Hệ thống phát hiện xâm nhập mạng

08:09:06 %SYS-5- SPAN_CFGSTATECHG:local SPAN session active for destination port 6/2 Thực hiện SPAN trên một đường Trunk Các đường Trunks là một trường hợp đặc biệt trong một Switch, vì các trunk mang thông tin một số VLANs. If a trunk is selected as a source port, the traffic for all the VLANs on this trunk is monitored. Nếu một đường trunk được chọn là một cổng nguồn, lưu lượng truy cập tất cả các VLANs trên đường trunk này được giám sát. Giám sát một tập nhỏ của các VLANs trên một đường trunk Trong Lược đồ này, cổng 6/5 hiện tại là một đường trunk mang tất cả các VLANs. Tưởng tượng rằng bạn muốn sử dụng SPAN trên lưu lượng truy cập trong VLAN cho 2 cổng 6/4 và 6/5. Đơn giản là dùng lệnh : switch (enable) set SPAN 6/4-5 6/2 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 36 Hình 2.10 : Giám sát lưu lượng qua đường trunk Trong trường hợp này, lưu lượng đó được nhận trên cổng SPAN là pha trộn của lưu lượng truy cập mà bạn muốn và tất cả các VLANs mà đường trunk 6/5 mang. Ví dụ, không có cách nào để phân biệt trên cổng đích một gói đến từ cổng 6/4 trong VLAN 2 hoặc cổng 6/5 trong VLAN 1. Khả năng khác là sử dụng SPAN trên toàn bộ VLAN 2: switch (enable) set SPAN 2 6/2 Hình 2.11 : Thiết lập VLAN bị giám sát Với cấu hình này, ít nhất, bạn chỉ giám sát lưu lượng truy cập thuộc về VLAN 2 từ đường trunk đó. Vấn đề là hiện tại bạn cũng nhận được lưu lượng truy cập mà bạn không muốn từ cổng 6/3. CatOS bao gồm một từ khóa khác mà cho phép bạn lựa chọn một số VLANs để giám sát từ đường trunk switch (enable) set SPAN 6/4-5 6/2 filter 2 2000 Sep 06 02:31:51 %SYS-5-SPAN_CFGSTATECHG:local SPAN session inactive Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 37 for destination port 6/2 Destination : Port 6/2 Admin Source : Port 6/4-5 Oper Source : Port 6/4-5 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : 2 Status : active Lệnh này đạt được mục tiêu vì bạn chọn VLAN 2 trên tất cả các đường trunks được theo dõi và giám sát. Bạn có thể chỉ định một số VLANs với tùy chọn lọc. Note: This filter option is only supported on Catalyst 4500/4000 and Catalyst 6500/6000 Switches. Catalyst 5500/5000 does not support the filter option that is available with the set SPAN command. Lưu ý: tùy chọn lọc này chỉ hỗ trợ trên dòng Catalyst 4500/4000 và Catalyst 6500/6000. Catalyst 5500/5000 không hỗ trợ tùy chọn lọc sẵn có với câu lệnh set SPAN. Trunking trên cổng đích Nếu bạn có cổng nguồn thuộc một số VLANs khác nhau, hoặc nếu bạn sử dụng SPAN trên một vài VLANs trên một đường trunk, bạn có thể muốn xác định VLAN của một gói bạn nhận được trên cổng SPAN đích . Điều này có thể được xác định là nếu bạn cho phép trunking trên cổng đích trước khi bạn cấu hình cổng cho Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 38 SPAN. Bằng cách này, tất cả các gói được chuyển tiếp đến các Sniffer cũng được gắn thẻ của họ tương ứng với VLAN ID. Note: Your sniffer needs to recognize the corresponding encapsulation. Lưu ý: Máy phân tích của bạn cần mặc định những dữ liệu tương ứng. switch (enable) set span disable 6/2 This command will disable your span session. Do you want to continue (y/n) [n]?y Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/4-5 2000 Sep 06 02:52:22 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/2 switch (enable) set trunk 6/2 nonegotiate isl Port(s) 6/2 trunk mode set to nonegotiate. Port(s) 6/2 trunk type set to isl. switch (enable) 2000 Sep 06 02:52:33 %DTP-5-TRUNKPORTON:Port 6/2 has become isl trunk switch (enable) set span 6/4-5 6/2 Destination : Port 6/2 Admin Source : Port 6/4-5 Oper Source : Port 6/4-5 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 39 2000 Sep 06 02:53:23 %SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/2 Tạo ra các phiên làm việc đồng thời Trước đây, chỉ có một phiên Span đã được tạo ra. Mỗi lầng bạn nhập một lệnh mới set span, cấu hình trước đó sẽ bị loại bỏ. Các CatOS bây giờ có khả năng chạy nhiều phiên đồng thời, vì vậy có thể có vài cổng đích khác nhau cùng một lúc. Nhập lệnh set span source destination create để tạo thêm một phiên SPAN. Trong phiên này, cổng 6/1 đến 6/2 được giám sát, và cùng một thời điểm, VLAN 3 đến cổng 6/3 được giám sát: Hình 2.12 : Giám sát đồng thời switch (enable) set span 6/1 6/2 2000 Sep 05 08:49:04 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/2 Destination : Port 6/2 Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 40 Learning : enabled Multicast : enabled Filter : - Status : active switch (enable) 2000 Sep 05 08:49:05 %SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/2 switch (enable) set span 3 6/3 create Destination : Port 6/3 Admin Source : VLAN 3 Oper Source : Port 6/4-5,15/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active switch (enable) 2000 Sep 05 08:55:38 %SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/3 Câu lệnh show span để xác định xem bạn có hai phiên vào cùng một thời điểm: switch (enable) show span Destination : Port 6/2 Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 41 Multicast : enabled Filter : - Status : active ------------------------------------------------------------------------ Destination : Port 6/3 Admin Source : VLAN 3 Oper Source : Port 6/4-5,15/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active Total local span sessions: 2 Các phiên thêm vào được khởi tạo. Bạn muốn xoá một vài phiên. Câu lệnh là set span disable {all | destination_port } Bởi vì chỉ có thể có được một cổng đích mỗi phiên, cổng đó xác định một phiên. Xóa phiên đầu tiên được khởi tạo, là phiên sử dụng port 6/2 là cổng đích: switch (enable) set span disable 6/2 This command will disable your span session. Do you want to continue (y/n) [n]?y Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/1 2000 Sep 05 09:04:33 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/2 Bạn có thể kiểm tra hiện tại có duy nhất một phiên duy trì : Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 42 switch (enable) show span Destination : Port 6/3 Admin Source : VLAN 3 Oper Source : Port 6/4-5,15/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active Total local span sessions: 1 Nhập câu lệnh sau nếu muốn khoá tất cả các phiên hiện tại trong một bước : switch (enable) set span disable all This command will disable all span session(s). Do you want to continue (y/n) [n]?y Disabled