- Cisco Community
- Comunidad de Cisco
- Networking (antes R&S)
- Documentos Routing y Switching
- Doc -Herramientas útiles para capturar tráfico en switches Catalyst 9K
- Suscribirse a un feed RSS
- Marcar como nuevo
- Marcar como leída
- Favorito
- Suscribir
- Página de impresión sencilla
- Informe de contenido inapropiado
- Suscribirse a un feed RSS
- Marcar como nuevo
- Marcar como leída
- Favorito
- Suscribir
- Página de impresión sencilla
- Informe de contenido inapropiado
el
05-15-2023
04:34 PM
- fecha de última edición
05-17-2023
11:53 PM
por
Jimena Saez
Presentación del webinar Community Live
Routing & Switching con Camilo Hernández y Gerardo Trejo.
¿Ha utilizado herramientas de captura de paquetes?¿Alguna vez ha usado RSPAN o ERSPAN? ¡Participe!
La captura de paquetes suele ser un paso muy importante para diagnosticar y resolver cualquier problema de red, especialmente en situaciones en las que sospechamos que los paquetes se están perdiendo en algún lugar de la red. También aplica por falta de alguna información importante en el paquete IP y queremos verificar el contenido de ese paquete en detalle. En esta sesión, cubrimos las diferentes herramientas de captura de paquetes disponibles en la ¿familia de productos Catalyst 9000. Explicamos cómo configurar estas herramientas y verificar su funcionamiento, junto con algunos escenarios de uso sobre cuándo es recomendable usar cada herramienta. El objetivo es acceder a un diagnóstico claro para alcanzar una resolución de problemas más eficaz.
Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias!
¿Cómo enviar una pregunta?
Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Estamos para ayudarles!
Lista de las Q&R del webinar Community Live
Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".
Lista de Preguntas y Respuestas Q&A
- Pregunta : ¿Cuál es el límite de tamaño de estos archivos? - Luis C. (min.19)
- Pregunta : EPC se puede usar para Interfaces Tunnel con VTI? - Rolando T. (min.23)
- Pregunta : Me pueden aclarar, ¿no se puede aclarar el tráfico de tunnel? ¿Qué procedimiento puedo usar para capturar el tráfico de tunnel? - Mirella C. (min.24)
- Pregunta : con DNA essentials, ¿se puede hacer este tipo de capturas? - Marlene (min.24)
- Pregunta : ¿Cómo se lleva la captura de paquetes con el tema de administrar los switches con el DNAC? - Rafael M. (min.25)
- Pregunta : ¿Puedo dar los comandos necesarios desde la CLI y no se "rompe" nada en el sincronismo con el DNAC? - Rafael M. (min.26)
- Pregunta : Hola, los comandos que se están presentando ¿están soportados en alguna versión IOS en especial? - Sonia P. (min.26)
- Pregunta : SPAN con paquetes encapsulados con 802.1Q y wireshark, ¿tienes ejemplos de capturas? - Percy V. (min.30)
- Pregunta : Quiero redireccionar con SPAN una vlan en específico, tanto para broadcast, multicast y unknown unicast.- Percy V. (min.33)
- Pregunta : ¿Dónde está su “access-group” TAC, tiene sólo las IPs de la red interna?- Percy V. (min.34)
- Pregunta : ¿El comando "filter ip" es solo exclusivo de los Catalyst 9000? quisiera saber si eso puede ser aplicado para 3560 con IOS 15.- Percy V. (min.35)
- Pregunta : encapsulation, native 802.1q.- Percy V. (min.37)
- Pregunta : ¿Con respecto a SPAN, no existe riesgo alguno en la CPU con una captura de tráfico de 10Gbps por ejemplo en un ambiente productivo? - Christian C. (min.40)
- Pregunta : La PC debe tener la capacidad de capturar Dot1q, sería bueno que lo haya presentado en una diapo...- Percy V. (min.40)
- Pregunta : ¿Para qué sirve la ingress vlan? - Víctor B. (min.41)
- Pregunta : ¿Esa VLAN para el RSPAN no es utilizable para PCs de usuarios? - Percy V. (min.44)
- Pregunta : ¿RSPAN se puede aplicar entre sitios diferentes si mi servidor de monitoreo está en el sitio central y el tráfico que quiero monitorear es una sucursal? - Rolando T. (min.45)
- Pregunta : ¿Qué pasa si no se escribe {rx | tx| both} ? - Hafit S. (min.48)
- Pregunta : ¿Se puede tener más de una instancia de RSPAN? - Aurelio Z. (min.49)
