Оглавление
- Ограничения платформы Nexus 5500
- Исходные данные
- Кейсы 3.1. Общие данные 3.2. Кейс 1. Внешний трафик только для H1 и H2. 3.3. Кейс 2. Внешний трафик только для H1, но не для H2. 3.4. Кейс 3. Весь трафик в VLAN 101. 3.5. Кейс 4. Весь трафик в транзитном VLAN 101, за исключением хоста H2.
- Особенности работы ERSPAN на данном оборудовании
Ограничения платформы Nexus 5500
Полный список ограничений представлен на сайте производителя и доступен по ссылке.
Для указанных далее кейсов имеют место следующие функциональные ограничения:
- The SPAN session ignores any permit or deny actions specified in the access-list, and spans only the packets that match the access-list filter criteria. При использовании списков доступа (ACL) для фильтрации зеркалируемого трафика, игнорируется действие, указанно в правиле. Даже указав deny для трафика, он будет отзеркалирован. То фактически это модель белого списка – все что не указано в ACL в явном виде не будет зеркалироваться.
- Each source port can be configured with a direction (ingress, egress, or both) to monitor. For VLAN sources, the monitored direction can only be ingress and applies to all physical ports in the group. The RX/TX option is not available for VLAN SPAN sessions. При указании VLAN в качестве источника, зеркалируются пакеты, входящие в L2 порты. То есть если существует SVI порт в этом VLAN, пакеты, попадающие в этот VLAN через SVI и покидающие коммутатор через L2 порты, не будут зеркалироваться.
- Замечено в версии NX-OS 6, в частности на 6 .0(2)N2(2), есть проблема с неправильным расчетом длины инкапсулированного пакета.
На рисунке ниже она должна быть 1564 (bytes captured) – 14 (ethernet header) = 1550 байт, в пакете же выставлено Total length 1518. Это ведет к тому, что пакеты с такой неверной длиной заголовка не обрабатываются в PT NAD.
При обновлении до NXOS 7, данная проблема уходит.
Исходные данные
• SW1 и SW2 это коммутаторы Cisco N5K-C5548UP с NXOS 7.3(8)N1(1);
• Коммутаторы SW1 и SW2 собраны в vPC;
• Порты, используемые на SW1 и SW2 симметричны;
• H1, H2 находятся в VLAN 101. H3 находится в VLAN 102
• В кейсах 1-3 шлюз по умолчанию у хостов H1, H2, H3 находится на коммутаторах SW1 и SW2. В кейсе 4 шлюз находится на R1 и R2;
• В кейсах 1-3 порты Eth 1/15 на SW1 и SW2 маршрутизируемые (L3). В кейсе 4 порты Eth1/15 являются L2.
• IP адрес H1 - 198.18.1.101
Кейсы
Общие данные
Так входящий трафик и исходящей трафик одной и той же сессий может идти через SW1 и SW2 одновременно, необходимо настроить зеркалирование на прием и передачу с обоих SW1 и SW2. NAD сенсор принимает трафик на 2 портах захвата. По умолчанию сенсор объединяет пакеты одной и той же сессии, приходящие на разные порты. В данной конфигурации необходимо следить, чтобы порты Eth1/16 на SW1 и SW2 не были перегружены.
Кейс 1. Внешний трафик только для H1 и H2.
Задача: необходимо снимать трафик от H1 и H2 к внешним ресурсам, таким как EXT-H1.
Решение №1: Необходимо настроить зеркалирование на прием и передачу с обоих SW1 и SW2. В качестве источника взять входящие и исходящие пакеты с портов Eth1/15.
Конфигурация SW1:
interface Ethernet1/15 no switchport ip address 192.168.2.1/24
interface Ethernet1/16 no lldp transmit no cdp enable switchport monitor
monitor session 1 source interface Ethernet1/15 both destination interface Ethernet1/16 no shut
Проверка: ptdemo-switch1# show monitor session all
session 1
state : up
acl-name : acl-name not specified
source intf :
rx : Eth1/15
tx : Eth1/15
both : Eth1/15
source VLANs :
rx :
source VSANs :
rx :
destination ports : Eth1/16
Настройка на SW2 делается аналогично SW1.
