Allied Telesis Cấu hình SPAN Port (Port Mirroring) trên Allied Telesis

AnhTuIS

AnhTuIS

Moderator

Cấu hình SPAN Port (Port Mirroring) trên Allied Telesis​

- Trong môi trường mạng hiện đại, việc giám sát và phân tích lưu lượng mạng là vô cùng quan trọng để đảm bảo hiệu suất, bảo mật và khắc phục sự cố. Một trong những công nghệ cốt lõi giúp đạt được mục tiêu này là Port Mirroring, hay còn gọi là SPAN (Switched Port Analyzer). Công nghệ này cho phép sao chép lưu lượng truy cập từ một hoặc nhiều port mạng (source port) đến một destination port (monitoring port) để phân tích mà không làm gián đoạn hoạt động của mạng. Bài viết này sẽ đi sâu vào cách cấu hình SPAN Port (Port Mirroring) và Remote-mirroring trên các switch Allied Telesis, dựa trên tài liệu chính thức và các thông tin bổ sung.

- Bài viết này áp dụng cho các sản phẩm AlliedWare Plus hỗ trợ port mirroring và/hoặc remote mirroring, chạy phiên bản 5.4.6-1.x trở lên. Từ phiên bản phần mềm 5.5.4-2.3 trở đi, bạn có thể cấu hình mirror đến nhiều port hoặc một aggregator trên hầu hết các switch AlliedWare Plus.

- Port Mirroring là một tính năng mạnh mẽ được các kỹ sư mạng và quản trị viên sử dụng để phân tích và gỡ lỗi lưu lượng mạng hoặc chẩn đoán lỗi trong mạng. Nó có thể được sử dụng để sao chép lưu lượng vào hoặc ra (hoặc cả hai) trên một hoặc nhiều interface. Các trường hợp sử dụng phổ biến bao gồm giám sát hiệu suất ứng dụng, phát hiện xâm nhập, phân tích bảo mật, và khắc phục sự cố mạng



Mục lục

I. Port Mirroring (SPAN) cục bộ​

- Port Mirroring cục bộ cho phép sao chép lưu lượng mạng từ một hoặc nhiều port đến một port khác trên cùng một switch. Cổng đích này, được gọi là mirror port (mirror port), thường được kết nối với một thiết bị phân tích giao thức (protocol analyzer) để thu thập và phân tích dữ liệu.

1. Nguyên lý hoạt động của Port Mirroring (SPAN)​

- Khi cấu hình Port Mirroring, switch sẽ sao chép các gói tin đi qua các source port được chỉ định và gửi bản sao đó đến mirror port. Điều quan trọng cần lưu ý là mirror port không tham gia vào bất kỳ hoạt động chuyển mạch VLAN nào khác và không thuộc bất kỳ VLAN nào ngoại trừ VLAN mặc định. Trước khi cấu hình, mirror port phải được loại bỏ khỏi tất cả các nhóm trunk và tất cả các VLAN trừ VLAN mặc định.

Biểu đồ không có tiêu đề.drawio.png

2. Cấu hình Port Mirroring​

- Ví dụ sau đây minh họa cách cấu hình port 1.0.18 làm mirror port để sao chép lưu lượng từ port 1.0.3 (cả gói tin vào và ra), port 2.0.3 (chỉ gói tin ra) và port 2.0.4 (chỉ gói tin vào) trên thiết bị Allied Telesis:

Mã: 
awplus(config)# interface port1.0.18
awplus(config-if)# mirror interface port1.0.3 direction both
awplus(config-if)# mirror interface port2.0.3 direction transmit
awplus(config-if)# mirror interface port2.0.4 direction receive