- Pregunta : ¿En RSPAN, es necesario configurar la VLAN REMOTA en las interfaces troncales entre switches? - Wilson S. (min.49)
- Pregunta : ¿Cuántas sesiones RSPAN simultaneas se pueden generar en un Cat 9k? - David A. (min.51)
- Pregunta : En 6500 no está el kw "encapsulation replicate". ¿Hay alguna manera de lograr ver los tags de dot1q para un SPAN de 6k? - José P. (min.51)
- Pregunta : ¿En el RSPAN, podemos cambiar el Encapsulation replicate? Lo tengo que hacer en ambos Switches (src switch y Dst switch). - Leandro M. (min.51)
- Pregunta : ¿La vlan 100 del ejemplo, es la vlan usada para transmitir tráfico en remoto, o es la vlan que queremos monitorear? - Víctor B. (min.52)
- Pregunta : ¿Qué tan recomendable es habilitar rapan en todos los sw de una red enterprise? - Octavio G. (min.52)
- Pregunta : en ERSPAN existe algún TTL o algo limitante que agote el tiempo de consulta de la captura? - Christian C. (min.57)
- Pregunta : ¿Los túneles GRE se levantan a través de algún puerto TCP/UDP específico? Esto en el caso que en la mitad tengamos equipos de seguridad como FW's y que requieran apertura de puertos específicos. - Wilson S. (min.58)
- Pregunta : ¿Qué opciones salen después de monitor session 1 type? - Víctor B. (min.59)
- Pregunta : ¿Qué tipo de licencia es la restricción? Creo que escuche algo sobre licencia. - Percy V. (min.59)
- Pregunta : ¿Qué nivel de licenciamiento se necesita para soportar ERSPAN? - Aurelio Z. (min.59)
- Pregunta : ¿ERSPAN funciona con túneles ipsec? - Raúl I. (min.60)
- Pregunta : ¿Tenemos tutorial? La parte práctica de la exposición. - Gustavo M. (min.62)
- Pregunta : ¿ERSPAN tiene algún rate limit de precaución para evitar saturación de los enlaces de paso? - Víctor B. (min.63)
- Pregunta : ¿Puede terminarse el ERSPAN destination session directamente en un computador con wireshark instalado? Para el caso de utilizar computadores virtuales sin conexión física a un Catalyst. - Fernando S. (min.63)
- Pregunta : ¿Sería importante un DEMO? - Gustavo M. (min.64)
- Pregunta : Tunnel up/down, como SPAN/RSPAN. - Percy V. (min.64)
- Pregunta : Volviendo a la captura EPC si configuro un buffer lineal y hago un export a la flash; cuando la captura llega a los 100 megas ¿se detiene o se van generando nuevos ficheros .pcap si hay espacio en la flash? - Toni (min.65)
- Pregunta : El MTU para captura de paquetes que pasan por un túnel IPsec con GRE debe variar, ¿verdad? - Percy V. (min.66)
- Pregunta : ¿ERSPAN tiene algún rate limit para no saturar enlaces intermedios? - Víctor B. (min.69)
- Pregunta : ¿Qué pasa si genero una sesión de RSPAN en los equipos o switches intermedios generando sesiones que tiene como fuente la misma vlan que se trabaja en el SW origen de la sesión de RSPAN? ¿Esto duplica el tráfico capturado? - Enrique I. (mi...
- Pregunta : En tu topología coloca los números de puerto, por ejemplo, el Gi1/0/6 y exactamente ¿dónde estás colocando la laptop para replicar el laboratorio, en el mismo SW ERSPAN_source? - Percy V. (min.70)
- Pregunta : ¿Cuál de los 4 es más recomendable para una infra con Cat9000? - Hafit S. (min.72)
- Pregunta : La laptop o máquina virtual a la que le envío el tráfico ERSPAN tiene conectividad a la red, es decir ¿puedo trabajar normalmente mientras hago la captura? - Julio M. (min.73)
- Pregunta : ¿ERSPAN puede ser usado para soporte de VM? - Joel A. (min.73)
- Pregunta : ¿Se puede encriptar esta replicación? - Rolando T. (min.74)
- Pregunta : ¿En que modelos de switches o versión IOS esta soportado ERSPAN? - Fermín A. (min.75)
- Pregunta : En el último caso del ERSPAN, ¿tuvieron que crear el otro extremo del GRE en la laptop, o cómo se configuró en el lado de la laptop? - Alberto R. (min.75)
- Pregunta : ¿Cómo se configura la PC como ERSPAN? Joel A. (min.75)
- Pregunta : Me refiero a tu topología y tu laboratorio, ¿cómo simulaste una conexión remota, es el SW ERSPAN y has conectado a otro SW o un router? Es necesario que coloquen las interfaces específicas para que nosotros podamos hacer el lab. - Percy V....
