Tweet
Hệ thống mạng bị chập chờn, nghi ngờ có mã độc đang quét (scan) trong LAN, hoặc đơn giản là sếp yêu cầu triển khai một hệ thống IDS/Wireshark để phân tích hành vi người dùng, nhưng bạn lại loay hoay không biết làm sao để "hứng" được toàn bộ lưu lượng đó về máy giám sát mà không làm gián đoạn hệ thống?
Nếu câu trả lời là "Có", thì SPAN (Switch Port Analyzer) chính là "vũ khí tối thượng" mà một kỹ sư Cisco thực thụ bắt buộc phải nằm lòng. Hôm nay, chúng ta sẽ cùng nhau phân tích từ lý thuyết cốt lõi trong chương trình CCNP ENCOR cho đến các kịch bản thực tế của 3 biến thể: Local SPAN, RSPAN và ERSPAN nhé!
1. Bản chất của SPAN là gì?
Về cơ bản, khi các thiết bị trong mạng giao tiếp với nhau qua Switch, Switch sẽ chỉ chuyển hướng gói tin đến đúng cổng của thiết bị nhận (dựa vào bảng MAC). Điều này có nghĩa là thiết bị giám sát (như PC chạy Wireshark hay hệ thống Snort IDS) cắm vào một cổng khác sẽ "bị điếc" - hoàn toàn không nhìn thấy lưu lượng này.
Để giải quyết, SPAN được sinh ra để đóng vai trò như một người "nhân bản vô tính". Nó sẽ sao chép (mirror) toàn bộ lưu lượng (gồm cả chiều nhận Ingress, chiều gửi Egress hoặc cả hai) từ một hoặc nhiều cổng nguồn (Source ports) và "ném" bản sao đó sang một cổng đích (Destination port) – nơi có thiết bị giám sát đang đợi sẵn.
2. Ba "Anh Em" Nhà SPAN: Lựa chọn nào cho hạ tầng của bạn?
Local SPAN – Tiện lợi nhưng giới hạn
Đây là kịch bản đơn giản nhất. Cổng nguồn cần giám sát và cổng đích cắm máy Wireshark nằm trên cùng một thiết bị Switch vật lý.
Ví dụ thực tế: Bạn nghi ngờ PC của phòng kế toán ở cổng FastEthernet0/2 đang dính mã độc. Bạn cắm máy tính chạy Wireshark của mình vào cổng FastEthernet0/24 trên cùng switch đó. Bạn chỉ cần cấu hình Local SPAN để Switch nhân bản toàn bộ data từ cổng 0/2 đẩy qua cổng 0/24.
Remote SPAN (RSPAN) – Vượt không gian qua Layer 2
Chuyện gì xảy ra nếu bạn có một chuỗi Switch gồm 5 tầng (Switch tầng 1 nối tầng 2, tầng 2 nối tầng 3...), máy Wireshark của bạn đặt ở phòng kỹ thuật ở tầng 1, nhưng bạn lại muốn giám sát một Server ở tận tầng 5? Bạn không thể kéo một sợi cáp vật lý từ tầng 5 xuống tầng 1 được!
RSPAN chính là giải pháp. Nó cho phép cổng nguồn và cổng đích nằm trên các Switch khác nhau. RSPAN hoạt động bằng cách gom toàn bộ lưu lượng cần giám sát, "nhét" nó vào một VLAN chuyên dụng gọi là RSPAN VLAN. VLAN này sẽ được cấu hình Trunking để chạy xuyên qua các Switch trung gian (Intermediate switches). Khi đến Switch cuối cùng (Destination switch), lưu lượng từ RSPAN VLAN này sẽ được bóc tách và đẩy ra cổng đích cắm máy giám sát của bạn.
