在ACI上配置交換埠分析器
目錄
簡介
本檔案介紹如何在思科以應用程式為中心的基礎架構(ACI)版本5.x和6.x上設定交換連線埠分析器(SPAN)。
背景資訊
一般來說,有三種型別的SPAN。本地SPAN、遠端SPAN(RSPAN)和封裝遠端SPAN(ERSPAN)。 這些SPAN之間的差異主要是複製封包的目的地。Cisco ACI支援本地SPAN和ERSPAN。
附註:本檔案假設讀者已熟悉SPAN以及本地SPAN和ERSPAN之間的差異。
思科ACI中的SPAN型別
Cisco ACI有三種型別的SPANFabric SPAN;Tenant SPAN和Access SPAN。每個SPAN之間的差異是複製封包的來源。
如前所述,
Fabric SPAN就是捕獲進出的資料包interfaces between Leaf and Spine switches。Access SPAN捕獲進出資料包的流量interfaces between Leaf switches and external devices。Tenant SPAN捕獲進出資料包的流量EndPoint Group (EPG) on ACI Leaf switches。
SPAN to CPU是捕獲進出的資料包(從interfaces between Leaf switches and external devices6.2開始)。
此SPAN名稱對應於Cisco ACI GUI上的設定位置。
- 交換矩陣SPAN設定在
Fabric > Fabric Policies - 訪問SPAN配置在
Fabric > Access Policies - SPAN到CPU配置在
Fabric > Access Policies - 租戶SPAN配置在
Tenants > {each tenant}
對於每個SPAN的目的地而言,Access SPAN僅能同時支援和Local SPANERSPAN。其他兩個SPANFabric(和Tenant)只能使用ERSPAN。
限制和准則
請檢視思科APIC故障排除指南中的限制和指南。中提到了Troubleshooting Tools and Methodology > Using SPAN。
組態
本節介紹與每個SPAN型別的設定相關的簡短範例。在後面的部分中,有有關如何選擇span型別的特定示例案例。
思科APIC故障排除指南:疑難排解工具和方法>使用SPAN。
存取SPAN(ERSPAN)
拓撲示例
圖1:存取ERSPAN的拓撲範例
組態範例
前往 。Fabric > Access Policies > Policies > Troubleshooting > SPAN
- 按一下右鍵「SPAN目標組」,然後選擇建立
SPAN Destination Group(DST_EPG)的選項。
圖2:建立訪問ERSPAN目標組的路徑
填寫以下資訊:
圖3:設定存取ERSPAN目的地群組
其中:
目標型別:EPG(必須用作存取ERSPAN)
目標EPG:獲知目標終端的租戶/AP/EPG
目的地 IP:目標終結點的IP
源IP:這可以是任何IP。如果使用字首,則源節點的節點ID用於未定義的位。例如, prefix:node-101上的192.168.254.0/24 => src IP 192.168.254.101
流ID:預設設定為1,可用於在ERSPAN標頭中依照流量識別封包:
圖4:Wireshark中的資料包,用於顯示流ID
提示:要過濾流ID,您可以使用此wireshark過濾器:erspan.span id == <Flow ID>
- Create
SPAN Source Group(SRC_GRP1),按一下右鍵「SPAN Source Groups」,然後選擇「Create SPAN Source groups」:
圖5:建立訪問ERSPAN源組的路徑
填寫以下資訊:
圖6:設定存取ERSPAN來源群組
其中:
Admin State: Enabled
目標組: 選擇先前建立的目標組(DST_EPG)
- 在同一框中,按一下加號按鈕(+)以新增至少一個SPAN源。
- 配置以下引數以建立
SPAN Source(SRC1):
圖7:設定存取ERSPAN來源
其中:
Direction: 可以在以下選項中進行選擇:傳入、傳出或雙向
型別:可以在以下選項中選擇:無(常規的前端埠)、EPG(在EPG中作為靜態繫結部署的介面,且僅映象EPG流量)或外部路由(在L3out中使用的介面)。
在此示例中,使用常規的前埠。
- 按一下加號按鈕(+)以新增源訪問路徑。填寫以下資訊:
圖8:建立存取ERSPAN來源路徑
其中:
路徑型別:在埠(單個)、直接埠通道、虛擬埠通道(選擇此選項時,路徑顯示已形成的VPC)和VPC元件PC(只是VPC的一個支路,選擇特定節點)之間進行選擇
節點:選擇源節點(根據拓撲示例選擇節點101)
路徑: 來源介面(eth1/1(根據拓撲範例)
