La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
Questo documento descrive come configurare Switched Port Analyzer (SPAN) su Cisco Application Centric Infrastructure (ACI).
In generale, esistono tre tipi di SPAN. SPAN locale, RSPAN (Remote SPAN) ed ERSPAN (Encapsulated Remote SPAN). Le differenze tra questi SPAN sono principalmente la destinazione dei pacchetti di copia. Cisco ACI supporta Local SPAN ed ERSPAN.
Nota: in questo documento si presume che i lettori abbiano già familiarità con SPAN in generale, come ad esempio le differenze Local SPAN ed ERSPAN.
Cisco ACI ha tre tipi di SPAN: Fabric SPAN
, Tenant SPAN
e Access SPAN
. La differenza tra ciascuna SPAN è l'origine dei pacchetti di copia.
Come indicato in precedenza,
Fabric SPAN
cattura i pacchetti in entrata e in uscita interfaces between Leaf and Spine switches
.Access SPAN
cattura i pacchetti in entrata e in uscita interfaces between Leaf switches and external devices
.Tenant SPAN
cattura i pacchetti in entrata e in uscita EndPoint Group (EPG) on ACI Leaf switches
.Questo nome SPAN corrisponde alla posizione in cui deve essere configurato sull'interfaccia utente di Cisco ACI.
Fabric > Fabric Policies
Fabric > Access Policies
Tenants > {each tenant}
Per quanto riguarda la destinazione di ogni SPAN, solo Access SPAN
è in grado di Local SPAN
e ERSPAN
. Gli altri due SPAN (Fabric
e Tenant
) sono in grado di ERSPAN
.
Consultare la sezione Limitazioni e linee guida della guida per la risoluzione dei problemi di Cisco APIC. È menzionato in Troubleshooting Tools and Methodology > Using SPAN
.
In questa sezione vengono presentati brevi esempi relativi alla configurazione di ciascun tipo SPAN. In alcuni casi specifici viene illustrato come selezionare il tipo di estensione nella sezione successiva.
La configurazione SPAN è descritta anche in Cisco APIC Troubleshooting Guide: Troubleshooting Tools and method > Using SPAN (Strumenti per la risoluzione dei problemi e metodologia Cisco APIC > Utilizzo di SPAN).
L'interfaccia utente può apparire diversa dalle versioni correnti, ma l'approccio di configurazione è lo stesso.
Dove:
Passa a FABRIC > ACCESS POLICIES > Troubleshoot Policies > SPAN
.
SPAN Source Groups
SPAN Destination Groups
SPAN Source Group
cravatte Destination
e Sources
.
Procedura:
SPAN Source Group
(SRC_GRP1)SPAN Source
(SRC1) in SPAN Source Group
(SRC_GRP1)SPAN Source
(SRC1)Nota: fare riferimento all'immagine per i dettagli di ciascun parametro.
SPAN Destination Group
(DST_EPG)SPAN Destination
(DST).SPAN Destination
DSTNota: fare riferimento all'immagine per i dettagli di ciascun parametro.
SPAN Destination Group
è associato a un SPAN Source Group
.Admin State
è attivato.Nota: l'SPAN si arresta quando si seleziona Disabilitato su questo stato di amministrazione. Non è necessario eliminare tutti i criteri se vengono riutilizzati in un secondo momento.
Verificare inoltre che l'IP di destinazione per ERSPAN venga appreso come endpoint nella destinazione EPG specificata. Nell'esempio sopra menzionato, il punto 192.168.254.1 deve essere Tenant TK > Application profile SPAN_APP > EPG SPAN
. In alternativa, l'IP di destinazione può essere configurato come endpoint statico in questo EPG se il dispositivo di destinazione è un host invisibile all'utente.
Fabric > ACCESS POLICIES > Troubleshoot Policies > SPAN
- SPAN Source Groups
- SPAN Destination Groups
SPAN Source Group
cravatte Destination
e Sources
.
SPAN Source Group
(SRC_GRP1SPAN Source
(SRC1) in SPAN Source Group
(SRC_GRP1SPAN Source
(SRC1)SPAN Destination Group
(DST_Leaf1)SPAN Destination
DSTSPAN Destination
DSTSPAN Destination Group
è associato a un SPAN Source Group
.Garantire Admin State
è attivato.