- Pregunta : ¿Tienes un ejemplo para IPv6 en ERSPAN? - Percy V. (min.76)
- Pregunta : En DCLOUD ¿se puede hacer pruebas de EPC, SPAN, RSPAN y ERSPAN? - Pablo Q. (min76)
- Pregunta : ¿Qué tan confiable es ERSPAN? considerando los múltiples factores de transporte (ISP, International ISP, Cloud, etc.). - Christian C. (min.76)
- Pregunta : ¿Podemos configurar RSPAN en un fabric sd-access? - Wilson S. (min.76)
- Pregunta : ¿ERSPAN se puede capturar a través de FW para llegue a un destino en un usuario en VPN? - Nicolás S. (min.77)
- Pregunta : Claro es que ese "tunnel" ERSPAN sólo necesita una dirección IPv4 o IPv6, o sea que alcances al destino, en este caso la laptop. - Percy V. (min.78)
- Pregunta : ¿Los switches Nexus soportan RSPAN / ERSPAN? - Marlene (min.79)
- Pregunta : ¿Para que sirve la ingress VLAN? - Víctor B. (min.37)
- Pregunta : ¿Se puede combinar rspan con erspan? - Germán C. (min.74)
- Pregunta : ¿En dónde se guardan estos datos de captura? - Kenny Ch. (min 76)
- Pregunta : ¿Se pueden capturar en jumboframe? - Liberth T. (min.77)
- Pregunta : ¿En dónde se guardan estos datos de captura? - Walter M. (min.77)
- Pregunta : ¿ERSPAN se puede capturar a través de FW para llegue a un destino en un usuario en VPN? - Nicolás S. (min.77)
- Pregunta : En Nexus VXLAN no podemos hacer ERSPAN. ¿Qué opción hay para este caso? Lo dice este documento: https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus9000/sw/92x/system-management/b-cisco-nexus-9000-series-nx-os-system-management-...
Pregunta : ¿Cuál es el límite de tamaño de estos archivos? - Luis C. (min.19)
Gerardo Trejo (Cisco) El tamaño por default es de 10 Megas, sin embargo, hay un método que se usa para crear el archivo en la flash y que el tamaño de la captura en ese método dependerá del espacio en la flash del switch Luis Antonio Gil (Cisco) El límite de tamaño de estos archivos es de 100 MB.
Pregunta : EPC se puede usar para Interfaces Tunnel con VTI? - Rolando T. (min.23)
Luis Antonio Gil (Cisco): Desafortunadamente no. No está soportada la captura en ese tipo de interfaces. El siguiente enlace permite verificar en que interfaces está soportada la captura usando EPC. https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-6/configuration_guide/nmgmt/b_176_nmgmt_9300_cg/configuring_packet_capture.html#id_136274
Pregunta : Me pueden aclarar, ¿no se puede aclarar el tráfico de tunnel? ¿Qué procedimiento puedo usar para capturar el tráfico de tunnel? - Mirella C. (min.24)
(en espera)
Pregunta : con DNA essentials, ¿se puede hacer este tipo de capturas? - Marlene (min.24)
Luis Antonio Gil (Cisco): No, se necesita Cisco DNA Advantage para poder usar Wireshark en el Switch. Esta información se encuentra en la tabla 16.
https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-9300-series-switches/nb-06-cat9300-ser-data-sheet-cte-en.html
Pregunta : ¿Cómo se lleva la captura de paquetes con el tema de administrar los switches con el DNAC? - Rafael M. (min.25)
Aaron Cespedes (Cisco): Puedes realizar las capturas/configurarlas desde el CLI del switch. Al final de las pruebas/capturas, únicamente remueve la configuración de SPAN/EPC/RSPAN/ERSPAN y no tendrás problemas.
Luis Antonio Gil (Cisco): Durante esta presentación solo se cubrirán estos métodos de captura desde el CLI, ya que es el enfoque principal de este webinar.
Pregunta : ¿Puedo dar los comandos necesarios desde la CLI y no se "rompe" nada en el sincronismo con el DNAC? - Rafael M. (min.26)
Luis Antonio Gil (Cisco): Así es, es correcto. Ya que estos comandos para la captura no hacen parte de la configuración del equipo. Estos comandos se aplican desde Privilege Exec mode y no afectan el running-config, tampoco al start-up config.
Aaron Cespedes (Cisco): Sí, puedes configurar el EPC/SPAN/RSPAN/ERSPAN desde el CLI del switch. Es importante que al final del troubleshooting del problema que estés resolviendo, se remueva la configuración que pusiste en los switches y no tendrás problemas.
