Configuration Guidelines cho Local SPAN, RSPAN , VSPAN : - Cần phải có một chương trình Network Analyzer gắn vào destination port để monitor - Có thể cấu hình layer 2 port hay layer 3 port là source port hay destination port đều được - Với IOS 12.1(13) E Destination port có thể là trunk port để capture tagged traffic . Đối với các phiên bản IOS trước đó nếu cấu hình destination port là Trunk port thì SPAN có thể làm kết nối trunking ngừng hoạt động - Nếu 1 port được chỉ định là destination port cho một SPAN session thì nó luôn là destination port cho session đó.Port này không thể làm destination port cho 1 SPAN session khác . - Một port khi đã cấu hình destination port rồi thì không thể nào làm source port được . Tức là nó không thể bị một destination port nào khác theo dõi . - Một port có thể vừa làm source port cho session này , vừa làm source port cho session khác . Nghĩa là một port có thể làm nhiều source port cho multiple SPAN session . - Etherchannel port có thể được cấu hình làm source port được . Với phiên bản IOS 12.1(13) E trở về sau , bạn không thể cấu hình active member port của Etherchannel là source port . Chỉ có thể cấu hình source port trên các inactive member của Etherchannel nhưng sau khi cấu hình chúng được đưa vào trạng thái suspend và không mang traffic . Các phiên bản IOS trước , nếu cấu hình member port của Etherchannel làm Source port thì nó sẽ ở trạng thái suspend và không mang traffic . - Etherchannel port không thể làm destination port . - Không thể gán source port và Source Vlan và trong một session duy nhất . - Nếu bạn chỉ ra source port là nhiều port khác nhau , thì các port này có thể nằm ở các Vlan khác nhau . - Không tồn tại đồng thời source vlan và Vlan filter cùng nằm trong một session . - Khi bạn chỉ định source port mà không chỉ định hướng của traffic là ingress , egress , hay both thì mặc định both sẽ được dùng là hướng của traffic trên source port . - Destination port sẽ không tham gia vào một tiến trình STP nào . Local SPAN cho phép theo dõi BPDUs của source port . RSPAN không hỗ trợ monitor BPDU traffic . - VSPAN chỉ có thể monitor được các traffic đi vào ra ở các layer 2 port mà thôi . - Khi cấu hình RSPAN thì phải cấu hình trên cả source , các thiết bị trung gian và cả destination . Đối với RSPAN vlan được cấu hình với vlan number nằm trong khoảng từ 1 – 1024 thì RSPAN vlan sẽ được VTP quảng bá trên toàn bộ VTP domain . Nếu ta cấu hình RSPAN vlan với vlan number lớn hơn 1024 thì phải cấu hình manual RSPAN vlan trên toàn bộ switch từ source đến destination . - Nếu cấu hình VTP và VTP pruning thì RSPAN vlan sẽ bị prun ra khỏi đường trunk để tránh traffic của RSPAN vlan flood trên toàn bộ network . - RSPAN vlan chỉ có thể được sử dụng cho RSPAN traffic . - Không gán access port cho RSPAN vlan . RSPAN vlan sẽ đưa các access port nằm trong SPAN Vlan vào trạng thái Suspend . - MAC address learning bị disable trên RSPAN vlan . - RSPAN không hỗ trợ BPDU monitoring . - Khônng cấu hình RSPAN vlan là source trong VSPAN session . - Có thể cấu hình bất kì vlan nào trở thành RSPAN vlan miễn là tất cả các thiết bị trong mạng hỗ trợ cấu hình RSPAN . Sử dụng một RSPAN duy nhất cho một Session RSPAN . - Để xóa cấu hình của SPAN phải dùng lệnh : “no monitor session “ Tham khảo ở Catalyst 6500 configuration Guide . Catalyst switch sử dụng đặc tính SPAN ( switch port analyzer ) để giám sát traffic vào ra một port hay một vlan . Khi có một packet vào hay ra một source port ( source vlan ) thì packet này sẽ được copy thêm 1 bản nữa và gửi cho destination port để mình giám sát . SPAN được chia ra làm các loại sau : - Local Span : Cả source port và destination port đều nằm trên một switch . Source port là một port hay nhiều port trên switch đó . - Vlan-Based Span (VSPAN) : Source