Кейс 2. Внешний трафик только для H1, но не для H2.
Задача: необходимо снимать трафик от H1 к внешним узлам, таким как EXT-H1. Трафик H2 не должен попадать на NAD.
Решение №1: Необходимо настроить зеркалирование на прием и передачу с обоих SW1 и SW2. В качестве источника взять входящие и исходящие пакеты с портов Eth1/15.
Для того чтобы получать трафик только от H1, в рамках сессии настраивается список доступа ACL, который оставляет только трафик хоста H1.
Конфигурация SW1:
ip access-list SPAN_H1
10 permit ip 198.18.1.101/32 any
20 permit ip any 198.18.1.101/32
interface Ethernet1/15
no switchport
ip address 192.168.2.1/24
interface Ethernet1/16
no lldp transmit
no cdp enable
switchport monitor
monitor session 1
filter access-group SPAN_H1
source interface Ethernet1/15 both
destination interface Ethernet1/16
no shut
Проверка:
session 1
---------------
type : local
state : up
acl-name : SPAN_H1
source intf :
rx : Eth1/15
tx : Eth1/15
both : Eth1/15
source VLANs :
rx :
source VSANs :
rx :
destination ports : Eth1/16
Настройка на SW2 делается аналогично SW1.
Кейс 3. Весь трафик в VLAN 101.
Задача: необходимо снимать трафик весь трафик VLAN.
Решение №1: Если указать vlan 101 в качестве источника трафика в SPAN сессии, то на данном оборудовании (Cisco Nexus) зеркалируется только трафик, входящий в L2 порты коммутатора.
Это значит, что будут зеркалироваться пакеты: • от хоста H1 и H2 к внешним ресурсам, таким как EXT-H1 • от H1 к H2 • от H2 к H1 • от H1 и H2 к H3.
Не будут зеркалироваться пакеты: • от EXT-H1 к H1 и H2 • от H3 к H1 и H2
То есть любое взаимодействие за пределами vlan 101 будет отображаться с ошибками ASYNC. Чтобы добавить взаимодействие между H1< - > EXT-H1 и между H1 < - > H3 необходимо добавить в качестве источника трафика добавить VLAN 103 и Eth1/15 на прием. Конфигурация SW1:
interface Ethernet1/15
no switchport
ip address 192.168.2.1/24
interface Ethernet1/16
no lldp transmit
no cdp enable
switchport monitor
monitor session 1
source interface Ethernet1/15 rx
source vlan 101-102
destination interface Ethernet1/16
no shut
Проверка:
ptdemo-switch1# show monitor session 1
session 1
---------------
type : local
state : up
acl-name : SPAN_H1
source intf :
rx : Eth1/15
tx :
both :
source VLANs :
rx : 101-102
source VSANs :
rx :
destination ports : Eth1/16
Настройка на SW2 делается аналогично SW1.
Стоит отметить, что в корпоративных сетях количество VLAN значительное, и, если они не добавлены в список зеркалирования, то трафик от H1 к узлам в этих VLAN будет отображаться как односторонний (ASYNC).
Решение №2: Решение отличается от предыдущего тем, что в качестве зеркалирования указывается не vlan, а порты, к которым подключены хосты, то есть порты Eth 1/17. Конфигурация SW1:
interface port-channel17
switchport access vlan 101
spanning-tree port type edge
vpc 17
interface Ethernet1/17
switchport access vlan 101
spanning-tree port type edge
channel-group 17
monitor session 1
source interface port-channel17 both
destination interface Ethernet1/16
no shut
Минус данного решения, что пакеты сессий между узлами внутри VLAN 101 будут дублироваться при зеркалировании, как как все порты в этом VLAN будут зеркалировать как приходящие и исходящие пакеты.
Кейс 4. Весь трафик в транзитном VLAN 101, за исключением хоста H2.
Задача: необходимо снимать трафик весь трафик VLAN. Внешний трафик H2 не должен попадать на NAD. Решение №1:
Если указать vlan 101 в качестве источника трафика в SPAN сессии, то на данном оборудовании (Cisco Nexus) зеркалируется только трафик, входящий в L2 порты коммутатора. Так как порты Eth1/15, Eth 1/17, Eth 1/18 являются коммутируемые (L2), то есть коммутатор транзитный, то зеркалироваться будет весь трафик в этом VLAN.