存取本地SPAN
拓撲示例
圖9:本地存取SPAN的拓撲範例
組態範例
前往 。Fabric > Access Policies > Policies > Troubleshooting > SPAN
- 按一下右鍵「SPAN目標組」,然後選擇建立
SPAN Destination Group(DST_EPG)的選項。
圖10:建立本地訪問SPAN目標組的路徑
填寫以下資訊:
圖11:設定本機存取SPAN目的地群組
其中:
目標型別:存取介面(必須為本地SPAN)
路徑型別: 連接埠
節點:節點101(根據拓撲)
路徑: eth1/45(根據拓撲)
附註:目標埠不需要應用任何租戶策略(例如,EPG、L3out或infra部署),否則會引發此故障:
故障:F1559
說明:故障委託:由於SPAN的不安全目的地連線埠,無法使用目的地群組DST_GRP設定SPAN。埠已有應用程式EPG、L3Out或基礎設施VLAN部署
如果目的地連線埠是EPG的一部分,則替代方法是交換到存取ERSPAN。
- Create
SPAN Source Group(SRC_GRP1),按一下右鍵「SPAN Source Groups」,然後選擇「Create SPAN Source groups」:
圖12:建立本地訪問SPAN源組的路徑
填寫以下資訊:
圖13:建立本機存取SPAN來源群組
其中:
Admin State: Enabled
目標組: 選擇先前建立的目標組(DST_EPG)
- 在同一框中,按一下加號按鈕(+)以新增至少一個SPAN源。
- 配置以下引數以建立
SPAN Source(SRC1):
圖14:建立本機存取SPAN來源的步驟
其中:
Direction:在Incoming、Outgoing或both方向之間選擇
型別:可以在以下選項中選擇:無(常規的前端埠)、EPG(在EPG中作為靜態繫結部署的介面,且僅映象EPG流量)或外部路由(在L3out中使用的介面)。
在此示例中,使用常規的前埠。只要以後新增的源訪問路徑部署在同一節點上,就會支援配置。
- 按一下加號按鈕(+)以新增源訪問路徑。填寫以下資訊:
圖15:建立本機存取SPAN來源路徑
其中:
路徑型別:在埠(單個)、直接埠通道、虛擬埠通道(選擇此選項時,路徑顯示已形成的VPC)和VPC元件PC(只是VPC的一個支路,選擇特定節點)之間進行選擇
附註:本地訪問SPAN中不支援虛擬埠通道
節點:選擇源節點(根據拓撲示例選擇節點101)
路徑: 來源介面(eth1/1(根據拓撲範例)
限制:
附註:對於本地SPAN,必須在同一枝葉上配置目標介面和源介面。
- 目的介面只要處於UP狀態,就不需要它位於EPG上。
- 將虛擬埠通道(vPC)介面指定為源埠時,無法使用本地SPAN
但是,有一個因應措施。在第一代枝葉交換機上,作為vPC或PC成員的單個物理埠可以配置為SPAN源。透過此本地SPAN,可以用於vPC連線埠上的流量。
但是此選項在第二代枝葉交換機上不可用(思科錯誤ID CSCvc11053)。 相反,已透過思科錯誤ID CSCvc44643(2.1(2e)、2.2(2e)及轉送,在「VPC元件PC」上新增對於SPAN的支援。這樣,任何層代枝葉都可以將作為vPC成員的埠通道配置為SPAN源。這允許任何世代枝葉對vPC埠上的流量使用本地SPAN。 - 指定第二代枝葉上連線埠通道的各個連線埠只會導致封包的子集被擴充(也由於Cisco錯誤ID CSCvc11053所致)。
- PC和vPC不能用作本地SPAN的目的地連線埠。自4.1(1)起,PC可作為本地SPAN的目的地連線埠。
租戶SPAN(ERSPAN)
拓撲示例
圖16:租戶ERSPAN的示例拓撲
組態範例
前往 。Tenant >
- 按一下右鍵「SPAN目標組」,然後選擇建立
SPAN Destination Group(DST_EPG)的選項。
圖17:建立租戶ERSPAN目標組的路徑
填寫以下資訊:
圖18:建立租戶ERSPAN目標組
其中:
目標EPG:設定租戶(預設情況下,採用配置ERSPAN的同一租戶)、獲取目標終端的AP和EPG
目的地 IP:目標終結點的IP
源IP:這可以是任何IP。如果使用字首,則源節點的節點ID用於未定義的位。例如, prefix:node-101上的192.168.254.0/24 => src IP 192.168.254.101
流ID:預設設定為1,可用於在ERSPAN標頭中按流量識別封包。在自定義此流ID時,使用訪問ERSPAN中顯示的提示過濾捕獲。
- Create
SPAN Source Group(SRC_GRP1),按一下右鍵「SPAN Source Groups」,然後選擇「Create SPAN Source groups」:
圖19:建立租戶ERSPAN源組的路徑
填寫以下資訊:
圖20:建立租戶ERSPAN源組
其中:
Admin State: Enabled