Pregunta : Hola, los comandos que se están presentando ¿están soportados en alguna versión IOS en especial? - Sonia P. (min.26)
Aaron Cespedes (Cisco): EPC se soporta en versiones IOS-XE, ejemplo: 16.x.x, 17.x.x. Hay cosas o mejoras que se añaden en versiones recientes, hay que tomar esto en cuenta.
Luis Antonio Gil (Cisco): Como mencionaba Aaron, EPC se soporta en versiones IOS-XE, en general si su equipo está usando IOS-XE 17.3.X o 17.6.X ya tendría incluidas las mejores de versiones recientes.
Pregunta : SPAN con paquetes encapsulados con 802.1Q y wireshark, ¿tienes ejemplos de capturas? - Percy V. (min.30)
Aaron Cespedes (Cisco): Esto depende de la NIC del dispositivo en donde estés enviando el tráfico. Comúnmente usamos PCs normales y estas NICs no entienden dot1q y por ende no veremos este header en la captura wireshark Luis Antonio Gil (Cisco): Como mencionaba Aaron, depende mucho del sistema operativo del PC que se use para la captura. En la presentación está incluido un enlace a Wireshark con más detalles para cada SO.
Pregunta : Quiero redireccionar con SPAN una vlan en específico, tanto para broadcast, multicast y unknown unicast. - Percy V. (min.33)
Luis Antonio Gil (Cisco): Si es posible, se podría hacer con un SPAN usando como source un vlan-id (vlan en capa 2)
Pregunta : ¿Dónde está su “access-group” TAC, tiene sólo las IPs de la red interna? - Percy V. (min.34)
Luis Antonio Gil (Cisco): La ACL TAC se define desde la configuración global y tendría las IPs del tráfico de interés para la captura.
Pregunta : ¿El comando "filter ip" es solo exclusivo de los Catalyst 9000? quisiera saber si eso puede ser aplicado para 3560 con IOS 15. - Percy V. (min.35)
Luis Antonio Gil (Cisco): Para un SPAN en un C3560 con IOS, el "filter ip" permite filtrar sólo por vlan. (vlan en capa 2)
Pregunta : encapsulation, native 802.1q . - Percy V. (min.37)
Luis Antonio Gil (Cisco): El comando encapsulation replicate si estaría soportado en el C3560.
Pregunta : ¿Con respecto a SPAN, no existe riesgo alguno en la CPU con una captura de tráfico de 10Gbps por ejemplo en un ambiente productivo? - Christian C. (min.40)
Camilo Hernandez (Cisco): No existe riego alguno con SPAN en referencia a CPU, dado que SPAN es un procedimiento de "hardware". Es importante aclarar que existe riesgo con otro tipo de tráfico replicado (como Multicast). Pero no la CPU.
Luis Antonio Gil (Cisco): No, ya que el SPAN no ocurre en CPU. El SPAN ocurre en el ASIC directamente en Hardware.
Pregunta : La PC debe tener la capacidad de capturar Dot1q, sería bueno que lo haya presentado en una diapo... - Percy V. (min.40)
Luis Antonio Gil (Cisco): En la presentación está incluido un enlace a Wireshark donde se dan algunas recomendaciones para los sistemas operativos más populares para habilitar la capacidad de captura de paquetes con 802.1Q tags.
Pregunta : ¿Para qué sirve la ingress vlan? - Víctor B. (min.41)
Luis Antonio Gil (Cisco): La ingress vlan permite el reenvío de tráfico entrante en el puerto de destino de SPAN hacia la vlan que se especifica.
Pregunta : ¿Esa VLAN para el RSPAN no es utilizable para PCs de usuarios? - Percy V. (min.44)
Luis Antonio Gil (Cisco): Es correcto, la vlan que se use para RSPAN no debe de usarse para tráfico de usuarios y debe de permitirse únicamente en las troncales que se usarían para transportar el tráfico de RSPAN. Esto con la finalidad de evitar traffic flooding en la red.
Pregunta : ¿RSPAN se puede aplicar entre sitios diferentes si mi servidor de monitoreo está en el sitio central y el tráfico que quiero monitorear es una sucursal? - Rolando T. (min.45)
Camilo Hernandez (Cisco): RSPAN es una herramienta de Capa 2. Por lo tanto, si los sitios remotos están conectados por una extensión de Capa 2, como VPLS, L2VXLAN, o OTV, es posible. En caso de que la WAN sea de Capa3, ERSPAN es una mejor opción que RSPAN.
Pregunta : ¿Qué pasa si no se escribe {rx | tx| both} ? - Hafit S. (min.48)
Luis Antonio Gil (Cisco): En ese caso se toma por defecto la opción de both.
Pregunta : ¿Se puede tener más de una instancia de RSPAN? - Aurelio Z. (min.49)
Gerardo Trejo (Cisco): Se pueden tener varias sesiones de RSPAN, el límite dependerá de cada plataforma, por lo que es sugerido revisar la guía de configuración y que se puede tener implementado una combinación, ejemplo varias sesiones de SPAN, RPSAN e ERSPAN al mismo tiempo.
Pregunta : ¿En RSPAN, es necesario configurar la VLAN REMOTA en las interfaces troncales entre switches? - Wilson S. (min.49)
Camilo Hernandez (Cisco): Sí, es importante que TODOS los switches intermediaros tengan VLAN definida como remote. La VLAN remote es una VLAN especial. No aprende MAC addresses, no utiliza STP y no puede ser configurada en Access ports. En caso de que los switches intermedios no tengan la VLAN definidas como remotas, puedes tener problemas de L2 loops.
Pregunta : ¿Cuántas sesiones RSPAN simultaneas se pueden generar en un Cat 9k? - David A. (min.51)
Camilo Hernandez (Cisco): Todos los switches Catalyst soportan máximo 8 sesiones de SPAN simultaneas.
Pregunta : En 6500 no está el kw "encapsulation replicate". ¿Hay alguna manera de lograr ver los tags de dot1q para un SPAN de 6k? - José P. (min.51)
Camilo Hernandez (Cisco): No, por definición RSPAN usa dot1qTags y bloquea protocolos capa 2 (esto debido a que RSPAN debe imponer su tag a los paquetes). No se puede usar Encapsulation Replicate, sin embargo, para tu caso ERSPAN funcionaría perfecto (sí mantiene los dot1Q tags!)
Hay otra opción en C6500 usar capturas VACL: https://www.cisco.com/c/es_mx/support/docs/lan-switching/vlan-access-lists-vacls/89962-vacl-capture.html#adv
Pregunta : ¿En el RSPAN, podemos cambiar el Encapsulation replicate? Lo tengo que hacer en ambos Switches (src switch y Dst switch). - Leandro M. (min.51)
Camilo Hernandez (Cisco): No, por definición RSPAN usa dot1qTags y bloquea protocolos capa 2 (esto debido a que RSPAN debe imponer su tag a los paquetes). No se puede usar Encapsulation Replicat, sin embargo, para tu caso ERSPAN funcionaría perfecto (sí mantiene los dot1Q tags!)
Pregunta : ¿La vlan 100 del ejemplo, es la vlan usada para transmitir tráfico en remoto, o es la vlan que queremos monitorear? - Víctor B. (min.52)
Gerardo Trejo (Cisco): En el ejemplo esa vlan es la que servirá de transporte para enviar el tráfico que deseamos monitorear.
Pregunta : ¿Qué tan recomendable es habilitar rapan en todos los sw de una red enterprise? - Octavio G. (min.52)
Camilo Hernandez (Cisco): No es muy recomendable. La VLAN de Remote SPAN es una VLAN especial que no aprende MACs, y no usa STP. Funciona haciendo flood a todos los puertos trunks. Si se habilitan en todos los switches, es posible que se sobre utilicen los trunks por esta VLAN. Es recomendado habilitar RSPAN solo en el camino desde origen a destino, para evitar flood de tráfico innecesario.
Pregunta : en ERSPAN existe algún TTL o algo limitante que agote el tiempo de consulta de la captura? - Christian C. (min.57)
Luis Antonio Gil (Cisco): No, se usaría el mismo TTL para un paquete IPv4 con GRE encapsulation, que generalmente dependiendo del SO puede variar en valores conocidos como 64, 128, 255.
Pregunta : ¿Los túneles GRE se levantan a través de algún puerto TCP/UDP específico? Esto en el caso que en la mitad tengamos equipos de seguridad como FW's y que requieran apertura de puertos específicos. - Wilson S. (min.58)
Camilo Hernandez (Cisco): El tunnel GRE es un paquete IPv4 puro, no tienen encapsulación TCP ni UDP. Con tal de que el protocolo de GRE (Protocolo IP 47) esté permitido debería ser suficiente. No requiere apertura de puertos.
Pregunta : ¿Qué opciones salen después de monitor session 1 type? - Víctor B. (min.59)
Luis Antonio Gil (Cisco): Veríamos las opciones "erspan-source" y "erspan-destination".