all local span sessions 2000 Sep 05 09:07:07 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/3 switch (enable) show span No span session configured Các tuỳ chọn SPAN khác Cú pháp của set span là : switch (enable) set span Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 43 Usage: set span disable [dest_mod/dest_port|all] set span [rx|tx|both] [inpkts ] [learning ] [multicast ] [filter ] [create] Phần này giới thiệu ngắn gọn các tuỳ chọn mà tài liệu đề cập : • sc0-Bạn chỉ rõ từ khóa sc0 khi cấu hình một Span khi bạn cần phải giám sát lưu lượng truy cập vào giao diện quản lý sc0. Tính năng này có sẵn trên các Catalyst 5500/5000 và 6500/6000, CatOS phiên bản 5.1 hoặc mới hơn. • inpkts enable/disable -Tùy chọn này là vô cùng quan trọng. Khi ở tuỳ chọn này, một cổng mà bạn cấu hình là cổng Span đích vẫn thuộc về VLAN ban đầu của nó. Các gói được nhận trên một cổng đích sau đó đi vào VLAN đó, nếu cổng này là một cổng truy nhập bình thường. Động thái này có thể được mong muốn. Nếu bạn sử dụng một máy tính như là một Sniffer, bạn có thể muốn máy PC hoàn toàn kết nối với VLAN đó. Tuy nhiên, các kết nối có thể được gây nguy hiểm nếu bạn kết nối cổng đích đến các thiết bị mạng khác , tạo loop trong mạng. Cổng SPAN đich, không chạy STP, và bạn có thể kết thúc trong một tình huống lặp dữ liệu. Cấu hình mặc định của tùy chọn này là vô hiệu hóa, điều đó có nghĩa là cổng đích span bỏ qua các mà cổng nhận được. Điều này bảo vệ cổng khỏi tình trạng bridging "loop". Tùy chọn này xuất hiện trong CatOS 4.2. • learning enable/disable — Tùy chọn này cho phép bạn vô hiệu hoá quá trình học trên cổng đích. Theo mặc định, quá trình học được kích hoạt và cổng đích học các địa chỉ MAC từ các gói cổng nhận được. Tính năng này xuất Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 44 hiện trong CatOS 5,2 trên Catalyst 4500/4000 và 5500/5000, và trong CatOS 5,3 trên Catalyst 6500/6000. • Như tên gọi, tùy chọn này cho phép bạn để kích hoạt hoặc vô hiệu hóa việc giám sát của các gói multicast. Mặc định là cho phép. Tính năng này có sẵn trên các Catalyst 5500/5000 và 6500/6000, CatOS 5,1 và sau • spanning port 15/1 —Trên Catalyst 6500/6000, bạn có thể sử dụng cổng 15/1 (hoặc 16/1) như là một SPAN nguồn. Cổng này có thể giám sát lưu lượng truy cập được gửi đến Multilayer Switch Feature Card (MSFC).. Cổng bắt lưu lượng được định tuyến-mềm hoặc đưa tới MSFC. SPAN từ xa Tổng quan về RSPAN RSPAN cho phép bạn giám sát các cổng nguồn phân bố trên một mạng, không chỉ cục bộ trên một Switch với SPAN. Tính năng này xuất hiện trong CatOS 5.3 trong dòng Catalyst 6500/6000 Series và được cập nhật trong Catalyst 4500/4000 Series trong CatOS 6.3 và sau đó. Các chức năng hoạt động chính xác như là một phiên SPAN thông thường. Lưu lượng được giám sát bởi SPAN không sao chép trực tiếp đến cổng đích, nhưng đẩy vào một VLAN RSPAN đặc biệt. Các cổng đích có thể nằm bất cứ nơi nào trong này RSPAN VLAN. Thậm chí có thể có vài cổng đích. Lược đồ dưới miêu tả cấu trúc của một phiên RSPAN Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 45 Hình 2.3 : Giám sát từ xa Trong ví dụ này, bạn cấu hình RSPAN để giám sát lưu lượng mà máy A gửi. Khi A phát một frame