目標組: 選擇先前建立的目標組(DST_EPG)
- 在同一框中,按一下加號按鈕(+)以新增至少一個SPAN源。
- 配置以下引數以建立
SPAN Source(SRC1):
圖21:建立租戶ERSPAN來源EPG
其中:
Direction:在Incoming、Outgoing或both方向之間選擇
源EPG:可以在同一租戶內的所有EPG之間進行選擇。(根據拓撲示例為EPG1)
交換矩陣SPAN(ERSPAN)
拓撲示例
圖22:交換矩陣ERSPAN的拓撲示例
組態範例
前往 。Fabric > Fabric Policies > Policies > Troubleshooting > SPAN
- 按一下右鍵「SPAN目標組」,然後選擇建立
SPAN Destination Group(DST_EPG)的選項。
圖23:建立交換矩陣ERSPAN目標組的路徑
填寫以下資訊:
圖24:建立光纖ERSPAN目的地群組
其中:
目標EPG:設定目標終端獲知的租戶、AP和EPG
目的地 IP:目標終結點的IP
源IP:這可以是任何IP。如果使用字首,則源節點的節點ID用於未定義的位。例如, prefix:node-101上的192.168.254.0/24 => src IP 192.168.254.101
流ID:預設設定為1,可用於在ERSPAN標頭中按流量識別封包。在自定義此流ID時,使用訪問ERSPAN中顯示的提示過濾捕獲。
- Create
SPAN Source Group(SRC_GRP1),按一下右鍵「SPAN Source Groups」,然後選擇「Create SPAN Source groups」:
圖25:建立交換矩陣ERSPAN源組的路徑
填寫以下資訊:
圖26:建立光纖ERSPAN來源群組
其中:
Admin State: Enabled
目標組: 選擇先前建立的目標組(DST_EPG)
- 在此同一框中,按一下加號按鈕(+)以至少新增源。
- 配置以下引數以建立
Source(SRC1):
圖27:建立租戶ERSPAN光縴路徑
其中:
Direction:在Incoming、Outgoing或both方向之間選擇
關聯: 在VRF或橋接域之間進行選擇(在本例中,它被選擇為要捕獲的特定BD)
- 按一下加號按鈕(+)以新增源光縴路徑。填寫以下資訊:
圖28:建立交換矩陣ERSPAN的來源路徑
其中:
節點:源節點
Interface: 下拉選單僅顯示來自選定節點的上行鏈路(在此示例中,顯示拓撲中已新增的4個上行鏈路)
SPAN到CPU
在ACI 6.2.1之前,ACI枝葉交換機不支援將本地SPAN(交換埠分析器)會話直接傳送到交換機CPU埠(sup-eth0),這使得機箱內捕獲和分析變得更加困難。
拓撲示例
圖29:SPAN到CPU的拓撲示例
組態範例
前往 。Fabric > Access Policies > Policies > Troubleshooting > SPAN
- 按一下右鍵「SPAN目標組」,選擇要建立的選項
SPAN Destination Group。
圖30:建立SPAN到CPU目標組的路徑
填寫以下資訊:
圖31:建立SPAN到CPU目標組
其中:
目標型別:訪問介面
部件型別: 連接埠
路徑:選擇sup-eth0。
- 繼續按存取本地SPAN一節所示的組態。
設定步驟也在本視訊中顯示:
https://video.cisco.com/detail/video/6389779606112
限制:
以下平台僅支援SPAN到CPU:
-
FX2(天堂)
-
FX3(下沈)
-
GX(沃爾弗里奇)
-
GX2(四峰)
-
HX(Ararat)
篩選條件/ACL
存取SPAN能夠對存取SPAN來源使用ACL過濾器。
此功能提供將SPAN特定流量或流量傳入/傳出SPAN來源的功能。
當需要SPAN流量特定流量時,使用者可以將該SPAN Acl套用至來源。
交換矩陣SPAN和租戶SPAN來源群組/來源不支援此功能。
篩選器組可以關聯到:
-Span來源:過濾器組用於過濾在此Span來源下定義的所有介面上的流量。
圖32:用於在訪問源中新增篩選器的選項
-Span來源群組:過濾器組(如x)用於過濾在此Span來源組的每個Span來源下定義的所有介面上的流量。
圖33:用於在訪問源組中新增篩選器的選項
當特定Span來源已經與篩選群組建立關聯時(例如y),會使用該篩選群組(y)來篩選此特定Span來源下所有介面上的群組
— 應用於源組的篩選器組將自動應用於該源組中的所有源。
— 在源應用的過濾器組僅適用於該源。
— 過濾器組同時應用於源組以及該源組中的源,則應用於源的過濾器組優先。
— 刪除應用於源的篩選器組,將自動應用應用於父源組的篩選器組。
— 刪除應用於源組的篩選器組,並將其從當前繼承到該源組的所有源中刪除。
要建立過濾器,可以使用以下選項:
圖34:篩選條目選項
— 源和目標字首。