Pregunta : ¿Qué tipo de licencia es la restricción? Creo que escuche algo sobre licencia. - Percy V. (min.59)
Luis Antonio Gil (Cisco): Cisco DNA Advantage, para poder usar ERSPAN.
Pregunta : ¿Qué nivel de licenciamiento se necesita para soportar ERSPAN? - Aurelio Z. (min.59)
Luis Antonio Gil (Cisco): Cisco DNA Advantage.
Pregunta : ¿ERSPAN funciona con túneles ipsec? - Raúl I. (min.60)
Camilo Hernandez (Cisco): ERSPAN en un switch como tal no funciona con encriptación. Es un túnel GRE puro, sin ningún crypto. Sin embargo, si más arriba en algún router o FW se realiza el túnel IPSEC, no debería haber conflicto con este paquete. Es como cualquier otro paquete IPV4. Solo para tener en cuenta, el MTU.
Pregunta : ¿Tenemos tutorial? La parte práctica de la exposición. - Gustavo M. (min.62)
Luis Antonio Gil (Cisco): Justo ahora Gerardo nos muestra un ejemplo en el LAB.
Pregunta : ¿ERSPAN tiene algún rate limit de precaución para evitar saturación de los enlaces de paso? - Víctor B. (min.63)
Luis Antonio Gil (Cisco): No, no hay límite definido. Al hacer SPAN/RSPAN/ERSPAN siempre se debe de tratar de limitar el tráfico de interés lo más posible.
Pregunta : ¿Puede terminarse el ERSPAN destination session directamente en un computador con wireshark instalado? Para el caso de utilizar computadores virtuales sin conexión física a un Catalyst. - Fernando S. (min.63)
Camilo Hernandez (Cisco): ¡Sí! Presentamos un laboratorio de esto más adelante. ¡Es un muy buen truco!
Pregunta : ¿Sería importante un DEMO? - Gustavo M. (min.64)
Camilo Hernandez (Cisco): Realizamos un pequeño demo sobre ERSPAN al final de la sesión. Mostramos un truco para usar ERSPAN a una PC.
Pregunta : Tunnel up/down, como SPAN/RSPAN. - Percy V. (min.64)
Luis Antonio Gil (Cisco): Correcto, el Tunnel se verá como up/down al usar ERSPAN, justo como lo está mostrando Gerardo en este momento.
Pregunta : Volviendo a la captura EPC si configuro un buffer lineal y hago un export a la flash; cuando la captura llega a los 100 megas ¿se detiene o se van generando nuevos ficheros .pcap si hay espacio en la flash? - Toni (min.65)
Aaron Cespedes (Cisco): Al llegar a los 100Mb, la captura se detiene de manera automática. Y no se generan o se siguen generando files. Se detiene y para activarla hay que inicializarla con switch# mon cap start.
Camilo Hernandez (Cisco): Con captura linear, se detienen las capturas. no se guardan nuevos paquetes. Sin embargo, usando la flash: como destino, es posible hacer un buffer de varios paquetes. Es un método más complejo, por lo que no lo cubrimos, pero es enteramente posible.
Pregunta : El MTU para captura de paquetes que pasan por un túnel IPsec con GRE debe variar, ¿verdad? - Percy V. (min.66)
Luis Antonio Gil (Cisco): Sí, de preferencia se debe de usar el mayor MTU soportado en los enlaces desde el source hasta el destination, esto para evitar fragmentación de los paquetes de GRE.
Pregunta : ¿ERSPAN tiene algún rate limit para no saturar enlaces intermedios? - Víctor B. (min.69)
Luis Antonio Gil (Cisco): No, ya que la encapsulación en GRE se realiza en Hardware. Por lo que es recomendable siempre limitar el tráfico de interés lo más posible.
Pregunta : ¿Qué pasa si genero una sesión de RSPAN en los equipos o switches intermedios generando sesiones que tiene como fuente la misma vlan que se trabaja en el SW origen de la sesión de RSPAN? ¿Esto duplica el tráfico capturado? - Enrique I. (min.70)
Camilo Hernandez (Cisco): Localmente en un switch la VLAN configurada como "remote vlan" es limitada. No se puede configurar en puertos, ni en RSPAN, ni usa la MAC table, ni utiliza STP. Es una VLAN especial. Sin embargo, si en el switch intermedio decides hacer un RSPAN a la VLAN RSPAN (y no la tienes configurada como "remote vlan"), sí sería posible, y en efecto causaría duplicado. Esto puede causar problemas de loop o congestión. No es una configuración recomendada.
