本ドキュメントでは、ACI SPAN でキャプチャしたデータのデコード方法について説明します。

※ SPAN の設定方法について こちら を参照ください。

※ ACI Version 2.x での確認結果をもとに掲載しております。

※ Wireshark Version 2.0.0 での確認結果をもとに掲載しております。

1. Tenant SPAN, Access SPAN

SPAN でキャプチャされた packet は ERSPAN で カプセル化された状態で SPAN Destination へと転送されます。

ERSPAN には Type I, Type II, Type III がありますが、Neuxs 9300 シリーズスイッチの場合、Tenant SPAN

及び Access SPAN は Type I が使われます。

Nexus9300-EX シリーズ以降のスイッチ の場合は、Type I, Type II の両方をサポートしています。(Default Type II)

2. Fabric SPAN

Fabric SPAN では iVXLAN (leaf <-> spine 間 で使用される ACI 独自の VXLAN ) でカプセル化された packet が

さらに ERSPAN でカプセル化されて SPAN Destination へと転送されます。

また、Fabric SPAN では、Neuxs 9300 / Neuxs 9300-EX シリーズ以降のスイッチ共に ERSPAN Type II で カプセル化されます。
そのため、下記のようにカプセル化されているため、Inner Header を解析するためには、ERSPAN Type II と iVXLAN Header

を取り除く必要があります。
 

3. ERSPAN (Type I ) のデコード方法

Wireshark では ERSPAN Type II は自動でデコードされますが、 ERSPAN Type I は 自動でデコードされません。

その為、ERSPAN Type I の場合 (Tenant SPAN, Access SPAN) は Wireshark で 以下のように デコードする必要があります。

(2024/1/21 追記: Wireshark version 4.2.2 では ERSPAN Type I も自動でデコードされることを確認しています。また、下記のEdit > Preferences > Protocol > ERSPAN の設定項目もなくなっていることを確認しています。)

(1) Edit > Preferences を選択

(2) Protocols ▶ メニューを開く

(3) ERSPAN > FORCE to decode fake ERSPAN frame に チェックを入れて OK を押す。

(4) ERSPAN Header が取り除かれた Data が表示される。

4. iVXLANのデコード方法

iVXLAN はUDP Header (dst port: 48879) を デコードする必要があります。　

※ 3. で前述の通り、Fabric SPAN は ERSPAN Type II でカプセル化されていますが、Wireshark は自動でデコードして
　　くれるため iVXLAN の デコード のみ実施します。

(1) Wireshark の メニューから Analyze > Decode As... を選択

(2) 下記のように Field:UDP port, Value:48879, Current: VXLAN を選択して OK を押す

(3) iVXLAN Header が取り除かれた Inner Packet Data が表示される。

5. References

• SPAN 機能の基本設定と動作概要
• ACI SPANガイド