn với các mục tiêu về khả năng quan sát mạng nhạy cảm với thời gian.

Ưu và nhược điểm của TAP

Ưu điểm:

  • Cung cấp quyền truy cập trực tiếp vào lưu lượng mạng để cải thiện khả năng hiển thị.
  • Không đưa thêm tải vào Switch.
  • Xử lý gửi và nhận dữ liệu trên các kênh riêng biệt, giảm độ trễ.
  • Có thể cung cấp khả năng giám sát và chẩn đoán mạng chính xác hơn.

Nhược điểm:

  • Yêu cầu phần cứng bổ sung và khả năng bảo trì.
  • Có thể tốn kém hơn để thiết lập và duy trì.
  • Có thể giới thiệu thêm các điểm thất bại.
  • Cần cài đặt vật lý cho mỗi switch được giám sát.

Các lưu ý sử dụng cổng SPAN tốt nhất

Nếu bạn đang tìm hiểu về cổng SPAN và muốn sử dụng nó thì hãy lưu ý 4 điều sau:

  • Hiễu rõ môi trường mạng của bạn. Bạn cần biết lường lưu lượng truy cập đi như thế để có thể đặt cổng SPAN đúng.
  • Tập trung lọc của bạn: do nhược điểm của cổng SPAN, hãy đảm bảo rằng SPAN không tốn quá nhiều băng thông của Switch. Switch có thể loại bỏ các gói tin nếu tải lưu lượng mạng quá cao.
  • Kiểm tra nhật ký mạng: khả năng quan sát mạng rất quan trọng nhưng nó sẽ không có lợi ích gì nếu bạn không theo dõi lưu lượng truy cập mà cổng SPAN thu được.
  • Đừng quá tham lam: mỗi gói tin thu được bạn phải lọc và phân tích. Hiểu những gì bạn tìm và cố gắng chỉ nắm bắt những lưu lượng truy cập mà bạn cần xem.

Tổng kết:

Cổng phản chiếu SPAN hay Port Mirroring là một trong những công cụ quan trọng và hay nhất được sử dụng để quan sát lưu lượng truy cập qua mạng. Mong rằng qua bài viết này bạn đã nắm được cách mà nó hoạt động, vai trò của nó và cách cấu hình ra sao.

Nếu có bất kỳ câu hỏi gì khác, hãy để lại dưới phần bình luận để mình hỗ trợ giải đáp nhanh chóng!

Xem thêm bài viết khác:

Các tính năng của Switch

VLAN Trunk là gì? Cấu hình Cổng Trunk trên Switch

DHCP Snooping là gì? Cách cấu hình

VLAN là gì? Tất cả các thông tin về VLAN

Tìm hiểu về giao thức STP

QoS là gì? Cách thức hoạt động của QoS trên Switch

Rate this post

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *