我知道如何使用 SPAN 和 RSPAN。如果我没记错的话,ERSPAN 使我们有可能通过 IP 网络和 GRE 隧道远程监控路由器。然而,需要一个隧道端点。
我的问题是,隧道端点是否有可能成为接收镜像流量的台式计算机?我主要是在寻找开源/Freware 解决方案,因为我猜专有解决方案会涉及 VMWare Vswitch 或 Nexus1000V。
Dynamips 可能是一个解决方案,但我认为没有任何路由器支持 ERSPAN。
我知道OpenVswitch,但它不支持 ERSPAN。
使用 ERSPAN 远程嗅探桌面
网络工程
思科
以太网
监控
cisco-7600
镜子
2021-07-27 22:39:19
1个回答
有几种选择,具体取决于您将收到多少流量:
- 如果你要获得大量的流量,应该使用一饮而尽,这在Linux上运行; 一饮而尽需要在Linux PF_RING内核模块。
- 如果带宽要求合理,您可以简单地使用带有wireshark ERSPAN 解码器的笔记本电脑;wireshark 可以看到ERSPAN v2 和 v3 数据包中的协议。
ip proto 0x2f如果您只想捕获 ERSPAN 流量,请用作您的捕获过滤器。当我需要远程嗅探端口时,我使用wireshark从 Catalyst6500 用户端口捕获ERSPAN,而无需带着笔记本电脑走到交换机。这适用于用户端口甚至某些服务器端口(只要它们不发送大量流量)
Cat6500 ERSPAN 配置示例:
!
monitor session 2 type erspan-source
source interface GigabitEthernet7/22
destination
erspan-id 1
! This is the ip address of gulp, or the wireshark laptop
! If using wireshark, capture with "ip proto 0x2f"
ip address 10.1.1.5
! This is the IP address of the switch sourcing ERSPAN packets
origin ip address 10.21.4.12
no shutdown
Nexus9000 ERSPAN 配置示例:
monitor session 1 type erspan-source
erspan-id 1
! Specify the vrf that ERSPAN will use to route to the destination IP
! NOTE: I have not found a way to use "vrf management" on the 9000 series
vrf default
! This is the ip address of gulp, or the wireshark laptop
! If using wireshark, capture with "ip proto 0x2f"
destination ip 10.5.69.226
source interface port-channel1001 both
no shut
! This is the IP address of the switch sourcing ERSPAN packets
monitor erspan origin ip-address 172.16.12.80 global
其它你可能感兴趣的问题