Farejamento remoto com o ERSPAN na área de trabalho

8

Eu sei como usar o SPAN e o RSPAN. Se não estou errado, o ERSPAN nos leva à possibilidade de monitorar remotamente um roteador através de uma rede IP e um túnel GRE. No entanto, é necessário um ponto final do túnel.

Minha pergunta é: é possível que o endpoint do túnel seja um computador de mesa para receber o tráfego espelhado? Estou procurando principalmente uma solução OpenSource / Freware, pois acho que uma solução proprietária envolveria o VMWare Vswitch ou o Nexus1000V.

Dynamips pode ser uma solução, mas não acho que nenhum roteador suporte ERSPAN.

Eu sei sobre o OpenVswitch , mas ele não suporta ERSPAN.

radtrentasei
fonte

Respostas:

9

Existem algumas opções, dependendo da quantidade de tráfego que você receberá:

  • Se você vai receber muito tráfego, use gulp , que roda em linux; O gulp requer o módulo do kernel linux pf_ring .
  • Se os requisitos de largura de banda forem razoáveis, você pode simplesmente usar seu laptop com o decodificador ERSPAN da wireshark ; O wireshark pode ver os protocolos nos pacotes ERSPAN v2 e v3. Use ip proto 0x2fcomo seu filtro de captura, se você deseja capturar apenas o tráfego ERSPAN. Eu uso o wireshark para capturar o ERSPAN das portas de usuário do Catalyst6500 quando preciso farejar uma porta remotamente sem caminhar até o switch com um laptop. Isso funciona bem para portas de usuário e até mesmo algumas portas de servidor (desde que elas não enviem muito tráfego)

Exemplo de configuração do Cat6500 ERSPAN:

!
monitor session 2 type erspan-source
 source interface GigabitEthernet7/22
 destination
  erspan-id 1
  ! This is the ip address of gulp, or the wireshark laptop
  !    If using wireshark, capture with "ip proto 0x2f"
  ip address 10.1.1.5
  ! This is the IP address of the switch sourcing ERSPAN packets
  origin ip address 10.21.4.12
 no shutdown

Exemplo de configuração do Nexus9000 ERSPAN:

monitor session 1 type erspan-source
  erspan-id 1
  ! Specify the vrf that ERSPAN will use to route to the destination IP
  !  NOTE: I have not found a way to use "vrf management" on the 9000 series
  vrf default
  ! This is the ip address of gulp, or the wireshark laptop
  !    If using wireshark, capture with "ip proto 0x2f"
  destination ip 10.5.69.226
  source interface port-channel1001 both
  no shut

! This is the IP address of the switch sourcing ERSPAN packets
monitor erspan origin ip-address 172.16.12.80 global
Mike Pennington
fonte
Portanto, essencialmente, não há necessidade de "fechar" o túnel GRE. É apenas uma questão de "formatar" o tráfego recebido ... não é?
Radtrentasei
11
@radicetrentasei O ERSPAN usa um túnel GRE unidirecional e tudo o que o gulp faz é decapsular o tráfego em um driver NIC virtual de linux. Mesmo quando você ativa o keepalives em um túnel típico do Cisco IOS GRE, os pacotes keepalive contêm sua própria resposta, que deve ser roteada pelo túnel oposto de volta à fonte do keepalive.
9118 Mike Pennington
Como eu entendo túnel GRE entre a Cisco e Linux não vai ser uma boa solução para alcançar o tráfego proveniente da Internet para o ponto de início "Cisco"
Ali Mezgani
O que qualifica como "uma boa solução" depende de seus requisitos. Para alguns requisitos ERSPAN a um sniffer Linux é uma boa solução
Mike Pennington