— 源/目標埠範圍。
- IP協定。
— 擴展過濾器,如:DCSP、Dot1P、TCP標誌。
驗證
- 在GUI中,轉到感興趣的源組,按一下該組,然後轉到「操作」頁籤:
圖35:在GUI中驗證會話
- 在CLI APIC中:
顯示在交換矩陣中配置的所有SPAN/會話
show monitor summary
要按型別過濾會話,請執行以下操作:
show monitor access session all
show monitor tenant session all
show monitor fabric session all
- 在CLI來源交換器中:
show monitor session all
範例:
SITE2-L101# show monitor session all
session 11
---------------
name : SRC_GRP1
description : Span session 11
type : erspan
scale-mode : filter
version : 2
oper version : 2
state : up (active)
erspan-id : 1
granularity :
vrf-name : SPAN:SPAN
acl-name :
ip-ttl : 64
ip-dscp : ip-dscp not specified
destination-ip : 192.168.254.1/32
origin-ip : 192.168.254.101/24. >>>> node ID 101
mode : access
Filter Group : None
source intf :
rx : [Eth1/1]
tx : [Eth1/1]
both : [Eth1/1]
source VLANs :
rx :
tx :
both :
filter VLANs : filter not specified
filter L3Outs : filter not specified
此輸出有助於確認是否已啟用作業階段,以及來源、目的地標頭和來源介面(如果列在rx和tx中,direction已設定為兩者)
要真正確認此配置是否正確,請從說明中獲取span會話ID,然後運行以下命令:
範例:
SITE2-L101# show system internal span-mgr session 11
SSN id 11 name "infra_SRC_GRP1_DST_GRP_DST_GRP" ptr 0x562a21a24b70 Admin UP nSrcsUP 1 Dst ERSPAN UP
Scale mode FILTER
vrfName SPAN:SPAN vnid 2752515 SrcIP 192.168.254.101/24 DstIP 192.168.254.1/32 flowId 1 ttl 64 dscp 64 mtu 1518 ver 2 opst 1(UP) opst_qual 1(Active)
vrf_id 5 table_id 0x5 vrf_vnid 2752515 (0x2a0003) slot 0 urib_nh_reg 1 epm_registered 1
Spine Proxy NH: RESOLVED nh_is_fabric 1 nh_dtep_ip 0xa00e042 nh_flag 1 nh_if_idx 0x1a031009 nh_main_if_idx 0x1a031000
Local NH: NOT Resolved ep_valid 0 ep_mac 00:00:00:00:00:00 ep_vlan 0 ep_if_idx 0x0
ep_flags 0 ep_tun_if_idx 0x0 ep_nh_mac 00:00:00:00:00:00 ep_nh_dtep_ip 0x0 ep_nh_ifidx 0x0 ep_nh_vlan 0
COOP NH: NOT Resolved coop_valid 0 coop_tep_ip 0x0
Span Offset 255
Filter Group ID: 0
(src-name, flt-grp-id) associations:
Src name: "SRC" Filter Group ID: 0
SRC: id 17 ptr 0x562a21a22170 ssn_id 11 mode Access type Port dir ING-EGR vlan 0 if_idx 0x1a000000 opst 1(UP) opst_qual 1(Active) dummy_fault 0
vlan_type INVALID hw_vlan 0 hw_vlan_up DOWN if_up UP is_fex 0 is_pc 0 slot -1 pc_mbr_up 0x0 l3_if_idx 0x0 l3_if_up DOWN
