На оборудовании Eltex реализовано 2 способа зеркалирования трафика:
1) SPAN - функционал, позволяющий зеркалировать трафик с указанного порта/портов в порт без изменений исходного пакета.
2) RSPAN - функционал, позволяющий зеркалировать трафик с указанного порта/портов, при этом навешивая дополнительную RSPAN vlan tag.
| Блок кода | ||
|---|---|---|
| ||
monitor-session test1
destination interface tengigabitethernet 0/1/2
source interface tengigabitethernet 0/1/3
vlan 100
exit
vlan 101
direction rx-only
exit
vlan 102
direction tx-only |
По-умолчанию, если не указывать направление зеркалирования пакетов, то зеркалируются все пакеты с данного порта или саб-интерфейса. Таким образом, исходя из примера, с tengigabitethernet0/1/3.100 будут зеркалироваться пакеты с обоих направлениях (direction both), с tengigabitethernet0/1/3.101 только входящие пакеты(direction rx-only), а с tengigabitethernet0/1/3.102 только отправленные пакеты (direction tx-only).
| Блок кода | ||
|---|---|---|
| ||
monitor-session rspan-test
destination remote
interface tengigabitethernet 0/1/2
vlan 2100 <--------- vlan-tag, который будет добавляться на копии перехваченных пакетов
exit
source interface tengigabitethernet 0/1/3
vlan 100
exit
vlan 101
exit
vlan 102
exit
vlan 103
exit
vlan 104
exit
vlan 105 |
Следует сказать, что ввиду аппаратных ограничений можно использовать только 6 уникальных vlan в направлении rx-only(ingress) и 7 уникальных vlan в направлении tx-only(egress) на все SPAN/RSPAN сессии на отдельно взятом оборудовании(если речь идет о ME5100 или ME5200) или плате(Если речь идет о ME5000). Аппаратные ресурсы выделяется для каждого отдельного vlan-tag. Например:
| Блок кода |
|---|
monitor-session test1
destination interface tengigabitethernet 0/1/2
source interface tengigabitethernet 0/1/3
vlan 100
exit
vlan 101
exit
vlan 108
exit
monitor-session test2
destination remote
interface tengigabitethernet 0/1/4
vlan 2100
exit
source interface tengigabitethernet 0/1/5
vlan 101
exit
vlan 102
exit
vlan 103
exit
vlan 104
exit
vlan 105
exit
vlan 106 |
Если применить такую конфигурацию, то оборудование сначала выделит ресурсы сессии test1 для source tengigabitethernet 0/1/3 для всех указанных саб-интерфейсов, далее перейдет к сессии test2 source tengigabitethernet 0/1/5 и выделит ресурсы для саб-интерфейсов te0/1/5.102, 103, 104, но так как для tag 101 уже был выделен ресурс, то пакеты с него будут так же зеркалироваться. Саб-интерфейсы te0/1/5.105 и te0/1/5.106 зеркалироваться не будут из-за аппаратных ограничений.
Ввиду аппаратных особенностей маршрутизаторы серии ME не зеркалируют пакеты обрабатываемые CPU устройства, а только транзитный трафик.
В ОС маршрутизатора установлена утилита tcpdump. Данная утилита является стандартным сетевым анализатором в среде Linux и тем самым вы сможете использовать весь функционал, что и на обычном сервере Linux.С помощью данной утилиты вы можете посмотреть трафик обрабатываемый CPU устройства, то есть, посмотреть трафик самого маршрутизатора. Для этого:
Необходимо зайти в rootshell:
0/FMC0:R17-141_test4# rootshell
Password:<password>
[root@R17-141_test4 (FMC16:0/FMC0) admin]
Для примера выполним команду: def-ns tcpdump -i i<индекс интерфейса> -w tcpdump.pcap
Данной командой вы запишете в файл tcpdump.pcap пакеты приходящие на порт/саб-интерфейс с определенным индексом.
| Блок кода | ||
|---|---|---|
| ||
Индекс интерфейса можно посмотреть в команде 0/FMC0:R17-141_test4# show int tengigabitethernet 0/1/2 Mon Mar 27 10:03:25 2023 Tengigabitethernet0/1/2 is Up Interface index is 6 <------------------------ Так же для саб-интерфейса: 0/FMC0:R17-141_test4# show int tengigabitethernet 0/1/3.100 Mon Mar 27 10:04:22 2023 Tengigabitethernet0/1/3.100 is Up Interface index is 64 <------------------------ |
Для интерфейсов находящихся в vrf, команда будет выглядеть следующим образом:
ip netns exec _vrftest tcpdump -i i<индекс интерфейса> -w tcpdump.pcap. где vrftest - название vrf
Чтобы посмотреть указанный файл, вы можете отправить файл на свой tftp-сервер: tftp -pl tcpdump.pcap 192.168.16.26
Так же есть возможность, чтобы дамп был записан в файл, который формируется при вводе команды "show tech". Для этого дамп необходимо записать по пути /var/log:
def-ns tcpdump -i i<индекс интерфейса> -w /var/log/nfv5.pcap