đích đến là B, gói được sao chép bởi một ứng dụng mạch tích hợp (ASIC) của Catalyst 6500/6000 Policy Feature Card (PFC) vào một RSPAN VLAN đã xác định. Từ đó, các gói được đẩy đến đến tất cả các cổng khác mà thuộc về RSPAN VLAN đó. tất cả các liên kết liên Switch được vẽ ở trên là các đường trunks, đó là một yêu cầu cho RSPAN. Chỉ cổng truy cập là các cổng đích, nơi các máy phân tích được kết nối (ở đây, trên S4 và S5). Có môt vài lưu ý trên thiết kế này • S1 được gọi là một Switch nguồn. Các gói chỉ đi vào RSPAN VLAN trong các Switch được cấu hình như RSPAN nguồn. Hiện tại, một Switch chỉ có thể là nguồn trong một phiên RSPAN, điều đó có nghĩa là một Switch nguồn chỉ có thể cho phép một RSPAN VLAN tại một thời điểm. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 46 • S2 và S3 là các Switch trung gian. Chúng không phải là các nguồn RSPAN và không có các cổng đích. Một Switch có thể làm trung gian cho bất kỳ phiên RSPAN nào. • S4 và S5 là các Switch đích. Một số cổng của chúng được cấu hình làm cổng đích cho một phiên RSPAN. Hiện tại, một Catalyst 6500/6000 có thể có tới 24 cổng đích RSPAN, cho một hoặc một vài phiên khác nhau. Bạn cũng có thể nhận thấy rằng cả S4 đồng thời là một Switch trung gian và Switch đích. • Bạn có thể thấy các gói RSPAN được làm ngập (flood) vào RSPAN VLAN. Ngay cả các Switch không nằm trên đường đi đến một cổng đích, chẳng hạn như S2, nhận được lưu lượng truy cập đến RSPAN VLAN. Bạn có thể làm hiệu quả hơn bằng cách lược bỏ VLAN này trên các liên kết S1-S2 • Nhằm đạt được việc làm ngập dữ liệu, quá trình học tập được vô hiệu hóa trên RSPAN VLAN • Để ngăn ngừa việc lặp dữ liệu, STP được duy trì trên RSPAN VLAN. Vì vậy, RSPAN không thể giám sát các BPDUs. Cấu hình ví dụ RSPAN Những thông tin trong phần này minh hoạ việc cấu hình các thành phần khác nhau với một thiết kế rất đơn giản RSPAN. S1 và S2 là hai Switch Catalyst 6500/6000. Để giám sát một số cổng S1 hoặc các VLANs từ S2, bạn phải thiết lập một đặc trưng RSPAN VLAN. Phần còn lại của các lệnh có cú pháp tương tự như một phiên SPAN tiêu biểu. Hình 2.14 : Giám sát từ xa qua đường trunk Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 47 Đặt đường trunk ISL giữa hai Switch S1 và S2 Để bắt đầu, đặt cùng một tên miềnVLAN Trunk Protocol (VTP) trên mỗi Switch và cấu hình mỗi bên trunking desirable. Đưa ra lệnh trên S1: S1> (enable) set vtp domain cisco VTP domain cisco modified Đưa các lệnh trên S2: S2> (enable) set vtp domain cisco VTP domain cisco modified S2> (enable) set trunk 5/1 desirable Port(s) 5/1 trunk mode set to desirable. S2> (enable) 2000 Sep 12 04:32:44 %PAGP-5-PORTFROMSTP:Port 5/1 left bridge port 5/1 2000 Sep 12 04:32:47 %DTP-5-TRUNKPORTON:Port 5/1 has become isl trunk Tạo RSPAN VLAN Một phiên RSPAN cần một RSPAN VLAN cụ thể . Bạn phải tạo VLAN này. Bạn không thể chuyển đổi một VLAN hiện có thành một RSPAN VLAN. Ví dụ này sử dụng VLAN 100: S2> (enable) set vlan 100 rspan Vlan 100 configuration successful Đưa ra lệnh này trên một Switch được cấu hình như một VTP server. Các thông tin của RSPAN VLAN 100 được tự động quảng bá trong toàn bộ miền VTP. Cấu hình cổng 5/2 của S2 như một cổng đích