Pregunta : En tu topología coloca los números de puerto, por ejemplo, el Gi1/0/6 y exactamente ¿dónde estás colocando la laptop para replicar el laboratorio, en el mismo SW ERSPAN_source? - Percy V. (min.70)
Camilo Hernandez (Cisco): No, aquí el truco es que la PC está en otro sitio, no directamente conectado al switch. Pero al ser alcanzable por IP, se puede hacer el ERSPAN directo a la PC (no hay necesidad de moverse con una laptop y llegar a conectarlo directo al Destino).
Pregunta : ¿Cuál de los 4 es más recomendable para una infra con Cat9000? - Hafit S. (min.72)
Gerardo Trejo (Cisco): Los 4 modelos de SPAN son útiles, aquí depende cual es el requerimiento o cual será el uso del SPAN, con esto nos referimos si quieres hacer un EPC para capturar tráfico local pero no dejarla permanente este te seria de ayuda, al contrario de SPAN/RSPAN/ERSPAN que podrías dejarlo corriendo permanente monitoreando tráfico, de una interface/s, una Vlan/s etc. Pero SPAN solo es cuando tienes el tráfico que quieres monitorear al contrario de los otros dos métodos.
Pregunta : La laptop o máquina virtual a la que le envío el tráfico ERSPAN tiene conectividad a la red, es decir ¿puedo trabajar normalmente mientras hago la captura? - Julio M. (min.73)
Luis Antonio Gil (Cisco): Así es, es correcto.
Pregunta : ¿ERSPAN puede ser usado para soporte de VM? - Joel A. (min.73)
Luis Antonio Gil (Cisco): Una VM puede recibir el tráfico de ERSPAN ya que ese tráfico es IPv4 y GRE. Si la VM tiene Wireshark entonces puede recibir el tráfico.
Pregunta : ¿Se puede encriptar esta replicación? - Rolando T. (min.74)
Luis Antonio Gil (Cisco): Como mencionaba Camilo, no se encripta en tráfico ya que es encapsulado solo en GRE. Sin embargo, otro equipo en la red puede tomar ese tráfico GRE y puede encriptarlo.
Pregunta : ¿En que modelos de switches o versión IOS esta soportado ERSPAN? - Fermín A. (min.75)
Luis Antonio Gil (Cisco) Catalyst 9000 Switches (9300,9400,9500,9600) con versiones IOS-XE 16.X y 17.X, de preferencia con las últimas versiones 17.3.X y 17.6.X.
Pregunta : En el último caso del ERSPAN, ¿tuvieron que crear el otro extremo del GRE en la laptop, o cómo se configuró en el lado de la laptop? - Alberto R. (min.75)
Luis Antonio Gil (Cisco): La PC sólo necesitaría tener Wireshark abierto y ser receptor de los paquetes que envía el ERSPAN source.
Pregunta : ¿Cómo se configura la PC como ERSPAN? Joel A. (min.75)
Luis Antonio Gil (Cisco): La PC sólo necesitaría tener Wireshark abierto y ser receptor de los paquetes que envía el ERSPAN source.
Pregunta : Me refiero a tu topología y tu laboratorio, ¿cómo simulaste una conexión remota, es el SW ERSPAN y has conectado a otro SW o un router? Es necesario que coloquen las interfaces específicas para que nosotros podamos hacer el lab. - Percy V. (min.75)
Gerardo Trejo (Cisco): La conexión se realizó de un Switch C9300 como origen, se crearon 2 SVIs una con el segmento 172.168.1.x y una con 192.168.1.x mascara 24, La laptop tiene en la sección de configuración de los Network Settings, la IP 192.168.1.x /24 esto quiere decir que no importa la IP que se utilice, solo que se tenga conectividad de la PC hacia el Switch y en este caso el switch ya realiza un intervlan routing o pueden utilizar algún método de ruteo.
Pregunta : ¿Tienes un ejemplo para IPv6 en ERSPAN? - Percy V. (min.76)
Gerardo Trejo (Cisco): La configuración es la misma, solo cumpliendo el requisito de tener conectividad entre tus segmentos de red, también es necesario configurar “ipv6 unicast-routing" para que la comunicación de L3 se realice
Pregunta : En DCLOUD ¿se puede hacer pruebas de EPC, SPAN, RSPAN y ERSPAN? - Pablo Q. (min76)
Gerardo Trejo (Cisco): Si usan IOS-XE es posible que puedan utilizar estos métodos de SPAN, lo sugerido es revisar que versión de IOS utiliza y modelo del Hardware porque el EPC depende completamente del dispositivo. Te comparto un link que menciona la función de EPC, https://www.cisco.com/c/es_mx/support/docs/ios-nx-os-software/ios-embedded-packet-capture/116045-productconfig-epc-00.html
Pregunta : ¿Qué tan confiable es ERSPAN? considerando los múltiples factores de transporte (ISP, International ISP, Cloud, etc.). - Christian C. (min.76)
Gerardo Trejo (Cisco): Es muy confiable, porque el GRE tunnel no le afecta el ISP, CLOUD etc. Para este modelo de SPAN es como si fuera un vecino directamente conectado
Pregunta : ¿Podemos configurar RSPAN en un fabric sd-access? - Wilson S. (min.76)
Gerardo Trejo (Cisco): Si es posible, te comparto la guía oficial donde puedes encontrar como se realiza, que básicamente es el mismo método que mostramos.