3. Sử dụng ACL để sao chép lưu lượng có chọn lọc​

- Ngoài việc sao chép toàn bộ lưu lượng, bạn có thể sử dụng Access Control List (ACL) để chọn lọc chỉ sao chép một tập hợp con lưu lượng cụ thể đến một port. Dưới đây là cách cấu hình Port Mirroring kết hợp ACL
Mã: 
awplus(config)#interface port1.0.20
awplus(config-if)#mirror interface none  //thiết lập mirror port

awplus(config)#access-list hardware acl_filter
awplus(config-ip-hw-acl)#10 copy-to-mirror ip any any vlan 180 //tạo ACL
awplus(config-ip-hw-acl)#11 copy-to-mirror ip any 236.5.8.213/32

awplus(config)#interface port1.0.7
awplus(config-if)#access-group acl_filter //Gắn ACL vào một hoặc nhiều port

4. Hạn chế của Port Mirroring cục bộ​

- Do các thuộc tính phần cứng nội bộ của switch, có một số hạn chế cần lưu ý khi sử dụng Port Mirroring:
  • Không hỗ trợ sao chép đến nhiều cổng trên các thiết bị dòng x220, x320, GS980M, GS980EM, SBx81CFC960 và AR.
  • Không hỗ trợ sao chép đến các nhóm liên kết (aggregator) trên các thiết bị dòng x220, x320, GS980M, GS980EM, SBx81CFC960 và AR.
  • Số lượng mirror port tối đa được hỗ trợ phụ thuộc vào từng thiết bị. Vui lòng tham khảo Datasheet của thiết bị để biết chi tiết.
  • Nếu nhiều cổng đang được sao chép và đều hoạt động gần mức băng thông tối đa, lượng dữ liệu gửi đến mirror port sẽ rất lớn. Điều này có thể gây tắc nghẽn trong fabric chuyển mạch và dẫn đến mất gói tin ở các luồng khác.
  • Nếu các khung dữ liệu được định sẵn để rời khỏi mirror port mà không có thẻ VLAN (untagged), thì khi được nhận bởi mirror port, thẻ VLAN sẽ vẫn được giữ lại. Việc giữ lại thẻ này có thể làm tăng băng thông yêu cầu, khiến mirror port không thể xử lý hết lưu lượng.​

II. Remote-mirroring (RSPAN)​

1. Nguyên lý hoạt động của Remote-mirroring​

- Cấu hình Remote-mirroring bao gồm ba thành phần chính:
  1. Source Switch: Được cấu hình để sao chép các gói tin từ 1-4 port đến một destination port với việc thêm một thẻ VLAN cụ thể. Có giới hạn một destination port (tổng cộng giữa Remote-mirroring và Port Mirroring cục bộ) cho mỗi switch.
  2. Các switch trung gian: Tất cả các switch trên đường dẫn giữa nguồn và đích của phiên Remote-mirroring phải được cấu hình với VLAN này. VLAN cần ở chế độ mirror-vlan đặc biệt, có nghĩa là tất cả lưu lượng trên mirror-vlan sẽ được tràn (flooded), và không có việc học địa chỉ MAC hoặc xử lý CPU nào được thực hiện cho các gói tin trong VLAN.
  3. Destination Switch: Có một port được cấu hình làm port remote-mirror-egress. Cổng này sẽ loại bỏ thẻ mirror-vlan khỏi các gói tin và không cho phép gói tin đi vào. Cổng này không tính vào số lượng destination mirror port tối đa trên một switch.
1754455394690.png