RSPAN Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 48 S2> (enable) set rspan destination 5/2 100 Rspan Type : Destination Destination : Port 5/2 Rspan Vlan : 100 Admin Source : - Oper Source : - Direction : - Incoming Packets: disabled Learning : enabled Multicast : - Filter : - Status : active 2000 Sep 12 04:34:47 %SYS-5-SPAN_CFGSTATECHG:remote span destination session active for destination port 5/2 Cấu hình một cổng nguồn RSPAN trên S1 Trong ví dụ này, lưu lượng đi vào vào S1 qua cổng 6/2 được giám sát. Phát ra lệnh : S1> (enable) set rspan source 6/2 100 rx Rspan Type : Source Destination : - Rspan Vlan : 100 Admin Source : Port 6/2 Oper Source : Port 6/2 Direction : receive Incoming Packets: - Learning : - Multicast : enabled Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 49 Filter : - Status : active S1> (enable) 2000 Sep 12 05:40:37 %SYS-5-SPAN_CFGSTATECHG:remote span source session active for remote span vlan 100 Tất cả các gói tin đi vào qua cổng 6/2 được đẩy ngập trên RSPAN VLAN 100 và đến cổng đích được cấu hình trên S1 qua đường trunk. Xác thực cấu hình lệnh show rspan để hiển thị cấu hình RSPAN hiện tại trên Switch. Nhắc lại, có duy nhất một phiên RSPAN nguồn tại một thời điểm. S1> (enable) show rspan Rspan Type : Source Destination : - Rspan Vlan : 100 Admin Source : Port 6/2 Oper Source : Port 6/2 Direction : receive Incoming Packets: - Learning : - Multicast : enabled Filter : - Status : active Total remote span sessions: 1 Các cấu hình khác có thể đặt với lệnh set rspan Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 50 Xem phần set rspan để xem các tuỳ chọn của lệnh. Bạn sử dụng một vài dòng lệnh để cấu hình nguồn và đích với RSPAN. Ngoài khác biệt này, SPAN và RSPAN thự sự hoạt động theo cùng một cách. Bạn thậm chí có thể sử dụng RSPAN cục bộ, trên một Switch, nếu bạn muốn có một vài cổng SPAN đích Liệt kê tính năng và giới hạn Bảng này liệt kê các tính năng khác nhau được giới thiệu và cung cấp phiên bản tối thiểu CatOS cần thiết để chạy các tính năng trên một dòng Switch chỉ rõ : Tính năng Catalyst 4500/4000 Catalyst 5500/5000 Catalyst 6500/6000 inpkts enable/disable (tuỳ chọn) 4.4 4.2 5.1 Đa phiên, các cổng ở các VLANs ≠ 5.1 5.1 5.1 sc0 (tuỳ chọn) — 5.1 5.1 multicast enable/disable (tuỳ chọn) — 5.1 5.1 learning enable/disable (tuỳ chọn) 5.2 5.2 5.3 RSPAN 6.3 — 5.3 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 51 Bảng này cung cấp một tóm tắt các hạn chế hiện tại trên một số phiên SPAN có thể xảy ra : Tính năng Catalyst 4500/4000 Phạm vi của các Switch Catalyst 5500/5000 Phạm vi của các Switch Catalyst 6500/6000 Phạm vi của các Switch Rx hoặc cả hai phiên SPAN 5 1 2 Tx SPAN sessions 5 4 4 Mini Protocol Analyzer sessions Không hỗ trợ Không hỗ trợ 1 Rx, Tx, hoặc cả hai phiên RSPAN nguồn 5 không hỗ trợ 1 Supervisor Engine 720 hỗ trợ 2 phiên RSPAN nguồn RSPAN đích 5 không hỗ trợ 24 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 52 Tổng các phiên 5 5 30 2.2.2 SPAN trên các dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750 and 3750-E Series Đây là những nguyên tắc cấu hình tính năng SPAN trên các dòng Switch Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, 3560-E, 3750, and 