デスクトップへのERSPANによるリモートスニッフィング

8

SPANとRSPANの両方を使用する方法を知っています。私が間違っていない場合、ERSPANは、IPネットワークとGREトンネルを介してリモートでルーターを監視する可能性を導きます。ただし、トンネルのエンドポイントが必要です。

私の質問は、トンネルエンドポイントをミラーリングされたトラフィックを受信するデスクトップコンピューターにすることは可能ですか?専有のソリューションにはVMWare VswitchまたはNexus1000Vが含まれると思いますので、私は主にオープンソース/フリーウェアソリューションを探しています。

Dynamipsが解決策になるかもしれませんが、ルーターがERSPANをサポートしているとは思いません。

OpenVswitchについては知っていますが、ERSPANはサポートしていません。

cisco  ethernet  monitoring  cisco-7600  mirror 
Radtrentasei
ソース

回答:

9

受信するトラフィックの量に応じて、いくつかのオプションがあります。

  • 大量のトラフィックを受信する場合は、Linuxで実行されるgulpを使用してください。一息は Linuxの必要がpf_ringカーネルモジュール。
  • 帯域幅の要件が妥当である場合は、ラップトップをWiresharkのERSPANデコーダーと一緒に使用するだけです。Wiresharkは、ERSPAN v2およびv3パケット内のプロトコルを確認できます。ip proto 0x2fERSPANトラフィックのみをキャプチャする場合は、キャプチャフィルタとして使用します。ラップトップでスイッチに近づくことなくポートをリモートでスニッフィングする必要がある場合、wiresharkを使用してCatalyst6500ユーザーポートからERSPANをキャプチャします。これは、ユーザーポートだけでなく、一部のサーバーポートでも機能します(大量のトラフィックを送信しない限り)。

Cat6500 ERSPAN構成の例:

!
monitor session 2 type erspan-source
 source interface GigabitEthernet7/22
 destination
  erspan-id 1
  ! This is the ip address of gulp, or the wireshark laptop
  !    If using wireshark, capture with "ip proto 0x2f"
  ip address 10.1.1.5
  ! This is the IP address of the switch sourcing ERSPAN packets
  origin ip address 10.21.4.12
 no shutdown

Nexus9000 ERSPAN構成の例:

monitor session 1 type erspan-source
  erspan-id 1
  ! Specify the vrf that ERSPAN will use to route to the destination IP
  !  NOTE: I have not found a way to use "vrf management" on the 9000 series
  vrf default
  ! This is the ip address of gulp, or the wireshark laptop
  !    If using wireshark, capture with "ip proto 0x2f"
  destination ip 10.5.69.226
  source interface port-channel1001 both
  no shut

! This is the IP address of the switch sourcing ERSPAN packets
monitor erspan origin ip-address 172.16.12.80 global
マイク・ペニントン
ソース
したがって、本質的にGREトンネルを「閉じる」必要はありません。それは単に受信したトラフィックを「フォーマット」することの問題です...それではありませんか?
radtrentasei 2013
1
@radicetrentasei ERSPANは単方向GREトンネルを使用し、gulpが行うことはすべて、トラフィックをLinux仮想NICドライバーにカプセル化解除することです。一般的なCisco IOS GREトンネルでキープアライブを有効にした場合でも、キープアライブパケットには独自の応答が含まれています。これは、反対のトンネルを介してキープアライブソースにルーティングする必要があります。
マイクペニントン
私はシスコとLinux間のGREトンネルを理解し、開始点「シスコ」へのインターネットからのトラフィックを達成するための良い解決策ではありません
アリMezgani
「良い解決策」となるものは、要件によって異なります。一部の要件については、LinuxスニファーへのERSPANが適切なソリューションです
Mike Pennington
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.