※ SPAN si arresta quando si seleziona Disattivato su questo stato di amministrazione. Non è necessario eliminare tutti i criteri se vengono riutilizzati in un secondo momento.
L'interfaccia di destinazione non richiede alcuna configurazione da parte dei gruppi di criteri di interfaccia. Funziona quando si collega un cavo all'interfaccia su ACI Leaf.
Limitazioni:
È possibile utilizzare i filtri ACL sulle origini di estensione dell'accesso. Questa funzione consente di eseguire lo SPAN di un particolare flusso o flusso di traffico in entrata e in uscita da un'origine SPAN.
Gli utenti possono applicare gli ACL SPAN a un'origine quando è necessario eseguire lo SPAN sul traffico specifico del flusso.
Non è supportato nei gruppi di origine/origini SPAN Fabric e Tenant Span.
È necessario prestare attenzione quando si aggiungono voci di filtro in un gruppo di filtri, in quanto potrebbe aggiungere voci tcam per ogni sorgente che attualmente utilizza il gruppo di filtri.
Un gruppo di filtri può essere associato a:
-Span Origine: il gruppo di filtri viene utilizzato per filtrare il traffico su TUTTE le interfacce definite in questa origine Span.
-Span Source Group: il gruppo di filtri (ad esempio, x) viene utilizzato per filtrare il traffico su TUTTE le interfacce definite in ognuna delle origini di span di questo gruppo di origini di span.
In questo snapshot di configurazione, il gruppo di filtri viene applicato al gruppo di origine Span.
Se una determinata origine Span è già associata a un gruppo di filtri (ad esempio y), tale gruppo di filtri (ad) viene utilizzato per filtrare il gruppo su tutte le interfacce in questa specifica origine Span
- Un gruppo di filtri applicato a un gruppo di origini viene applicato automaticamente a tutte le origini in tale gruppo.
- Un gruppo di filtri applicato a un'origine è applicabile solo a tale origine.
- Un gruppo di filtri viene applicato sia al gruppo di origine che a un'origine in tale gruppo di origine. Il gruppo di filtri applicato all'origine ha la precedenza.
- Un gruppo di filtri applicato a un'origine viene eliminato, il gruppo di filtri applicato al gruppo di origine padre viene applicato automaticamente.
- Un gruppo di filtri applicato a un gruppo di origine viene eliminato da tutte le origini attualmente ereditate da tale gruppo di origine.
Tenants > {tenant name} > Troubleshoot Policies > SPAN
- SPAN Source Groups
- SPAN Destination Groups
※ Rapporti gruppo di origini SPAN Destination
e Sources
.
SPAN Source Group
(SRC_GRP)SPAN Source
(SRC_A) in SPAN Source Group
(SRC_GRP)SPAN Source
(SRC_A)SPAN Destination Group
DST_GRPSPAN Destination
(DST_A)SPAN Destination
(DST_A)SPAN Destination Group
è associato a un SPAN Source Group
.Admin State
è attivato.
Fabric > FABRIC POLICIES > Troubleshoot Policies > SPAN
- Fabric
- SPAN Destination Groups
→ SPAN Source Group
cravatte Destination
e Sources
SPAN Source Group
(SRC_GRP)SPAN Source
(SRC_A) in SPAN Source Group
(SRC_GRP)SPAN Source
(SRC_A)SPAN Destination Group
DST_GRPSPAN Destination
(DST_A)SPAN Destination
(DST_A)SPAN Destination Group
è associato a un SPAN Source Group
.Admin State
è attivato.Admin State
. Non è necessario eliminare tutti i criteri se vengono riutilizzati in un secondo momento.Sebbene sia descritta in una sezione successiva "ERSPAN Version (type)", è possibile stabilire che la versione II di ERSPAN è utilizzata per Fabric SPAN e la versione I per Tenant e Access SPAN.
Fabric > ACCESS POLICIES > Troubleshoot Policies > SPAN > SPAN Source Groups > Operational tab
Fabric > FABRIC POLICIES > Troubleshoot Policies > SPAN > SPAN Source Groups > Operational tab
Tenants > {tenant name} > Troubleshoot Policies > SPAN > SPAN Source Groups > Operational tab
Verificare che lo stato operativo sia attivo.
SPAN Configuration Policy
o Fabric > INVENTORY > Node > Span Sessions > { SPAN session name }
Verificare che lo stato operativo sia attivo.