3750-E Series • Các Switch Catalyst 2950 chỉ có duy nhất một phiên span hoạt động tại một thời điểm và chỉ giám sát duy nhất các cổng nguồn. Các Switch không thể giám sát các VLANs • Dòng Catalyst 2950 và 3550 có thể chuyển tiếp lưu lượng trên một cổng nguồn SPAN ở các phiên bản Cisco IOS 12.1 (13) EA1 và mới hơn. • Dòng Catalyst 3550, 3560, 3750 có thể hỗ trợ tối đa hai phiên SPAN tại một thời điểm và có thể giám sát các cổng nguồn cũng như các VLANs • Các dòng Catalyst 2970, 3560, 3750 không yêu cầu cấu hình của một cổng phản hồi khi bạn cấu hình một phiên RSPAN • Dòng Catalyst 3750 hỗ trợ phiên cấu hình với việc sử dụng các cổng nguồn và đích nằm trên bất kỳ một Switch thành viên của stack • Mỗi một cổng đích cho phép một phiên SPAN, và cùng một cổng không thể là một cổng đích cho nhiều phiên SPAN. Vì vậy, bạn có thể không có hai phiên SPAN sử dụng cùng một cổng đích. Các câu lệnh cấu hình tính năng Span tương tự trên Catalyst 2950 và Catalyst 3550. Tuy nhiên, Catalyst 2950 không thể giám sát VLANs. Bạn có thể cấu hình SPAN, như trong ví dụ này: C2950#configure terminal C2950(config)# C2950(config)#monitor session 1 source interface fastethernet 0/2 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 53 !--- Cấu hình cổng Fast Ethernet 0/2 là cổng nguồn. C2950(config)#monitor session 1 destination interface fastethernet 0/3 !--- Cấu hình cổng Fast Ethernet 0/3 là cổng đích. C2950(config)# C2950#show monitor session 1 Session 1 --------- Source Ports: RX Only: None TX Only: None Both: Fa0/2 Destination Ports: Fa0/3 C2950# Bạn cũng có thể cấu hình một cổng như là một đích cho các SPAN cục bộ và RSPAN cho cùng lưu lượng truy cập một VLAN. Để giám sát lưu lượng truy cập cho một VLAN nằm trên 2 Switch kết nối trực tiếp, cấu hình các lệnh trên Switch có cổng đích. Trong ví dụ này, chúng ta giám sát lưu lượng từ VLAN 5 đi qua hai Switch: c3750(config)#monitor session 1 source vlan c3750(config)#monitor session 1 source vlan 5 c3750(config)#monitor session 1 destination fastethernet 0/3 !--- Cấu hình cổng FastEthernet 0/3 là cổng đích. Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 54 Trên Switch ở xa , sử dụng cấu hình c3750_remote(config)#monitor session 1 source vlan 5 !--- Chỉ rõ VLAN 5 là Vlan được giám sát. c3750_remote(config)#monitor session 1 destination remote vlan <Remote vlan id> Trong ví dụ trước một cổng đã được cấu hình như một cổng đích cho cả hai RSPAN và SPAN cục bộ để giám sát lưu lượng truy cập cho cùng một VLAN có trên cả hai Switch. Lưu ý: Không như dòng 2900XL và 3500XL Series, dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 3560, E-3560, 3750, 3750 và E-Series hỗ trợ SPAN trên lưu lượng truy cập cổng nguồn theo duy nhất chiều Rx ( Rx SPAN hay ingress Span), theo chiều chỉ Tx (Tx Span hay egress SPAN), hoặc cả hai. Lưu ý: Các lệnh trong cấu hình không hỗ trợ trên Catalyst 2950 với Cisco IOS 12.0 (5.2) WC (1) hoặc bất kỳ phiên bản nào trước Cisco IOS 12.1(6) EA2. Tham khảo phần Enabling Switch Port Analyzer của Managing Switches để cấu hình SPAN trên một Catalyst 2950 với phiên bản trước Cisco IOS 12.1 (6) EA2. Lưu ý: Catalyst 2950 sử dụng Cisco IOS 12.1.