Đánh hơi từ xa với ERSPAN trên máy tính để bàn

8

Tôi biết cách sử dụng cả SPAN và RSPAN. Nếu tôi không sai, ERSPAN dẫn chúng ta đến khả năng giám sát bộ định tuyến từ xa thông qua mạng IP và đường hầm GRE. Tuy nhiên, một điểm cuối đường hầm là cần thiết.

Câu hỏi của tôi là, điểm cuối đường hầm có thể là một máy tính để bàn để nhận lưu lượng được nhân đôi không? Tôi chủ yếu tìm kiếm một giải pháp OpenSource / Freware, vì tôi đoán một giải pháp độc quyền sẽ liên quan đến VMWare Vswitch hoặc Nexus1000V.

Động lực học có thể là một giải pháp, nhưng tôi không nghĩ rằng bất kỳ bộ định tuyến nào hỗ trợ ERSPAN.

Tôi biết về OpenVswitch , nhưng nó không hỗ trợ ERSPAN.

cisco  ethernet  monitoring  cisco-7600  mirror 
radtrentasei
nguồn

Câu trả lời:

9

Có một số tùy chọn, tùy thuộc vào lượng lưu lượng truy cập bạn sẽ nhận được:

  • Nếu bạn sẽ nhận được nhiều lưu lượng truy cập, nên sử dụng gulp , chạy trên linux; gulp yêu cầu mô-đun hạt nhân linux pf_ring .
  • Nếu các yêu cầu về băng thông là hợp lý, bạn chỉ cần sử dụng máy tính xách tay của mình với bộ giải mã ERSPAN của wireshark ; wireshark có thể thấy các giao thức bên trong các gói ERSPAN v2 và v3. Sử dụng ip proto 0x2flàm bộ lọc chụp của bạn, nếu bạn chỉ muốn chụp lưu lượng ERSPAN. Tôi sử dụng dây dẫn để chụp ERSPAN từ các cổng người dùng Catalyst6500 khi tôi cần đánh hơi từ xa một cổng mà không cần đi tới công tắc bằng máy tính xách tay. Điều này hoạt động tốt cho các cổng người dùng và thậm chí một số cổng máy chủ (miễn là họ không gửi hàng tấn lưu lượng truy cập)

Ví dụ cấu hình Cat6500 ERSPAN:

!
monitor session 2 type erspan-source
 source interface GigabitEthernet7/22
 destination
  erspan-id 1
  ! This is the ip address of gulp, or the wireshark laptop
  !    If using wireshark, capture with "ip proto 0x2f"
  ip address 10.1.1.5
  ! This is the IP address of the switch sourcing ERSPAN packets
  origin ip address 10.21.4.12
 no shutdown

Ví dụ cấu hình Nexus9000 ERSPAN:

monitor session 1 type erspan-source
  erspan-id 1
  ! Specify the vrf that ERSPAN will use to route to the destination IP
  !  NOTE: I have not found a way to use "vrf management" on the 9000 series
  vrf default
  ! This is the ip address of gulp, or the wireshark laptop
  !    If using wireshark, capture with "ip proto 0x2f"
  destination ip 10.5.69.226
  source interface port-channel1001 both
  no shut

! This is the IP address of the switch sourcing ERSPAN packets
monitor erspan origin ip-address 172.16.12.80 global
Mike Pennington
nguồn
Vì vậy, về cơ bản không cần phải "đóng" đường hầm GRE. Đó chỉ là vấn đề "định dạng" lưu lượng nhận được ... phải không?
radtrentasei
1
@radicetrentasei ERSPAN sử dụng một đường hầm GRE đơn hướng và tất cả các thao tác thực hiện là giải mã lưu lượng truy cập vào trình điều khiển NIC ảo linux. Ngay cả khi bạn kích hoạt tính năng bảo vệ trên đường hầm Cisco IOS GRE thông thường, các gói bảo mật chứa phản hồi của chính chúng, sẽ được chuyển qua đường hầm đối diện trở về nguồn giữ.
Mike Pennington
NHƯ Tôi hiểu đường hầm GRE giữa Cisco và Linux sẽ không phải là một giải pháp tốt để đạt được lưu lượng truy cập từ Internet đến điểm bắt đầu "Cisco"
Ali Mezgani
Những gì đủ điều kiện là "một giải pháp tốt" phụ thuộc vào yêu cầu của bạn. Đối với một số yêu cầu, ERSPAN đối với trình thám thính Linux là một giải pháp tốt
Mike Pennington
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.