Encapsulated Remote SPAN (ERSPAN) – "Xuyên không" qua mạng Layer 3
RSPAN rất hay, nhưng nó có một điểm yếu chí mạng: Nó chỉ chạy được trong môi trường Layer 2 (cùng một mạng LAN/VLAN). Nếu hệ thống mạng của bạn là mạng định tuyến Layer 3 (gồm nhiều chi nhánh kết nối qua Router, qua mạng WAN, hoặc các vùng mạng khác Subnet) thì RSPAN sẽ hoàn toàn bất lực.
Đây là lúc ERSPAN - một tính năng nâng cao và độc quyền của Cisco tỏa sáng. ERSPAN sẽ lấy toàn bộ lưu lượng giám sát, đóng gói (encapsulate) nó vào bên trong một đường ống GRE (Generic Routing Encapsulation). Vì đã được đóng gói thành gói tin IP, lưu lượng này có thể định tuyến thoải mái qua các Router, "bơi" qua mạng Layer 3 để đến một chi nhánh khác cách xa hàng trăm km, nơi đặt hệ thống IDS tập trung của doanh nghiệp.
Lưu ý kỹ thuật: Do yêu cầu xử lý đóng gói phức tạp, ERSPAN tính đến các tài liệu chuẩn (năm 2013) chỉ hỗ trợ trên các dòng thiết bị cao cấp như Catalyst 6500, 7600, Nexus và ASR 1000. Đặc biệt đối với dòng ASR 1000, tính năng ERSPAN source (giám sát) chỉ hỗ trợ trên các giao diện Fast Ethernet, Gigabit Ethernet và port-channel.
Lời kết cho anh em:
Khi cấu hình SPAN, đặc biệt là RSPAN và ERSPAN, hãy cực kỳ lưu ý đến băng thông của cổng đích và đường truyền. Nếu bạn monitor một cổng 1Gbps nhưng đẩy vào một cổng đích 100Mbps, hoặc đẩy qua đường truyền WAN dung lượng thấp bằng ERSPAN, hiện tượng nghẽn cổ chai và rơi rụng gói tin (packet drop) chắc chắn sẽ xảy ra, làm ảnh hưởng đến cả hiệu suất mạng thật lẫn kết quả phân tích.
Hy vọng bài viết này giúp bạn hệ thống lại kiến thức Network Assurance một cách trực quan nhất để tự tin xử lý các bài toán giám sát mạng.
Nếu câu trả lời là "Có", thì SPAN (Switch Port Analyzer) chính là "vũ khí tối thượng" mà một kỹ sư Cisco thực thụ bắt buộc phải nằm lòng. Hôm nay, chúng ta sẽ cùng nhau phân tích từ lý thuyết cốt lõi trong chương trình CCNP ENCOR cho đến các kịch bản thực tế của 3 biến thể: Local SPAN, RSPAN và ERSPAN nhé!
1. Bản chất của SPAN là gì?
Về cơ bản, khi các thiết bị trong mạng giao tiếp với nhau qua Switch, Switch sẽ chỉ chuyển hướng gói tin đến đúng cổng của thiết bị nhận (dựa vào bảng MAC). Điều này có nghĩa là thiết bị giám sát (như PC chạy Wireshark hay hệ thống Snort IDS) cắm vào một cổng khác sẽ "bị điếc" - hoàn toàn không nhìn thấy lưu lượng này.
Để giải quyết, SPAN được sinh ra để đóng vai trò như một người "nhân bản vô tính". Nó sẽ sao chép (mirror) toàn bộ lưu lượng (gồm cả chiều nhận Ingress, chiều gửi Egress hoặc cả hai) từ một hoặc nhiều cổng nguồn (Source ports) và "ném" bản sao đó sang một cổng đích (Destination port) – nơi có thiết bị giám sát đang đợi sẵn.
2. Ba "Anh Em" Nhà SPAN: Lựa chọn nào cho hạ tầng của bạn?
Local SPAN – Tiện lợi nhưng giới hạn
Đây là kịch bản đơn giản nhất. Cổng nguồn cần giám sát và cổng đích cắm máy Wireshark nằm trên cùng một thiết bị Switch vật lý.