port không chỉ là một port vật lí duy nhất nữa , nó có thể là toàn bộ một vlan làm source . ( đây là một dạng của local Span ) - Remote Span ( RSPAN) : SPAN source và destination nằm trên các switch khác nhau . Bản copy của packet sẽ được gửi cho một vlan đặc biệt chạy trên kết nối trunk và gửi về cho destination . Local Span và VSPAN : đối với Local Span thì cả source port , source vlan và destination port đều nằm trên một switch . Packet sẽ được copy từ một hay nhiều port trong một vlan ; hoặc từ một hay nhiều vlan cho port destination ( port mình cài thiết bị giám sát ) . Vd : Traffic từ port 5 được đánh dấu là source port , mỗi khi có traffic ra hay vào port này thì tương ứng sẽ có 1 bản copy của packet đó được gửi về cho destination port là port 10 . Trên port 10 ta gắn 1 PC có cài chương trình Network analyzer ( như Etherreal , Solarwind ,…) . Như vậy muốn theo dõi traffic trên một port nào đó , ta không cần phải gắn Network analyzer trực tiếp vào port đó để theo dõi . Thay vào đó ta sẽ cấu hình span để theo dõi các source port mà ta muốn . Nếu xảy ra hiện tượng speed mismatch giữa source port và destination port thì việc giám sát cũng có vấn đề . Ví dụ : source port là Gbic Ethernet port , destination port là Fast Ethernet port thì sẽ xảy ra hiện tượng traffic đổ dồn về destination port quá nhiều , làm cho dest port bị quá tải . Lúc đó , traffic sẽ được đưa vào hàng đợi của Dest port . Nếu hàng đợi của Dest port bị đầy thì các traffic đến sau sẽ bị drop . Do đó destination port sẽ không giám sát được các traffic bị drop này . RSPAN :RSPAN hỗ trợ source port , source vlan , destination port nằm trên các switch khác nhau . Nó cho phép chúng ta có thể giám sát traffic từ xa trên toàn bộ switch network . Traffic khi đi từ source đến dest sẽ được mang trên một vlan đặc biệt gọi là RSPAN Vlan . RSPAN Vlan này không quan tâm đến các traffic khác , chỉ quan tâm đến “interesting traffic “ của source RSPAN và destination RSPAN mà thôi . Do đó tính năng MAC address learning trên RSPAN vlan bị disable . Catalyst A vlan 999 remote-span monitor session 1 source interface fastethernet 1/1 both monitor session 1 destination remote vlan 999 __________________________________________________ ____ Catalyst B vlan 999 remote-span __________________________________________________ ____ Catalyst C vlan 999 remote-span monitor session 1 source remote vlan 999 monitor session 1 destination interface fastethernet 4/48 Trong cấu hình trên , ta thấy rằng Remote-span vlan được gán vào vlan 999 . Mỗi switch trung gian trên đường đi từ source đến destination đều phải định nghĩa remote-span vlan nhằm vận chuyển traffic cần theo dõi đến đúng đích . Source RSPAN là ở catalyst A , ta cấu hình source port f1/1 sẽ copy traffic vào ra trên nó cho remote vlan 999 . Trên catalyst trung gian B ta chỉ cần khai báo rằng vlan 999 là remote-span vlan , có nhiệm vụ vận chuyển “interesting traffic” đến đúng đích . Ở destination RSPAN , catalyst C sẽ cấu hình sao cho port f4/48 sẽ lấy các thông tin “interesting traffic” từ Vlan 999 xuống . Như vậy vlan 999 ở đây đóng vai trò như một “chiếc cầu “ nối giứa sourse RSPAN và destination RSPAN . . Etherchannel port có thể được cấu hình làm source port được . Với phiên bản IOS 12.1(13) E trở về sau , bạn không thể cấu hình active member port của Etherchannel là source port . Chỉ có thể cấu hình. vào destination port để monitor - Có thể cấu hình layer 2 port hay layer 3 port là source port hay destination port đều được - Với IOS 12.1(13) E Destination port có thể là trunk port để capture. Span : Cả source port và destination port đều nằm trên một switch . Source port là một port hay nhiều port trên switch đó . - Vlan-Based Span (VSPAN) : Source port không chỉ là một port vật lí duy