Configuration Guidelines cho Local SPAN, RSPAN , VSPAN :
- Cần phải có một chương trình Network Analyzer gắn vào destination port để monitor
- Có thể cấu hình layer 2 port hay layer 3 port là source port hay destination port đều được
- Với IOS 12.1(13) E Destination port có thể là trunk port để capture tagged traffic . Đối với các phiên bản IOS trước đó nếu cấu hình destination port là Trunk port thì SPAN có thể làm kết nối trunking ngừng hoạt động
- Nếu 1 port được chỉ định là destination port cho một SPAN session thì nó luôn là destination port cho session đó.Port này không thể làm destination port cho 1 SPAN session khác .
- Một port khi đã cấu hình destination port rồi thì không thể nào làm source port được . Tức là nó không thể bị một destination port nào khác theo dõi .
- Một port có thể vừa làm source port cho session này , vừa làm source port cho session khác . Nghĩa là một port có thể làm nhiều source port cho multiple SPAN session .
- Etherchannel port có thể được cấu hình làm source port được . Với phiên bản IOS 12.1(13) E trở về sau , bạn không thể cấu hình active member port của Etherchannel là source port . Chỉ có thể cấu hình source port trên các inactive member của Etherchannel nhưng sau khi cấu hình chúng được đưa vào trạng thái suspend và không mang traffic . Các phiên bản IOS trước , nếu cấu hình member port của Etherchannel làm Source port thì nó sẽ ở trạng thái suspend và không mang traffic .
- Etherchannel port không thể làm destination port .
- Không thể gán source port và Source Vlan và trong một session duy nhất .
- Nếu bạn chỉ ra source port là nhiều port khác nhau , thì các port này có thể nằm ở các Vlan khác nhau .
- Không tồn tại đồng thời source vlan và Vlan filter cùng nằm trong một session .
- Khi bạn chỉ định source port mà không chỉ định hướng của traffic là ingress , egress , hay both thì mặc định both sẽ được dùng là hướng của traffic trên source port .
- Destination port sẽ không tham gia vào một tiến trình STP nào . Local SPAN cho phép theo dõi BPDUs của source port . RSPAN không hỗ trợ monitor BPDU traffic .
- VSPAN chỉ có thể monitor được các traffic đi vào ra ở các layer 2 port mà thôi .
- Khi cấu hình RSPAN thì phải cấu hình trên cả source , các thiết bị trung gian và cả destination . Đối với RSPAN vlan được cấu hình với vlan number nằm trong khoảng từ 1 – 1024 thì RSPAN vlan sẽ được VTP quảng bá trên toàn bộ VTP domain . Nếu ta cấu hình RSPAN vlan với vlan number lớn hơn 1024 thì phải cấu hình manual RSPAN vlan trên toàn bộ switch từ source đến destination .
- Nếu cấu hình VTP và VTP pruning thì RSPAN vlan sẽ bị prun ra khỏi đường trunk để tránh traffic của RSPAN vlan flood trên toàn bộ network .
- RSPAN vlan chỉ có thể được sử dụng cho RSPAN traffic .
- Không gán access port cho RSPAN vlan . RSPAN vlan sẽ đưa các access port nằm trong SPAN Vlan vào trạng thái Suspend .
- MAC address learning bị disable trên RSPAN vlan .
- RSPAN không hỗ trợ BPDU monitoring .
- Khônng cấu hình RSPAN vlan là source trong VSPAN session .
- Có thể cấu hình bất kì vlan nào trở thành RSPAN vlan miễn là tất cả các thiết bị trong mạng hỗ trợ cấu hình RSPAN . Sử dụng một RSPAN duy nhất cho một Session RSPAN .
- Để xóa cấu hình của SPAN phải dùng lệnh : “no monitor session “
Tham khảo ở Catalyst 6500 configuration Guide .
Các ý kiến góp ý bổ sung xin gửi về : hoanglenhan@vnpro.org
Cảm ơn !

Catalyst switch sử dụng đặc tính SPAN ( switch port analyzer ) để giám sát traffic vào ra một port hay một vlan . Khi có một packet vào hay ra một source port ( source vlan ) thì packet này sẽ được copy thêm 1 bản nữa và gửi cho destination port để mình giám sát .
SPAN được chia ra làm các loại sau :
- Local Span : Cả source port và destination port đều nằm trên một switch . Source port là một port hay nhiều port trên switch đó .
- Vlan-Based Span (VSPAN) : Source port không chỉ là một port vật lí duy nhất nữa , nó có thể là toàn bộ một vlan làm source . ( đây là một dạng của local Span )
- Remote Span ( RSPAN) : SPAN source và destination nằm trên các switch khác nhau . Bản copy của packet sẽ được gửi cho một vlan đặc biệt chạy trên kết nối trunk và gửi về cho destination .

