Encapsulated Remote Switched Port Analyzer (ERSPAN)

Encapsulated Remote Switched Port Analyzer (ERSPAN)

 

Cet article a pour but de montrer la procédure à suivre pour configurer l'ERSPAN sur des équipements Nexus 7000.

Il fait suite à l'article sur le SPAN local : Switched Port Analyzer (SPAN) sur Nexus 7000

 

   1- Introduction:

  • ERSPAN permet la surveillance à distance de plusieurs commutateurs.
  • ERSPAN transporte le trafic monitoré provenant des ports sources de différents commutateurs, sur le port de destination où l'analyseur est connecté.
  • ERSPAN se compose d'une session source ERSPAN et une session de destination. le trafic transporté est encapsulé dans un tunnel GRE.

   2-Configurations

Dans cet exemple, la configuration se fait sur deux équipements Nexus 7000 reliés par un câble réseau, mais appartenant à deux sous-réseaux différents.

 

 

 La configuration des équipements se fait de manière séparée.


Nexus 1:

  • Configuration de la session ERSPAN source, numéro de session SPAN 30, de type erspan-source dans laquelle on définit une session ERSPAN dont le numéro est 30 également, mais ce numéro n'est pas obligatoirement le même que celui de la session SPAN à laquelle elle appartient

Nexus-7000_1# configure terminal

Nexus-7000_1(config)# monitor session 30 type erspan-source

Nexus-7000_1(config-erspan-src)# source interface ethernet 4/1 both

Nexus-7000_1(config-erspan-src)# destination ip 172.16.16.2

Nexus-7000_1(config-erspan-src)# erspan-id 30

Nexus-7000_1(config-erspan-src)# vrf default

Nexus-7000_1(config-erspan-src)# no shutdown

Nexus-7000_1(config-erspan-src)# exit

  • Configuration de l'adresse IP ERSPAN source.
 Nexus-7000_1(config)# monitor erspan origin ip-address 192.168.1.1 global

A noter que cette commande ne passe que si on est dans le VDC admin de l'équipement.

  • Configuration de la loopback

Nexus-7000_1(config)# interface loopback 0

Nexus-7000_1(config-if)# ip address 192.168.1.1 255.255.255.255

Nexus-7000_1(config-if)# no shutdown

Nexus-7000_1(config-if)# exit

  • Configuration des interfaces

 

Nexus-7000_1(config)#vlan 16

Nexus-7000_1(config-vlan)#name INTERCO

Nexus-7000_1(config-vlan)#exit

Nexus-7000_1(config)# feature interface-vlan

Nexus-7000_1(config)# interface vlan 16

Nexus-7000_1(config-if)# ip address 172.16.16.1 255.255.255.0

Nexus-7000_1(config-if)# no shut

 

Nexus-7000_1(config-if)# interface ethernet 4/16

Nexus-7000_1(config-if)# switchport

Nexus-7000_1(config-if)# switchport access vlan 16

Nexus-7000_1(config-if)# description vers_Nexus2-port4/32

Nexus-7000_1(config-if)# no shutdown

Nexus-7000_1(config-if)# exit

 

  •   Configuration des routes

Nexus-7000_1(config)# ip route 192.168.2.2 255.255.255.255 172.16.16.2

  •  Test de connectivité depuis le Nexus 1
Nexus-7000_1(config)# ping 172.16.16.1

PING 172.16.16.1 (172.16.16.1): 56 data bytes
64 bytes from 172.16.16.1: icmp_seq=0 ttl=255 time=0.799 ms
64 bytes from 172.16.16.1: icmp_seq=1 ttl=255 time=0.368 ms
64 bytes from 172.16.16.1: icmp_seq=2 ttl=255 time=0.347 ms
64 bytes from 172.16.16.1: icmp_seq=3 ttl=255 time=0.331 ms
64 bytes from 172.16.16.1: icmp_seq=4 ttl=255 time=0.334 ms

--- 172.16.16.1 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.331/0.435/0.799 ms

Nexus-7000_1(config)# ping 172.16.16.2 (si le Nexus 2 a été configuré, voir plus bas)