Convenzione di denominazione delle sessioni SPAN:
- SPAN fabric: fabric_xxxx
- Accesso SPAN: infra_xxxx
- SPAN tenant: tn_xxxx
In questa sezione vengono descritti scenari dettagliati per ciascun tipo ACI SPAN (Access, Tenant, Fabric
) La topologia di base per ogni scenario è descritta nella sezione precedente.
Se si conoscono questi scenari, è possibile selezionare il tipo ACI SPAN appropriato per le proprie esigenze, ad esempio è necessario acquisire i pacchetti solo su interfacce specifiche o tutti i pacchetti su un EPG specifico, a prescindere dalle interfacce, e altro ancora.
In Cisco ACI, lo SPAN è configurato con il source group
e destination group
. Il gruppo Origine contiene più fattori di origine, ad esempio interfacce o EPG. Il gruppo di destinazione contiene informazioni sulla destinazione, ad esempio l'interfaccia di destinazione per SPAN locale o l'indirizzo IP di destinazione per ESPAN.
Dopo aver acquisito i pacchetti, consultare la sezione "Come leggere i dati SPAN" per decodificare i pacchetti acquisiti.
Nota: concentrarsi sulle VM evidenziate con una luce verde in ciascuna topologia. Ogni scenario prevede l'acquisizione di pacchetti da queste VM evidenziate.
Source Group
Destination Group
Access SPAN può specificare più interfacce per una singola sessione SPAN. Può acquisire tutti i pacchetti che entrano o escono da interfacce specifiche, indipendentemente dal loro EPG.
Quando si specificano più interfacce come gruppo di origine da più switch foglia, il gruppo di destinazione deve essere ERSPAN, non Local SPAN.
In questo esempio, vengono copiati i pacchetti da tutte le VM su EPG1 ed EPG2.
Check Point CLI
destination-ip
" è l'IP di destinazione per ERSPANorigin-ip
" è IP di origine per ERSPAN
Nell'esempio, Leaf1 e1/34 viene rimosso dal gruppo di origini SPAN configurato nella precedente richiesta Case1.
Il punto chiave di questo esempio è che Access SPAN può specificare le interfacce di origine indipendentemente da EPG.
Check Point CLI
Nell'esempio viene mostrato che Access SPAN può specificare anche un EPG specifico sulle porte di origine. Ciò è utile quando più EPG fluiscono su una singola interfaccia ed è necessario per acquisire il traffico solo per EPG1 su questa interfaccia.
Poiché EPG1 non è distribuito su Leaf2, SPAN per Leaf2 fallisce con i guasti F1553 e F1561. Tuttavia, SPAN su Leaf1 funziona ancora.
Inoltre, due filtri VLAN vengono aggiunti automaticamente per la sessione SPAN su Leaf1 perché EPG1 utilizza due VLAN (VLAN-751,752) su Leaf1.
Notare che l'ID VLAN sulla CLI (35, 39) è la VLAN interna detta PI-VLAN (Platform Independent VLAN) e non è l'ID effettivo sul cavo. Come mostrato nella figura, il comando show vlan extended mostra la mappatura dell'ID VLAN di accesso e della VLAN IP effettivi.
Questa sessione SPAN ci permette di acquisire pacchetti solo per EPG1 (VLAN-752) su Leaf1 e1/11 anche se EPG2 (VLAN-753) scorre sulla stessa interfaccia.
Check Point CLI
Quando l'interfaccia vPC è configurata come origine, la destinazione deve essere un indirizzo IP remoto (ERSPAN) e non l'interfaccia (SPAN locale)
Access SPAN può anche utilizzare Local SPAN (ossia un'interfaccia specifica come destinazione)
Tuttavia, in questo caso, le interfacce di origine devono trovarsi sulla stessa foglia dell'interfaccia di destinazione.
Access SPAN con Local SPAN può anche usare EPG Filter ed ERSPAN.
È simile al caso 3 su Access SPAN (ERSPAN), ma in questo esempio, l'unica sessione SPAN su Leaf1 ha esito negativo perché EPG3 non esiste su Leaf1. Quindi SPAN non funziona affatto.
Il filtro EPG su Access SPAN funziona solo quando le porte di origine sono configurate. Se EPG è l'unica origine da specificare, utilizzare Tenant SPAN anziché Access SPAN.