Ví dụ thực tế: Bạn nghi ngờ PC của phòng kế toán ở cổng FastEthernet0/2 đang dính mã độc. Bạn cắm máy tính chạy Wireshark của mình vào cổng FastEthernet0/24 trên cùng switch đó. Bạn chỉ cần cấu hình Local SPAN để Switch nhân bản toàn bộ data từ cổng 0/2 đẩy qua cổng 0/24.
Remote SPAN (RSPAN) – Vượt không gian qua Layer 2
Chuyện gì xảy ra nếu bạn có một chuỗi Switch gồm 5 tầng (Switch tầng 1 nối tầng 2, tầng 2 nối tầng 3...), máy Wireshark của bạn đặt ở phòng kỹ thuật ở tầng 1, nhưng bạn lại muốn giám sát một Server ở tận tầng 5? Bạn không thể kéo một sợi cáp vật lý từ tầng 5 xuống tầng 1 được!
RSPAN chính là giải pháp. Nó cho phép cổng nguồn và cổng đích nằm trên các Switch khác nhau. RSPAN hoạt động bằng cách gom toàn bộ lưu lượng cần giám sát, "nhét" nó vào một VLAN chuyên dụng gọi là RSPAN VLAN. VLAN này sẽ được cấu hình Trunking để chạy xuyên qua các Switch trung gian (Intermediate switches). Khi đến Switch cuối cùng (Destination switch), lưu lượng từ RSPAN VLAN này sẽ được bóc tách và đẩy ra cổng đích cắm máy giám sát của bạn.
Encapsulated Remote SPAN (ERSPAN) – "Xuyên không" qua mạng Layer 3
RSPAN rất hay, nhưng nó có một điểm yếu chí mạng: Nó chỉ chạy được trong môi trường Layer 2 (cùng một mạng LAN/VLAN). Nếu hệ thống mạng của bạn là mạng định tuyến Layer 3 (gồm nhiều chi nhánh kết nối qua Router, qua mạng WAN, hoặc các vùng mạng khác Subnet) thì RSPAN sẽ hoàn toàn bất lực.
Đây là lúc ERSPAN - một tính năng nâng cao và độc quyền của Cisco tỏa sáng. ERSPAN sẽ lấy toàn bộ lưu lượng giám sát, đóng gói (encapsulate) nó vào bên trong một đường ống GRE (Generic Routing Encapsulation). Vì đã được đóng gói thành gói tin IP, lưu lượng này có thể định tuyến thoải mái qua các Router, "bơi" qua mạng Layer 3 để đến một chi nhánh khác cách xa hàng trăm km, nơi đặt hệ thống IDS tập trung của doanh nghiệp.
Lưu ý kỹ thuật: Do yêu cầu xử lý đóng gói phức tạp, ERSPAN tính đến các tài liệu chuẩn (năm 2013) chỉ hỗ trợ trên các dòng thiết bị cao cấp như Catalyst 6500, 7600, Nexus và ASR 1000. Đặc biệt đối với dòng ASR 1000, tính năng ERSPAN source (giám sát) chỉ hỗ trợ trên các giao diện Fast Ethernet, Gigabit Ethernet và port-channel.
Lời kết cho anh em:
Khi cấu hình SPAN, đặc biệt là RSPAN và ERSPAN, hãy cực kỳ lưu ý đến băng thông của cổng đích và đường truyền. Nếu bạn monitor một cổng 1Gbps nhưng đẩy vào một cổng đích 100Mbps, hoặc đẩy qua đường truyền WAN dung lượng thấp bằng ERSPAN, hiện tượng nghẽn cổ chai và rơi rụng gói tin (packet drop) chắc chắn sẽ xảy ra, làm ảnh hưởng đến cả hiệu suất mạng thật lẫn kết quả phân tích.
Hy vọng bài viết này giúp bạn hệ thống lại kiến thức Network Assurance một cách trực quan nhất để tự tin xử lý các bài toán giám sát mạng.