(9) EA1d và các phiên bản trước trong Cisco IOS 12.1 hướng dẫn hỗ trợ SPAN. Tuy nhiên, tất cả các gói được nhìn thấy trên cổng đích SPAN (kết nối với thiết bị phân tích hoặc PC) có một nhãn IEEE 802.1Q, mặc dù cổng nguồn SPAN(cổng giám sát) có thể không là một cổng trunk 802.1Q. Nếu thiết bị giám sát hoặc card mạng PC (NIC), không hiểu các gói được đánh nhãn 802.1Q, máy phân tích có thể ngắt các gói hoặc gặp khó khăn khi nó cố gắng giải mã các gói. Khả năng các khung được đánh nhãn 802.1Q chỉ khi cổng nguồn SPAN là một cổng trunk. Với Cisco IOS 12.1(11) EA1 và mới hơn, bạn Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 55 có thể kích hoạt và vô hiệu hoá tính năng gắn thẻ của các gói tại cổng đích SPAN. Sử dụng lệnh monitor session session_number destination interface interface_id encapsulation dot1q để kích hoạt mã của gói tại cổng nguồn. Nếu bạn không nêu từ khóa encapsulation , các gói được gửi không đánh nhãn, đó là mặc định trong Cisco IOS 12.1 (11) EA1 và sau đó. Tính năng Catalyst 2950/3550 Ingress (inpkts) enable/disable tuỳ chọn Cisco IOS Software Release 12.1(12c)EA1 RSPAN Cisco IOS Software Release 12.1(12c)EA1 Tính năng Catalyst 29401, 2950, 2955, 2960, 2970, 3550, 3560, 3750 Rx or both SPAN sessions 2 Tx SPAN sessions 2 Rx, Tx, or both RSPAN source sessions 2 RSPAN destination 2 Total sessions 2 1 Catalyst 2940 chỉ hỗ trợ SPAN cục bộ. RSPAN không hỗ trợ trong dòng Switch này. 2.2.3 SPAN trên Catalyst 4500/4000 và Catalyst 6500/6000 Series chạy phần mềm hệ thống Cisco IOS Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 56 Các tính năng SPAN được hỗ trợ trên Catalyst 4500/4000 và Catalyst 6500/6000 Series chạy phần mềm hệ thống Cisco IOS. Cả hai dòng Switch này sử dụng các giao diện lệnh giống nhau (CLI), và cấu hình tương tự Cấu hình ví dụ Bạn có thể cấu hình SPAN, như ví dụ dưới 4507R#configure terminal Enter configuration commands, one per line. End with CNTL/Z. 4507R(config)#monitor session 1 source interface fastethernet 4/2 !--- Cấu hình cổng Fast Ethernet 4/2 là cổng nguồn. 4507R(config)#monitor session 1 destination interface fastethernet 4/3 !--- Cấu hình cổng Fast Ethernet 0/3 là cổng đích. 4507R#show monitor session 1 Session 1 --------- Type : Local Session Source Ports : Both : Fa4/2 Destination Ports : Fa4/3 4507R# Tóm tắt tính năng và giới hạn Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 57 Bảng dưới tóm tắt các tính năng khác nhau đã được giới thiệu và cho biết phiên bản tối thiểu của Cisco IOS cần thiết để chạy các tính năng trên dòng Switch đó. Tính năng Catalyst 4500/4000 (Cisco IOS) Catalyst 6500/6000 (Cisco IOS) Ingress (inpkts) enable/disable tuỳ chọn Cisco IOS Software Release 12.1(19)EW Hiện tại không hỗ trợ1 RSPAN Cisco IOS Software Release 12.1(20)EW Cisco IOS Software Release 12.1(13)E 1 Các tính năng hiện tại không có , và tính khả dụng của các tính năng này thường không được công bố cho đến khi chính thức phát hành Lưu ý: Tính năng SPAN của dòng Switch Cisco Catalyst 6500/6000 Series có một giới hạn đối với việc truy vấn giao thức PIM . Khi một Switch được cấu hình cho cả hai PIM và SPAN, các máy phân tích nối với cổng đích SPAN có thể xem các gói PIM không phải là một phần của cổng