Per SSN Summary: SSN 11 n_srcs_per_ssn 1 srcs UP 1
Summary: nSSNs: 1 nSSNs UP: 1 nSrcs 1 nSrcs UP 1
如何讀取ERSPAN資料
ERSPAN版本(型別)
ERSPAN封裝複製的資料包,將其轉送到遠端目的地。GRE用於此封裝。GRE標頭上ERSPAN的通訊協定型別為0x88be。
在Internet Engineering Task Force(IETF)文檔中,ERSPAN版本被描述為type而不是version。
有三種型別的ERSPAN。一、二和三。此RFC草案中提到了ERSPAN型別。此外,此GRE RFC1701也有助於瞭解每個ERSPAN型別。
以下是每種型別的資料包格式:
ERSPAN Type I(由Broadcom Trident 2使用)
圖36:ERSPAN版本I的GRE標頭
要提供一個示例,wireshark顯示以下協定型別:
圖37:wireshark中的版本驗證
型別I不使用GRE報頭上的序列欄位。它甚至不使用ERSPAN標頭(如果是ERSPAN型別II和III,則ERSPAN標頭必須接替GRE標頭)。Broadcom Trident 2僅支援此ERSPAN型別I。
ERSPAN型別II或III
圖38:ERSPAN版本II的GRE標頭
Wireshark示例為:
圖39:wireshark中的版本驗證
如果序列欄位是由S位啟用,則此欄位必須是ERSPAN型別II或III。ERSPAN標頭上的版本欄位會識別ERSPAN型別。在ACI中,自2026年4月30日起,不支援型別III。
ERSPAN型別和ACI SPAN型別
在第1代枝葉和主幹節點上,每個ACI SPAN(交換矩陣、接入、租戶)在每個節點上的不同晶片中運行。
- 存取SPAN和租戶SPAN是在枝葉上的Broadcom晶片(T2:Trident2)上操作的
- 交換矩陣SPAN在Leaf上的NS(NorthStar)晶片或Spine上的ALP(Alpine)晶片上運行。
因此,由於Broadcom晶片的限制,
- 存取SPAN和租戶SPAN使用ERSPAN型別I
另一方面,NS和ALP晶片支援II型。所以
- 交換矩陣SPAN使用ERSPAN型別II
在第二代或更高版本的節點上,所有ACI SPAN預設使用ERSPAN Type II。
如果存取或租戶SPAN的SPAN來源組在第1代和第2代節點上均有來源,ERSPAN目的地會收到來自每代節點的ERSPAN型別I和II封包。但是,Wireshark一次只能解碼其中一個ERSPAN型別。預設情況下,只會對ERSPAN型別II進行解碼。如果啟用ERSPAN Type I的解碼,Wireshark不會解碼ERSPAN Type II。請參閱後面有關如何在Wireshark上解碼ERSPAN Type I的部分。
若要避免此類問題,您可以在SPAN目的地群組上設定ERSPAN型別。
圖40:用於實施SPAN版本的選項
-
SPAN版本(版本1或版本2):此專案是指ERSPAN型別I或II
-
強制使用SPAN版本(已選中或未選中):這決定如果來源節點硬體不支援設定的ERSPAN型別,SPAN作業階段是否必須失敗。
預設情況下,SPAN版本為版本2,且強制執行SPAN版本未勾選。這表示如果來源節點是支援ERSPAN型別II的第二代或更新版本,它就會產生具有型別II的ERSPAN。如果來源節點是不支援ERSPAN型別II的第1代(交換矩陣SPAN除外),則它會回復到型別I,因為未勾選「強制執行SPAN版本」。因此,ERSPAN目的地收到混合型別的ERSPAN。
下表說明存取和租戶SPAN的每種組合。
| SPAN版本 |
強制執行SPAN版本 |
第1代源節點 |
第二代源節點 |
| 版本2 |
未選中 |
使用型別I |
使用II類 |
| 版本2 |
已檢查 |
失敗 |
使用II類 |
| 版本1 |
未選中 |
使用型別I |
使用型別I |
| 版本1 |
已檢查 |
使用型別I |
使用型別I |
如何解碼iVxLAN標頭
iVxLAN標頭使用目的地連線埠48879。因此,如果您在Wireshark上將UDP目的地連線埠設定為VxLAN,則可以對iVxLAN標48879以及VxLAN進行解碼。
-
請確保先選擇iVxLAN封裝資料包。
-
前往 。
Edit > Preferences > Protocols > VxLAN -
在連線48879的結尾新增連線埠配接器:
-
然後
Apply。
圖41:如何新增自定義埠來解碼iVXLAN報頭
附註:交換矩陣埠上的APIC之間存在通訊資料包。這些資料包不會以iVxLAN報頭封裝。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
29-Apr-2026
|
初始版本 |
意見