2. Cách sử dụng Remote-mirroring​

- Để sử dụng Remote-mirroring, một port trên switch nguồn phải được cấu hình làm đích Remote-mirroring cho switch. Điều này cấu hình switch để gửi tất cả lưu lượng được sao chép ra khỏi port đó, được gắn thẻ với VLAN gương đã cấu hình. Cổng này không nhất thiết phải là một port chuyên dụng (ví dụ: nó có thể là port uplink của switch).
- Tất cả các switch khác giữa switch nguồn và đích phải có VLAN Remote-mirror được chọn cấu hình là remote-mirror-vlan. Điều này có nghĩa là tất cả các gói tin nhận được trên VLAN đó sẽ được tràn đến tất cả các port khác trong VLAN, và việc học địa chỉ từ các gói tin đó bị ngăn chặn. Một số loại gói tin nhất định vẫn có thể được gửi đến CPU của các switch trung gian. Chúng sẽ được chuyển tiếp trừ khi chúng được gửi đến dải địa chỉ BPDU, trong trường hợp đó chúng sẽ bị loại bỏ.
- Destination Switch cuối cùng cũng có VLAN này được cấu hình là remote-mirror-vlan, nhưng chúng ta cũng cấu hình một số port nhất định trong vlan đó làm port remote-mirror-egress. Các port này loại bỏ thẻ Remote-mirroring khỏi các gói tin trước khi gửi chúng ra ngoài. Việc truy cập bị vô hiệu hóa trên các port remote-mirror-egress.

3. Cấu hình Remote-mirroring​

- Cấu hình Remote-mirroring có ba phần:
  • Một VLAN Remote-mirroring được cấu hình trên tất cả các switch tham gia.
  • Một port trên switch nguồn được cấu hình để gửi lưu lượng được sao chép được gắn thẻ với thẻ VLAN gương.
  • Một port trên switch đích được cấu hình làm port remote-mirror-egress. Cổng này chặn lưu lượng vào và xuất lưu lượng được sao chép đã loại bỏ thẻ Remote-mirroring. Cổng này phải nằm trên một switch khác với lưu lượng nguồn.
* Lưu ý: Tất cả các port được cấu hình trong VLAN Remote-mirror mà không phải là port egress phải ở chế độ trunk và VLAN không được là native VLAN của port.

* Cấu hình đơn giản sử dụng hai switch

- Phần này mô tả cách cấu hình Remote-mirroring trong một kịch bản đơn giản với hai switch. Lưu lượng ở cả hai hướng trên port 1.0.1 của Switch_A sẽ được gửi ra port 1.0.25 được gắn thẻ với mirror-vlan tag 5, đến port 1.0.49 của Switch_B, thoát ra port 1.0.2 của Switch_B.

1754455394690.png


* Cấu hình Switch_b (receiving device)

Mã: 
switch_b(config)# vlan database
switch_b(config-vlan)# vlan 5 mode remote-mirror-vlan // tạo remote mirroring VLAN

switch_b(config)# interface port1.0.49
switch_b(config-if)# switchport mode trunk
switch_b(config-if)# switchport trunk allowed vlan add 5 // thêm VLAN 5 vào cổng trunk

switch_b(config)# interface port1.0.2
switch_b(config-if)# switchport remote-mirror-egress vlan 5 // Cấu hình remote mirror egress port

* Cấu hình Switch_a (Source Device)

Mã: 
switch_a(config)# vlan database
switch_a(config-vlan)# vlan 5 mode remote-mirror-vlan // tạo remote mirroring VLAN

switch_a(config)# interface port1.0.25
switch_a(config-if)# switchport mode trunk
switch_a(config-if)# switchport trunk allowed vlan add 5 // thêm VLAN 5 vào cổng trunk

switch_a(config-if)# remote-mirror interface port1.0.1 direction both vlan 5 //sao chép lưu lượng hai chiều từ port1.0.1, gắn thẻ VLAN 5


* Xóa cấu hình cơ bản khi không còn cần Remote-mirroring

* Switch_a

Mã: 
switch_a(config)# interface port1.0.25
switch_a(config-if)# no remote-mirror interface port1.0.1
switch_a(config-if)# switchport trunk allowed vlan remove 5
switch_a(config)# vlan database
switch_a(config-vlan)# no vlan 5

* Switch_b

Mã: 
switch_b(config)# interface port1.0.2
switch_b(config-if)# no switchport remote-mirror-egress
switch_b(config)# vlan database
switch_b(config-vlan)# no vlan 5


