Existem algumas opções, dependendo da quantidade de tráfego que você receberá:
- Se você vai receber muito tráfego, use gulp , que roda em linux; O gulp requer o módulo do kernel linux pf_ring .
- Se os requisitos de largura de banda forem razoáveis, você pode simplesmente usar seu laptop com o decodificador ERSPAN da wireshark ; O wireshark pode ver os protocolos nos pacotes ERSPAN v2 e v3. Use
ip proto 0x2f
como seu filtro de captura, se você deseja capturar apenas o tráfego ERSPAN. Eu uso o wireshark para capturar o ERSPAN das portas de usuário do Catalyst6500 quando preciso farejar uma porta remotamente sem caminhar até o switch com um laptop. Isso funciona bem para portas de usuário e até mesmo algumas portas de servidor (desde que elas não enviem muito tráfego)
Exemplo de configuração do Cat6500 ERSPAN:
!
monitor session 2 type erspan-source
source interface GigabitEthernet7/22
destination
erspan-id 1
! This is the ip address of gulp, or the wireshark laptop
! If using wireshark, capture with "ip proto 0x2f"
ip address 10.1.1.5
! This is the IP address of the switch sourcing ERSPAN packets
origin ip address 10.21.4.12
no shutdown
Exemplo de configuração do Nexus9000 ERSPAN:
monitor session 1 type erspan-source
erspan-id 1
! Specify the vrf that ERSPAN will use to route to the destination IP
! NOTE: I have not found a way to use "vrf management" on the 9000 series
vrf default
! This is the ip address of gulp, or the wireshark laptop
! If using wireshark, capture with "ip proto 0x2f"
destination ip 10.5.69.226
source interface port-channel1001 both
no shut
! This is the IP address of the switch sourcing ERSPAN packets
monitor erspan origin ip-address 172.16.12.80 global