Local Span và VSPAN : đối với Local Span thì cả source port , source vlan và destination port đều nằm trên một switch . Packet sẽ được copy từ một hay nhiều port trong một vlan ; hoặc từ một hay nhiều vlan cho port destination ( port mình cài thiết bị giám sát ) . Vd :

http://www.sendmepic.com//out.php/i22430_Clip9.jpg (http://www.sendmepic.com)

Traffic từ port 5 được đánh dấu là source port , mỗi khi có traffic ra hay vào port này thì tương ứng sẽ có 1 bản copy của packet đó được gửi về cho destination port là port 10 . Trên port 10 ta gắn 1 PC có cài chương trình Network analyzer ( như Etherreal , Solarwind ,…) . Như vậy muốn theo dõi traffic trên một port nào đó , ta không cần phải gắn Network analyzer trực tiếp vào port đó để theo dõi . Thay vào đó ta sẽ cấu hình span để theo dõi các source port mà ta muốn .
Nếu xảy ra hiện tượng speed mismatch giữa source port và destination port thì việc giám sát cũng có vấn đề . Ví dụ : source port là Gbic Ethernet port , destination port là Fast Ethernet port thì sẽ xảy ra hiện tượng traffic đổ dồn về destination port quá nhiều , làm cho dest port bị quá tải . Lúc đó , traffic sẽ được đưa vào hàng đợi của Dest port . Nếu hàng đợi của Dest port bị đầy thì các traffic đến sau sẽ bị drop . Do đó destination port sẽ không giám sát được các traffic bị drop này .

RSPAN :RSPAN hỗ trợ source port , source vlan , destination port nằm trên các switch khác nhau . Nó cho phép chúng ta có thể giám sát traffic từ xa trên toàn bộ switch network . Traffic khi đi từ source đến dest sẽ được mang trên một vlan đặc biệt gọi là RSPAN Vlan . RSPAN Vlan này không quan tâm đến các traffic khác , chỉ quan tâm đến “interesting traffic “ của source RSPAN và destination RSPAN mà thôi . Do đó tính năng MAC address learning trên RSPAN vlan bị disable .

http://www.sendmepic.com//out.php/i22431_Clip10.jpg (http://www.sendmepic.com)

Catalyst A
vlan 999
remote-span
monitor session 1 source interface fastethernet 1/1 both
monitor session 1 destination remote vlan 999
__________________________________________________ ____
Catalyst B
vlan 999
remote-span
__________________________________________________ ____
Catalyst C
vlan 999
remote-span
monitor session 1 source remote vlan 999
monitor session 1 destination interface fastethernet 4/48

Trong cấu hình trên , ta thấy rằng Remote-span vlan được gán vào vlan 999 . Mỗi switch trung gian trên đường đi từ source đến destination đều phải định nghĩa remote-span vlan nhằm vận chuyển traffic cần theo dõi đến đúng đích . Source RSPAN là ở catalyst A , ta cấu hình source port f1/1 sẽ copy traffic vào ra trên nó cho remote vlan 999 . Trên catalyst trung gian B ta chỉ cần khai báo rằng vlan 999 là remote-span vlan , có nhiệm vụ vận chuyển “interesting traffic” đến đúng đích . Ở destination RSPAN , catalyst C sẽ cấu hình sao cho port f4/48 sẽ lấy các thông tin “interesting traffic” từ Vlan 999 xuống . Như vậy vlan 999 ở đây đóng vai trò như một “chiếc cầu “ nối giứa sourse RSPAN và destination RSPAN .
Các ý kiến góp ý bổ sung xin gửi về : hoanglenhan@vnpro.org
Cảm ơn !

Chào bạn!

-Bài viết của bạn khá đầy đủ về SPAN và RSPAN.
-Nhưng tôi có 1 câu hỏi trong phần cấu hình RSPAN : đó là reflector-port có chức năng và có vai trò gì trong câu lệnh monitor session x destination remote vlan xxx reflector-port xxx . Trong cấu hình bạn minh họa thì không có option này nhưng tôi đã làm wa lab này trên SW3550 và SW2950 và reflector-port là 1 option bắt buộc trong câu lệnh monitor session x destination remote vlan xxx.
-Mong câu trả lời của bạn.

Cám ơn nhiều....

reflector port là một dạng loopback port trong cấu hình switch. Lúc này port reflector không còn là port switch bình thường nữa.

Xem thông tin ở đây:

http://www.groupstudy.com/archives/ccielab/200307/msg00414.html