Это значит, что будут зеркалироваться пакеты: • от хоста H1 и H2 к внешним узлам, таким как EXT-H1 (rx на портах Eth 1/17, Eth1/18) • от внешних узлов, таких как EXT-H1, к хостам H1 и H2 (rx на портах Eth 1/15) • от H1 к H2 (rx на портах Eth 1/17) • от H2 к H1(rx на портах Eth 1/18) • от H1 и H2 к H3 (rx на портах Eth 1/17 и Eth1/18) • от H3 к H1 и H2(rx на портах Eth 1/15)
Для того, чтобы не получать трафик от H2, в рамках SPAN сессии настраивается список доступа ACL, который отфильтровывает ненужный трафик. Список настраивается по модели белого листа.
Конфигурация SW1:
permit ip 198.18.1.128/25 any
permit ip any 198.18.1.128/25
permit ip 198.18.1.0/26 any
permit ip any 198.18.1.0/26
permit ip 198.18.1.64/27 any
permit ip any 198.18.1.64/27
permit ip 198.18.1.112/28 any
permit ip any 198.18.1.112/28
permit ip 198.18.1.104/29 any
permit ip any 198.18.1.104/29
permit ip 198.18.1.96/30 any
permit ip any 198.18.1.96/30
permit ip 198.18.1.100/31 any
permit ip any 198.18.1.100/31
permit ip 198.18.1.103/32 any
permit ip any 198.18.1.103/32
interface Ethernet1/15
switchport
switchport mode trunk
switchport trunk allowed vlan 101,102
interface Ethernet1/16
no lldp transmit
no cdp enable
switchport monitor
monitor session 1
filter access-group SPAN_H1
source vlan 101
destination interface Ethernet1/16
no shut
Проверка:
ptdemo-switch1# show monitor session 1
session 1
---------------
type : local
state : up
acl-name : SPAN_H1
source intf :
rx :
tx :
both :
source VLANs :
rx : 101
source VSANs :
rx :
destination ports : Eth1/16
Настройка на SW2 делается аналогично SW1. Стоит отметить, что в корпоративных сетях количество VLAN значительное, и, если они добавлены в список зеркалирования, то трафик между VLAN, например от H1 к H3, будет дублироваться при поступлении на NAD, так как пакеты будут дважды приходить на порты коммутаторов– вначале на Eth1/17 от H1, далее после маршрутизации на R1 или R2 приходить на Eth1/15.
Как видно использование в ACL только permit действия немасштабируемо и не гибко. Также стоит отметить, что трафик от хостов в VLAN101 к и от H2 будет попадать на NAD все равно. Чтобы исключить весь трафик H2 необходимо использовать сетевые брокеры.
Особенности работы ERSPAN на данном оборудовании
В качестве назначения для зеркалируемого трафика может выступать IP адрес. Исходные пакеты инкапсулируются с использованием протокола ERSPAN и пересылаются через IP сеть на NAD. Настройка ERSPAN на SW1:
interface Ethernet1/16
no lldp transmit
no cdp enable
no switchport
ip address 198.18.100.1/24
monitor session 1 type erspan-source
header-type 3
erspan-id 1
vrf default
destination ip 198.18.100.2
source interface Ethernet1/15 both
no shut
Так как ERSPAN добавляет внешний заголовок к зеркалируемым пакетам, то необходимо увеличить MTU по всей сети на пути от коммутатора до интерфейса захвата на NAD. Необходимо учесть следующие пункты при работе с ERSPAN:
-
коммутаторы Nexus выставляют флаг DF в транспортном(внешнем) заголовке IP ERSPAN пакетов вне зависимости от того стоит ли флаг во внутреннем пакете.
-
Размер пакета после инскасуляции увеличивается на 14 (Ethernet), 20 (IP), GRE (8), 20 (ERSPAN III), что в сумме 62 байта.
-
вне зависимости от размера MTU на выходном интерфейсе пакеты отправляются размером равным сумме исходного пакета плюс инкапсуляция. Дефрагментация не производится.
