Detección remota con ERSPAN en el escritorio

8

Sé cómo usar SPAN y RSPAN. Si no me equivoco, ERSPAN nos lleva a la posibilidad de monitorear remotamente un enrutador a través de una red IP y un túnel GRE. Sin embargo, se necesita un punto final del túnel.

Mi pregunta es, ¿es posible que el punto final del túnel sea una computadora de escritorio para recibir el tráfico reflejado? Principalmente estoy buscando una solución OpenSource / Freware, ya que supongo que una patentada involucraría VMWare Vswitch o Nexus1000V.

Dynamips podría ser una solución, pero no creo que ningún enrutador sea compatible con ERSPAN.

Sé sobre OpenVswitch , pero no es compatible con ERSPAN.

cisco ethernet monitoring cisco-7600 mirror radtrentasei
fuente

Respuestas:

9

Hay un par de opciones, según la cantidad de tráfico que recibirá:

  • Si va a recibir mucho tráfico, debe usar gulp , que se ejecuta en Linux; gulp requiere el módulo de kernel linux pf_ring .
  • Si los requisitos de ancho de banda son razonables, simplemente puede usar su computadora portátil con el decodificador ERSPAN de wireshark ; wireshark puede ver los protocolos dentro de los paquetes ERSPAN v2 y v3. Úselo ip proto 0x2fcomo filtro de captura, si solo desea capturar el tráfico ERSPAN. Uso el wirehark para capturar ERSPAN de los puertos de usuario Catalyst6500 cuando necesito rastrear un puerto de forma remota sin acercarme al conmutador con una computadora portátil. Esto funciona bien para los puertos de usuario e incluso para algunos puertos de servidor (siempre que no envíen toneladas de tráfico)

Ejemplo de configuración Cat6500 ERSPAN:

!
monitor session 2 type erspan-source
 source interface GigabitEthernet7/22
 destination
  erspan-id 1
  ! This is the ip address of gulp, or the wireshark laptop
  !    If using wireshark, capture with "ip proto 0x2f"
  ip address 10.1.1.5
  ! This is the IP address of the switch sourcing ERSPAN packets
  origin ip address 10.21.4.12
 no shutdown

Ejemplo de configuración Nexus9000 ERSPAN:

monitor session 1 type erspan-source
  erspan-id 1
  ! Specify the vrf that ERSPAN will use to route to the destination IP
  !  NOTE: I have not found a way to use "vrf management" on the 9000 series
  vrf default
  ! This is the ip address of gulp, or the wireshark laptop
  !    If using wireshark, capture with "ip proto 0x2f"
  destination ip 10.5.69.226
  source interface port-channel1001 both
  no shut

! This is the IP address of the switch sourcing ERSPAN packets
monitor erspan origin ip-address 172.16.12.80 global
Mike Pennington
fuente
Así que esencialmente no hay necesidad de "cerrar" el túnel GRE. Es solo una cuestión de "formatear" el tráfico recibido ... ¿no?
radtrentasei
1
@radicetrentasei ERSPAN utiliza un túnel GRE unidireccional y todo lo que hace es decapsular el tráfico en un controlador NIC virtual de Linux. Incluso cuando habilita keepalives en un túnel típico Cisco IOS GRE, los paquetes keepalive contienen su propia respuesta, que debe enrutarse a través del túnel opuesto de regreso a la fuente keepalive.
Mike Pennington
Según tengo entendido, el túnel GRE entre Cisco y Linux no será una buena solución para lograr el tráfico que viene de Internet al punto de inicio "Cisco"
Ali Mezgani
Lo que califica como "una buena solución" depende de sus requisitos. Para algunos requisitos, ERSPAN para un sniffer de Linux es una buena solución
Mike Pennington,