* Cấu hình Các switch trung gian

1754457572522.png
- Để thêm một switch khác (Switch C) giữa remote mirroring source Switch A và remote mirroring destination Switch B hãy làm theo các bước dưới đây:
Mã: 
switch_c(config)# vlan database
switch_c(config-vlan)# vlan 5 mode remote-mirror-vlan // tạo remote mirroring VLAN

switch_c(config)# interface port1.0.47-port1.0.48
switch_c(config-if)# switchport mode trunk
switch_c(config-if)# switchport trunk allowed vlan add 5 // thêm VLAN 5 vào cổng trunk

- Tương tự bạn có thể cấu hình trên 1 channel-group

1754457712481.png


* Sử dụng ACL để chọn lọc gửi lưu lượng đến remote mirror

- Có thể chọn lọc gửi lưu lượng đến remote mirror thông qua ACL. Cấu hình cho receiving switch tương tự như các ví dụ trước. Ví dụ dưới đây thiết lập port1.0.25 làm remote mirror port và thiết lập một số ACL để gửi lưu lượng đến port. Lưu ý rằng mirroring dựa trên ACL chỉ mirror các gói tin đã nhận.

Mã: 
switch_a(config)# vlan database
switch_a(config-vlan)# vlan 5 mode remote-mirror-vlan
switch_a(config)# interface port1.0.25
switch_a(config-if)# switchport mode trunk
switch_a(config-if)# switchport trunk allowed vlan add 5
switch_a(config-if)# remote-mirror interface none vlan 5
switch_a(config-if)# exit

(config)# access-list hardware mirror_example
(config-ip-hw-acl)# 10 copy-to-mirror tcp any any eq 25
(config-ip-hw-acl)# 20 copy-to-mirror tcp any any eq 80
(config-ip-hw-acl)# exit
(config)# interface port1.0.13-1.0.14
(config-if)# access-group mirror_example



* Kết quả:
1754458243226.png

- Lệnh show remote-mirror hiển thị thông tin liên quan đến cấu hình giám sát từ xa trên switch như sau:

Đích gương từ xa (Remote mirror destination) – Trên switch nguồn, phần này hiển thị:
  • Cổng đích (cổng xuất lưu lượng) nhận dữ liệu đã được sao chép trên switch nguồn.
  • VLAN ID được gắn thẻ cho lưu lượng khi rời khỏi switch.
  • Mức độ ưu tiên của người dùng được gắn thẻ khi lưu lượng rời khỏi switch.
Các cổng được giám sát (Monitored ports) – Trên switch nguồn, phần này hiển thị:
  • Các cổng đang được giám sát (được sao chép lưu lượng).
  • Hướng giám sát: nhận, truyền hoặc cả hai chiều.
  • Nếu hiển thị là none (via ACL), nghĩa là đã cấu hình bằng lệnh remote-mirror interface none để cho phép ACL chọn lưu lượng cần sao chép. Trong trường hợp này, các hành động copy-to-mirror send-to-mirror trong ACL sẽ xác định lưu lượng được gửi đến mirror port từ xa.
Lưu ý: Nếu đã cấu hình cổng đích và cổng giám sát, thì các hành động copy-to-mirrorsend-to-mirror có thể được sử dụng ngầm định, ngay cả khi chưa cấu hình remote-mirror interface none.

Cổng xuất gương từ xa (Remote mirror egress ports) – Trên switch đích, phần này hiển thị:
  • Các cổng xuất lưu lượng gương từ xa.
  • VLAN gương từ xa tương ứng với các cổng này.
VLAN gương từ xa (Remote mirror VLANs) – Trên switch nguồn, đích và trung gian, phần này hiển thị:
  • Danh sách các VLAN được cấu hình ở chế độ remote-mirror-vlan.
  • Để xem các cổng liên quan đến VLAN này, sử dụng lệnh show vlan brief.