Impossibile configurare un'interfaccia vPC come origine con SPAN locale. Utilizzare ERSPAN. Fare riferimento alla richiesta case4 per Access SPAN (ERSPAN).
Se un I/F di destinazione per SPAN appartiene già a EPG, viene generato un errore "F1696 : Port has an invalid configuration of both EPG and span destination" (F1696: la porta ha una configurazione non valida sia di EPG che di span destination) nell'I/F fisico.
Ma anche con questo errore, SPAN funziona senza alcun problema. Questo errore è solo un avviso relativo al traffico aggiuntivo causato dall'SPAN, in quanto può influire sul normale traffico EPG dei clienti sullo stesso I/F.
L'SPAN tenant utilizza lo stesso EPG come origine mentre l'SPAN di Access utilizza EPG solo per un filtro.
Il punto chiave dell'SPAN tenant è che non è necessario specificare ciascuna porta e l'ACI rileva automaticamente le VLAN appropriate su ciascuno switch foglia. Ciò è utile quando tutti i pacchetti per EPG specifici devono essere monitorati e gli endpoint per EPG specifico appartengono a più interfacce su switch foglia.
Fabric SPAN specifica le porte Fabric come origine in cui le porte Fabric sono interfacce tra switch Leaf e Spine.
Questo SPAN è utile quando è necessario copiare pacchetti tra switch Leaf e Spine. Tuttavia, i pacchetti tra gli switch Leaf e Spine sono incapsulati con intestazione ViXLAN. Per leggerlo è necessario un po' di trucco. Consultare "Come leggere i dati SPAN".
Nota: l'intestazione iVxLAN è un'intestazione VxLAN migliorata solo per uso interno ACI Fabric.
Fabric SPAN può utilizzare filtri oltre ad Access SPAN. Ma il tipo di filtro è diverso. L'SPAN del fabric utilizza il routing e l'inoltro virtuali (VRF) o BD come filtro.
In Cisco ACI, come descritto sopra, i pacchetti che passano attraverso le porte Fabric sono incapsulati con l'intestazione ViXLAN. Questa intestazione iVxLAN contiene informazioni VRF o BD come VNID (Virtual Network Identifier). Quando i pacchetti vengono inoltrati come layer 2 (L2), iVxLAN VNID è l'acronimo di BD. Quando i pacchetti vengono inoltrati come layer 3 (L3), iVxLAN VNID è l'acronimo di VRF.
Pertanto, quando è necessario acquisire il traffico indirizzato sulle porte Fabric, utilizzare VRF come filtro.
Come descritto nel caso precedente 2, Fabric SPAN può utilizzare BD come filtro.
Quando è necessario per acquisire il traffico con bridging sulle porte Fabric, utilizzare BD come filtro.
Nota: è possibile configurare un solo filtro di BD o VRF alla volta.
È sufficiente eseguire un'applicazione di acquisizione dei pacchetti come tcpdump, wireshark
su di esso. Non è necessario configurare la sessione di destinazione ERSPAN o altro.
Assicurarsi di eseguire uno strumento di acquisizione sull'interfaccia con l'IP di destinazione per ERSPAN, poiché i pacchetti SPAN vengono inoltrati all'IP di destinazione.
Il pacchetto ricevuto è incapsulato con un'intestazione GRE. Consultare questa sezione "Come leggere i dati ERSPAN" su come decodificare l'intestazione GRE ERSPAN.
Assicurarsi di eseguire uno strumento di acquisizione sull'interfaccia che si connette all'interfaccia di destinazione SPAN su ACI Leaf.
Pacchetti non elaborati ricevuti in questa interfaccia. Non è necessario gestire l'intestazione ERSPAN.
ERSPAN incapsula i pacchetti copiati per inoltrarli alla destinazione remota. GRE viene usato per questo incapsulamento. Il tipo di protocollo per ERSPAN sull'intestazione GRE è 0x88be.
Nel documento della Internet Engineering Task Force (IETF), la versione ERSPAN è descritta come tipo anziché versione.
Esistono tre tipi di ERSPAN. I, II e III. Il tipo ERSPAN è menzionato in questa bozza RFC. Inoltre, questa RFC1701 del GRE può essere utile per comprendere anche ciascun tipo ERSPAN.