PING 172.16.16.2 (172.16.16.2): 56 data bytes
Request 0 timed out
64 bytes from 172.16.16.2: icmp_seq=1 ttl=254 time=1.226 ms
64 bytes from 172.16.16.2: icmp_seq=2 ttl=254 time=0.734 ms
64 bytes from 172.16.16.2: icmp_seq=3 ttl=254 time=0.658 ms
64 bytes from 172.16.16.2: icmp_seq=4 ttl=254 time=0.723 ms

--- 172.16.16.2 ping statistics ---
5 packets transmitted, 4 packets received, 20.00% packet loss
round-trip min/avg/max = 0.658/0.835/1.226 ms

 

Nexus-7000_1(config)# ping 192.168.1.1

PING 192.168.1.1 (192.168.1.1): 56 data bytes
64 bytes from 192.168.1.1: icmp_seq=0 ttl=255 time=1.07 ms
64 bytes from 192.168.1.1: icmp_seq=1 ttl=255 time=0.604 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=255 time=0.605 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=255 time=0.629 ms
64 bytes from 192.168.1.1: icmp_seq=4 ttl=255 time=0.602 ms

--- 192.168.1.1 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.602/0.702/1.07 ms

 

Nexus-7000_1(config)# ping 192.168.2.2 (si le Nexus 2 a été configuré, voir plus bas)

PING 192.168.2.2 (192.168.2.2): 56 data bytes
64 bytes from 192.168.2.2: icmp_seq=0 ttl=254 time=1.046 ms
64 bytes from 192.168.2.2: icmp_seq=1 ttl=254 time=0.767 ms
64 bytes from 192.168.2.2: icmp_seq=2 ttl=254 time=0.854 ms
64 bytes from 192.168.2.2: icmp_seq=3 ttl=254 time=0.746 ms
64 bytes from 192.168.2.2: icmp_seq=4 ttl=254 time=0.719 ms

--- 192.168.2.2 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.719/0.826/1.046 ms

 

Nexus 2 :

La configuration du 2eme équipement se fait en suivant les mêmes étapes que celles énumérées pour le Nexus 1.

  • Configuration de la session ERSPAN destination
Nexus-7000_2(config)# monitor session 31 type erspan-destination
Nexus-7000_2(config-erspan-dst)# source ip 172.16.16.1
Nexus-7000_2(config-erspan-dst)# destination interface ethernet 4/31
Nexus-7000_2(config-erspan-dst)# vrf default
Nexus-7000_2(config-erspan-dst)# no shut
Nexus-7000_2(config-erspan-dst)# exit
  • Configuration de la loopback
Nexus-7000_2(config)# interface loopback 0
Nexus-7000_2(config-if)# ip add 192.168.2.2 255.255.255.255
Nexus-7000_2(config-if)# no shut
Nexus-7000_2(config-if)# exit
  • Configuration des interfaces 

Nexus-7000_2(config)# feature interface-vlan
Nexus-7000_2(config)#  vlan 16
Nexus-7000_2(config-vlan)#name INTERCO
Nexus-7000_2(config-vlan)#exit


Nexus-7000_2(config)# interface vlan 16
Nexus-7000_2(config-if)# ip add 172.16.16.2 255.255.255.0
Nexus-7000_2(config-if)# no shutdown
Nexus-7000_2(config-if)# exit

Nexus-7000_2(config)# interface ethernet 4/32
Nexus-7000_2(config-if)# description vers_Nexus1-port4/16
Nexus-7000_2(config-if)# switchport
Nexus-7000_2(config-if)# switchport access vlan 16
Nexus-7000_2(config-if)# no shutdown
Nexus-7000_2(config-if)# exit

 

Nexus-7000_2(config)# interface ethernet 4/31
Nexus-7000_2(config-if)# switchport
Nexus-7000_2(config-if)# switchport monitor 
Nexus-7000_2(config-if)# no shutdown
Nexus-7000_2(config-if)# exit 

  • Configuration des routes 
Nexus-7000_2(config)# ip route 192.168.1.1 255.255.255.255 172.16.16.1
  •  Faire les tests de connectivité décrit plus haut en fin de configuration du NExus 1, si les 2 Nexus sont configurés, toutes les adresses doivent être joignables depuis les 2 équipements.

 

  • Tests du ERSPAN, faire une capture à l'aide d'un logiciel tel que Wireshark

Informations supplémentaires