Introduction

Este documento descreve como configurar um Analisador de Portas Comutadas (SPAN - Switched Port Analyzer) local rápida e facilmente em um Roteador de Serviços de Agregação (ASR - Aggregation Services Router) 1000. Esse tipo de SPAN é chamado de SPAN remoto encapsulado local (ERSPAN).

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no roteador ASR1002 que executa o 3.4.6S.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informações de Apoio

Há muitos botões que podem ser ajustados, que podem ser vistos em detalhes no Guia de Configuração de LAN Switching, Cisco IOS XE Release 3S.

Configurar

Diagrama de Rede

O tráfego entra e sai de G0/0/0. O aplicativo sniffer está em G0/0/2.

G0/0/0 --- ASR1002 ----G0/0/2

Configuração

Defina uma sessão para monitorar o tráfego e outra sessão para enviar esse tráfego para a interface local.
Certifique-se de que o endereço IP e o IP de origem nas duas definições de sessão sejam exatamente os mesmos. Isso é obrigatório. Usar um endereço local para o roteador; um loopback não utilizado é sugerido.

Verifique se o ERSPAN-ID também é o mesmo.

interface GigabitEthernet0/0/0
 ip address 192.168.1.1 255.255.255.0
 negotiation auto
! 
interface GigabitEthernet0/0/2
 no ip address
 negotiation auto
! 
interface Loopback1
 ip address 10.1.1.1 255.255.255.255
!
monitor session 10 type erspan-source
 source interface Gi0/0/0
 destination
  erspan-id 10
  ip address 10.1.1.1
  origin ip address 10.1.1.1
monitor session 20 type erspan-destination
 destination interface Gi0/0/2
 source
  erspan-id 10
  ip address 10.1.1.1

Outra configuração de ERSPAN comum é um SPAN local quando a interface de origem é um tronco.

Para essa configuração, defina a interface física como a origem ERSPAN.

No destino ERSPAN, desative o filtro da VLAN com o comando plim ethernet vlan filter disable. Se o filtro não estiver desabilitado, a sessão de SPAN não enviará o tráfego replicado.

G0/0/0 --dot1q-- ASR1002 ----G0/0/2

interface GigabitEthernet0/0/0
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/0.2
 encapsulation dot1Q 2
 ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet0/0/2
 no ip address
 negotiation auto
 plim ethernet vlan filter disable
!
interface Loopback1
 ip address 10.1.1.1 255.255.255.255
!
monitor session 10 type erspan-source
 source interface Gi0/0/0
 destination
  erspan-id 10
  ip address 10.1.1.1
  origin ip address 10.1.1.1
monitor session 20 type erspan-destination
 destination interface Gi0/0/2
 source
  erspan-id 10
  ip address 10.1.1.1

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A verificação mais simples é verificar se a contagem de pacotes de saída aumenta na interface de destino ERSPAN. Como essa interface não tem uma configuração nela, não há outro tráfego.

ASR1002#show int gig 0/0/2 | i packets out
     2073 packets output, 242097 bytes, 0 underruns

Você também pode ver as informações da sessão no Quantum Flow Processor (QFP). Nesses exemplos, as estatísticas aumentam à medida que os pacotes são copiados.

ASR2#show platform hardware qfp active feature erspan session 10
ERSPAN Session: 10
  Type         : SRC 
  Config Valid : Yes
  User On/Off  : On
  DP Debug Cfg : 0x00000000
Statistics:
  Src session transmit :               4165 /             634836
Configuration:
  VRF ID       : 0
  Dest IP addr : 10.1.1.1
  Orig IP addr : 10.1.1.1
  Flow ID      : 10
  GRE protocol : 0x88BE
  MTU          : 1464
  IP TOS       : 0
  IP TTL       : 255
  COS          : 0
Encapsulation:
  00000000  4500  0000  0000  4000  ff2f  0000  0a01  0101
  00000010  0a01  0101  1000  88be  0000  0000  1001  000a
  00000020  0000  0000  0000  0000  0000  0000  0000  0000
Port Configurations:
  VF      Interface Name                              Flag    Status       
  -----------------------------------------------------------------------

  No      GigabitEthernet0/0/0                        BOTH    Enable

ASR2#show platform hardware qfp active feature erspan session 20
ERSPAN Session: 20
  Type         : TERM
  Config Valid : Yes
  User On/Off  : On
  DP Debug Cfg : 0x00000000
Statistics:
  Term session receive :               4167 /             635644
Configuration:
  VRF ID       : 0
  Dest IP addr : 10.1.1.1
  Flow ID      : 10
Port Configurations:
  VF      Interface Name                              Flag    Status       
  -----------------------------------------------------------------------
  No      GigabitEthernet0/0/2                        TX      Enable

Troubleshoot

Esta seção disponibiliza informações para a solução de problemas de configuração.

Quando uma sessão de monitor é configurada pela primeira vez, ela é desligada. A sessão deve ser habilitada com o comando no shutdown.
O ERSPAN só funciona em interfaces de Camada 3. Ele não funciona para interfaces Ethernet que são da Camada 2, como Interfaces de Domínio de Bridge ou instâncias de serviço.
Se alguma das origens monitoradas fizer parte de um tronco Dot1q, o tráfego analisado com SPAN será descartado pela interface de saída. Para corrigir esse problema, adicione o comando plim ethernet vlan filter disable à interface de destino ERSPAN física.
A interface de destino ERSPAN não deve conter nenhuma configuração além do necessário para colocar o link on-line. Nenhum endereço IP é necessário. A interface é usada somente para tráfego de ERSPAN.

Contents