4. Hạn chế của Remote-mirroring​

  • Mỗi switch chỉ hỗ trợ một đích gương duy nhất; có thể là gương cục bộ hoặc gương từ xa.
  • Mặc dù gói tin được sao chép đến một VLAN, vẫn phải chỉ định một cổng cụ thể. Nghĩa là cần chọn một liên kết không bị loại bỏ gói tin (ví dụ như liên kết không bị STP chặn).
  • Có giới hạn phần cứng trên các card SBx8100 sau: SBx81CFC400, SBx81XS6, SBx81GS24a. Do giới hạn này, không thể áp dụng remote mirroring cho các gói tin được định tuyến Layer 3 bởi các card này.
    • Khuyến nghị không cấu hình các cổng trên những card này làm đích gương từ xa nếu gói tin đến hoặc đi từ các cổng đó được định tuyến Layer 3 trong card.
    • Nói cách khác, không nên sử dụng lệnh remote-mirror interface trên các cổng đó.
    • Giới hạn này không áp dụng khi sử dụng các cổng trên những card đó cho các chức năng khác của remote mirroring (ví dụ: làm cổng xuất gương từ xa hoặc cổng trunk trên switch trung gian).
  • Việc vô hiệu hóa VLAN gương từ xa trên switch nguồn sẽ không ngăn gói tin gương được gửi đi với thẻ VLAN gương từ xa. Để dừng việc sao chép, cần sử dụng lệnh no remote-mirror interface.
  • Khuyến nghị cấu hình VLAN gương từ xa trên các switch nhận lưu lượng gương trước khi kích hoạt remote mirroring trên switch nguồn. Nếu không, switch nhận có thể cố gắng xử lý một số loại gói tin nhận được.
    • Nếu VLAN nhận được cấu hình đúng là VLAN gương từ xa, nó sẽ loại bỏ các gói tin này thay vì xử lý chúng.
    • Ví dụ về các loại gói tin này bao gồm STP và AMF BPDU.

III. Kết luận

- Cấu hình SPAN Port (Port Mirroring) và Remote-mirroring trên các thiết bị chuyển mạch Allied Telesis là những công cụ mạnh mẽ cho phép quản trị viên mạng giám sát và phân tích lưu lượng mạng một cách hiệu quả. Mặc dù có những hạn chế nhất định, việc hiểu rõ nguyên lý hoạt động và cách cấu hình chi tiết sẽ giúp tối ưu hóa việc sử dụng các tính năng này để đảm bảo hiệu suất, bảo mật và khả năng khắc phục sự cố mạng.
- Việc áp dụng Port Mirroring đúng cách sẽ cung cấp cái nhìn sâu sắc về hoạt động của mạng, giúp phát hiện sớm các vấn đề tiềm ẩn và đưa ra các quyết định sáng suốt để duy trì một môi trường mạng ổn định và an toàn
 
Sửa lần cuối:
Bài viết liên quan
VCStack trên Switch Allied Telesis bởi Nguyễn Văn Huấn,
[LAB 04] Thêm các thiết bị vào AMF để quản trị trên VMEX bởi wcuong,
[LAB 02] Triển khai Vista Manager EX (Dựa trên Windows) trên WMWare vSphere bởi wcuong,
[LAB 01] Triển khai Virtual AMF Appliance (VAA) trên VMWare vSphere bởi wcuong,
[LAB 04] Thêm thiết bị vào AMF và tính năng quản trị trên VMEX bởi HanaLink,
[LAB 02] Deploy Vista Manager EX (Windows-based) trên VMWare bởi HanaLink,
Bài viết mới
VCStack trên Switch Allied Telesis bởi Nguyễn Văn Huấn,
[LAB 04] Thêm các thiết bị vào AMF để quản trị trên VMEX bởi wcuong,
[LAB 02] Triển khai Vista Manager EX (Dựa trên Windows) trên WMWare vSphere bởi wcuong,
[LAB 01] Triển khai Virtual AMF Appliance (VAA) trên VMWare vSphere bởi wcuong,
[LAB 04] Thêm thiết bị vào AMF và tính năng quản trị trên VMEX bởi HanaLink,
[LAB 02] Deploy Vista Manager EX (Windows-based) trên VMWare bởi HanaLink,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top