Mengendus jarak jauh dengan ERSPAN ke desktop


8

Saya tahu cara menggunakan SPAN dan RSPAN. Jika saya tidak salah, ERSPAN membawa kita ke kemungkinan pemantauan router dari jarak jauh melalui jaringan IP dan terowongan GRE. Namun titik akhir terowongan diperlukan.

Pertanyaan saya adalah, apakah mungkin titik akhir terowongan menjadi komputer desktop untuk menerima lalu lintas cermin? Saya kebanyakan mencari solusi OpenSource / Freware, karena saya kira yang eksklusif akan melibatkan VMWare Vswitch atau Nexus1000V.

Dynamips bisa menjadi solusi, tapi saya tidak berpikir ada router yang mendukung ERSPAN.

Saya tahu tentang OpenVswitch , tetapi tidak mendukung ERSPAN.

Jawaban:


9

Ada beberapa opsi, tergantung pada berapa banyak lalu lintas yang akan Anda terima:

  • Jika Anda akan menerima banyak lalu lintas, harus menggunakan tegukan , yang berjalan di linux; tegukan membutuhkan linux pf_ring kernel modul.
  • Jika persyaratan bandwidth masuk akal, Anda cukup menggunakan laptop Anda dengan dekoder ERSPAN wireshark ; wireshark dapat melihat protokol di dalam paket ERSPAN v2 dan v3. Gunakan ip proto 0x2fsebagai filter penangkap Anda, jika Anda hanya ingin menangkap lalu lintas ERSPAN. Saya menggunakan wireshark untuk menangkap ERSPAN dari port pengguna Catalyst6500 ketika saya perlu mengendus port secara jarak jauh tanpa berjalan ke sakelar dengan laptop. Ini berfungsi dengan baik untuk port pengguna dan bahkan beberapa port server (selama mereka tidak mengirimkan banyak lalu lintas)

Contoh konfigurasi Cat6500 ERSPAN:

!
monitor session 2 type erspan-source
 source interface GigabitEthernet7/22
 destination
  erspan-id 1
  ! This is the ip address of gulp, or the wireshark laptop
  !    If using wireshark, capture with "ip proto 0x2f"
  ip address 10.1.1.5
  ! This is the IP address of the switch sourcing ERSPAN packets
  origin ip address 10.21.4.12
 no shutdown

Contoh konfigurasi Nexus9000 ERSPAN:

monitor session 1 type erspan-source
  erspan-id 1
  ! Specify the vrf that ERSPAN will use to route to the destination IP
  !  NOTE: I have not found a way to use "vrf management" on the 9000 series
  vrf default
  ! This is the ip address of gulp, or the wireshark laptop
  !    If using wireshark, capture with "ip proto 0x2f"
  destination ip 10.5.69.226
  source interface port-channel1001 both
  no shut

! This is the IP address of the switch sourcing ERSPAN packets
monitor erspan origin ip-address 172.16.12.80 global

Jadi pada dasarnya tidak perlu "menutup" terowongan GRE. Ini hanya masalah "memformat" lalu lintas yang diterima ... bukan?
radtrentasei

1
@radicetr persentasei ERSPAN menggunakan terowongan GRE searah dan semua tegukan tidak menguraikan lalu lintas menjadi driver NIC virtual linux. Bahkan ketika Anda mengaktifkan keepalives pada tunnel khusus Cisco IOS GRE, paket keepalive berisi respons mereka sendiri, yang harus dialihkan melalui tunnel yang berlawanan kembali ke sumber keepalive.
Mike Pennington

SEBAGAIMANA saya mengerti terowongan GRE antara Cisco dan Linux tidak akan menjadi solusi yang baik untuk mencapai lalu lintas yang datang dari Internet ke titik awal "Cisco"
Ali Mezgani

Apa yang memenuhi syarat sebagai "solusi yang baik" tergantung pada kebutuhan Anda. Untuk beberapa persyaratan, ERSPAN ke sniffer Linux adalah solusi yang bagus
Mike Pennington
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.