Reniflement à distance avec ERSPAN sur le bureau

8

Je sais utiliser à la fois SPAN et RSPAN. Si je ne me trompe pas, ERSPAN nous amène à la possibilité de surveiller à distance un routeur via un réseau IP et un tunnel GRE. Cependant, un point final de tunnel est nécessaire.

Ma question est, est-il possible que le point de terminaison du tunnel soit un ordinateur de bureau pour recevoir le trafic en miroir? Je recherche principalement une solution OpenSource / Freware, car je suppose qu'une solution propriétaire impliquerait VMWare Vswitch ou Nexus1000V.

Dynamips pourrait être une solution, mais je ne pense pas que les routeurs prennent en charge ERSPAN.

Je connais OpenVswitch , mais il ne prend pas en charge ERSPAN.

cisco ethernet monitoring cisco-7600 mirror radtrentasei
la source

Réponses:

9

Il existe deux options, selon la quantité de trafic que vous recevrez:

  • Si vous allez recevoir beaucoup de trafic, utilisez gulp , qui fonctionne sous linux; gulp nécessite le module noyau linux pf_ring .
  • Si les exigences de bande passante sont raisonnables, vous pouvez simplement utiliser votre ordinateur portable avec le décodeur ERSPAN de Wireshark ; Wireshark peut voir les protocoles dans les paquets ERSPAN v2 et v3. Utilisez-le ip proto 0x2fcomme filtre de capture, si vous souhaitez capturer uniquement le trafic ERSPAN. J'utilise le wirehark pour capturer ERSPAN à partir des ports utilisateur du Catalyst6500 lorsque j'ai besoin de renifler un port à distance sans marcher jusqu'au commutateur avec un ordinateur portable. Cela fonctionne bien pour les ports utilisateur et même certains ports de serveur (tant qu'ils n'envoient pas des tonnes de trafic)

Exemple de configuration Cat6500 ERSPAN:

!
monitor session 2 type erspan-source
 source interface GigabitEthernet7/22
 destination
  erspan-id 1
  ! This is the ip address of gulp, or the wireshark laptop
  !    If using wireshark, capture with "ip proto 0x2f"
  ip address 10.1.1.5
  ! This is the IP address of the switch sourcing ERSPAN packets
  origin ip address 10.21.4.12
 no shutdown

Exemple de configuration Nexus9000 ERSPAN:

monitor session 1 type erspan-source
  erspan-id 1
  ! Specify the vrf that ERSPAN will use to route to the destination IP
  !  NOTE: I have not found a way to use "vrf management" on the 9000 series
  vrf default
  ! This is the ip address of gulp, or the wireshark laptop
  !    If using wireshark, capture with "ip proto 0x2f"
  destination ip 10.5.69.226
  source interface port-channel1001 both
  no shut

! This is the IP address of the switch sourcing ERSPAN packets
monitor erspan origin ip-address 172.16.12.80 global
Mike Pennington
la source
Il n'est donc pas nécessaire de "fermer" le tunnel GRE. C'est juste une question de "formatage" du trafic reçu ... n'est-ce pas?
radtrentasei
1
@radicetrentasei ERSPAN utilise un tunnel GRE unidirectionnel et tout ce que gulp fait est de décapsuler le trafic dans un pilote de carte réseau virtuelle Linux. Même lorsque vous activez keepalives sur un tunnel GRE Cisco IOS typique, les paquets keepalive contiennent leur propre réponse, qui doit être acheminée via le tunnel opposé vers la source keepalive.
Mike Pennington
COMME je comprends le tunnel GRE entre Cisco et Linux ne sera pas une bonne solution pour atteindre le trafic provenant d'Internet au point de départ "Cisco"
Ali Mezgani
Ce qui constitue une "bonne solution" dépend de vos besoins. Pour certaines exigences, ERSPAN vers un sniffer Linux est une bonne solution
Mike Pennington