Di seguito viene riportato il formato di ciascun tipo di pacchetto:
Il tipo I non utilizza il campo della sequenza nell'intestazione GRE. Non utilizza nemmeno l'intestazione ERSPAN che deve seguire l'intestazione GRE se si tratta di ERSPAN di tipo II e III. Broadcom Trident 2 supporta solo questo ERSPAN di tipo I.
Se il campo della sequenza è attivato dal bit S, deve essere ERSPAN tipo II o III. Il campo della versione nell'intestazione ERSPAN identifica il tipo ERSPAN. In ACI, il tipo III non è supportato a partire dal 20/03/2016.
Se un gruppo di origini SPAN per Access o Tenant SPAN ha origini sia su nodi di prima generazione che su nodi di seconda generazione, la destinazione ERSPAN riceve entrambi i pacchetti ERSPAN di tipo I e II da ciascuna generazione di nodi. Tuttavia, Wireshark può decodificare solo uno dei tipi ERSPAN alla volta. Per impostazione predefinita, decodifica solo ERSPAN di tipo II. Se si attiva la decodifica di ERSPAN di tipo I, Wireshark non decodifica ERSPAN di tipo II. Vedere la sezione successiva su come decodificare ERSPAN Type I su Wireshark.
Per evitare questo tipo di problema, è possibile configurare il tipo ERSPAN su un gruppo di destinazione SPAN.
Per impostazione predefinita, la versione SPAN è la versione 2 e l'opzione Applica versione SPAN è deselezionata. Ciò significa che se il nodo di origine è di seconda generazione o successiva e supporta ERSPAN di tipo II, verrà generato ERSPAN con tipo II. Se il nodo di origine è di prima generazione e non supporta ERSPAN di tipo II (ad eccezione di Fabric SPAN), viene ripristinato il tipo I poiché l'opzione Applica versione SPAN non è selezionata. Di conseguenza, la destinazione ERSPAN riceve un tipo misto di ERSPAN.
In questa tabella viene illustrata ogni combinazione di Access e Tenant SPAN.
Versione SPAN |
Imponi versione SPAN |
nodo di origine di prima generazione |
nodo di origine di seconda generazione |
Versione 2 |
Deselezionato |
Utilizza tipo I |
Utilizza Type II |
Versione 2 |
Controllato |
Non riuscito |
Utilizza Type II |
Versione 1 |
Deselezionato |
Utilizza tipo I |
Utilizza tipo I |
Versione 1 |
Controllato |
Utilizza tipo I |
Utilizza tipo I |
I pacchetti devono essere decodificati perché sono incapsulati da ERSPAN tipo I. Questa operazione può essere effettuata con Wireshark. Consultare la sezione "Come decodificare ERSPAN tipo 1".
Wireshark decodifica automaticamente ERSPAN Tipo II. Tuttavia, è ancora incapsulato dall'intestazione iVxLAN.
Per impostazione predefinita, Wireshark non riconosce l'intestazione iVxLAN in quanto è un'intestazione interna ACI. Fare riferimento a "Come decodificare l'intestazione VLAN".
Opzione 1. Passa a Edit > Preference > Protocols > ERSPAN
e selezionare FORCE per decodificare il falso frame ERSPAN.
user1@linux# tshark -f 'proto GRE' -nV -i eth0 -o erspan.fake_erspan:true
Nota: accertarsi di disattivare questa opzione quando si legge ERSPAN tipo II o III.
Opzione 2. Passa a Decode As > Network > ICMP (if it’s ICMP)
.
L'intestazione della VLAN utilizza la porta di destinazione 4879. Pertanto, è possibile decodificare l'intestazione VxLAN e la VxLAN se si configura la porta di destinazione UDP 4879 come VxLAN su Wireshark.
Analyze > Decode As > Transport > UDP destination (48879) > VxLAN
.Apply
.Nota: sono presenti pacchetti di comunicazione tra dispositivi APIC sulle porte dell'infrastruttura. Questi pacchetti non sono incapsulati dall'intestazione ViXLAN.
Quando si esegue un'acquisizione erspan su una rete utente con protocollo PTP (Precision Time Protocol), a volte si rileva che Wireshark non interpreta i dati a causa di un ethertype sconosciuto all'interno dell'encap GRE (0x8988). 0x8988 è l'ethertype del tag time inserito nei pacchetti del datapane quando PTP è abilitato. Decodificare l'ethertype 0x8988 come "Cisco tag" per esporre i dettagli del pacchetto.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
01-Feb-2023 |
Versione iniziale |