Hay un par de opciones, según la cantidad de tráfico que recibirá:
- Si va a recibir mucho tráfico, debe usar gulp , que se ejecuta en Linux; gulp requiere el módulo de kernel linux pf_ring .
- Si los requisitos de ancho de banda son razonables, simplemente puede usar su computadora portátil con el decodificador ERSPAN de wireshark ; wireshark puede ver los protocolos dentro de los paquetes ERSPAN v2 y v3. Úselo
ip proto 0x2f
como filtro de captura, si solo desea capturar el tráfico ERSPAN. Uso el wirehark para capturar ERSPAN de los puertos de usuario Catalyst6500 cuando necesito rastrear un puerto de forma remota sin acercarme al conmutador con una computadora portátil. Esto funciona bien para los puertos de usuario e incluso para algunos puertos de servidor (siempre que no envíen toneladas de tráfico)
Ejemplo de configuración Cat6500 ERSPAN:
!
monitor session 2 type erspan-source
source interface GigabitEthernet7/22
destination
erspan-id 1
! This is the ip address of gulp, or the wireshark laptop
! If using wireshark, capture with "ip proto 0x2f"
ip address 10.1.1.5
! This is the IP address of the switch sourcing ERSPAN packets
origin ip address 10.21.4.12
no shutdown
Ejemplo de configuración Nexus9000 ERSPAN:
monitor session 1 type erspan-source
erspan-id 1
! Specify the vrf that ERSPAN will use to route to the destination IP
! NOTE: I have not found a way to use "vrf management" on the 9000 series
vrf default
! This is the ip address of gulp, or the wireshark laptop
! If using wireshark, capture with "ip proto 0x2f"
destination ip 10.5.69.226
source interface port-channel1001 both
no shut
! This is the IP address of the switch sourcing ERSPAN packets
monitor erspan origin ip-address 172.16.12.80 global