https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/dna-traffic-appliance/command_reference/b_cisco_dna_traffic_telemetry_appliance_command_reference/m_operating-with-cisco-dna-center.pdf
Pregunta : ¿ERSPAN se puede capturar a través de FW para llegue a un destino en un usuario en VPN? - Nicolás S. (min.77)
(en espera)
Pregunta : Claro es que ese "tunnel" ERSPAN sólo necesita una dirección IPv4 o IPv6, o sea que alcances al destino, en este caso la laptop. - Percy V. (min.78)
Gerardo Trejo (Cisco): Como menciono Percy, únicamente es un medio de transporte el GRE tunnel que genera el ERSPAN, por lo que, si podrías capturar ese tráfico, y sólo tener permitido la IP del GRE tunnel del ERSPAN en el FW para que no bloquee ese tráfico.
Pregunta : ¿Los switches Nexus soportan RSPAN / ERSPAN? - Marlene (min.79)
Alejandro Avila (Cisco): Sí Marlene, Nexus Soportan ERSPAN, las limitaciones van a variar de que tipo de Nexus.
Preguntas del panel del CHAT
Pregunta : ¿Para que sirve la ingress VLAN? - Víctor B. (min.37)
Gerardo Trejo (Cisco): Es para monitorear el tráfico que no tiene tag, como por ejemplo lo que recibimos de una vlan nativa.
Pregunta : ¿Se puede combinar rspan con erspan? - Germán C. (min.74)
Gerardo Trejo (Cisco): Sí, se pueden combinar usando todos los métodos en un mismo switch, ejemplo si quieres usar EPC, SPAN, RSPAN y ERSPAN al mismo tiempo en un switch es posible, sólo hay que considerar las limitaciones de la plataforma al número de sesiones de monitoreo permitidas.
Pregunta : ¿En dónde se guardan estos datos de captura? - Kenny Ch. (min 76)
Gerardo Trejo (Cisco): La EPC se guarda en un buffer del switch, internamente tiene un espacio dedicado para esto, los demás métodos no guardan ningún tipo de datos, solo hacen una copia y la envían al destino. Ya sería cosa de recolectar esa información con un dispositivo como una laptop con Wireshark, y guardar esa información localmente en el device.
Pregunta : ¿Se pueden capturar en jumboframe? - Liberth T. (min.77)
Gerardo Trejo (Cisco): Sí se puede, únicamente sería tener utilizando el MTU alto, de lo contrario tendremos fragmentación.
Pregunta : ¿En dónde se guardan estos datos de captura? - Walter M. (min.77)
Gerardo Trejo (Cisco): Si es una EPC local en el switch en el buffer, de lo contrario todos los demás métodos sólo son en el device destino.
Pregunta : ¿ERSPAN se puede capturar a través de FW para llegue a un destino en un usuario en VPN? - Nicolás S. (min.77)
Gerardo Trejo (Cisco): Sí, lo único seria que las IPs del tunnel GRE que genera el ERSPAN, estén permitidas en el FW.
Pregunta : En Nexus VXLAN no podemos hacer ERSPAN. ¿Qué opción hay para este caso? Lo dice este documento: https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus9000/sw/92x/system-management/b-cisco-nexus-9000-series-nx-os-system-management-configuration-guide-92x/b-cisco-nexus-9000-series-nx-os-system-management-configuration-guide-92x_chapter_0... ERSPAN is not supported over a VXLAN overlay - Planchez (min.78)
Gerardo Trejo (Cisco): Esta limitante es por el método que se usa para replicar el tráfico, ya que VxLAN usa un encapsulamiento y sería como tener doble encapsulamiento. Por lo que la opción que se podría utilizar es SPAN. Este documento lo menciona, pero tiene algunas restricciones, por lo que sugiero revisarlas. https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus9000/sw/6-x/system_management/configuration/guide/b_Cisco_Nexus_9000_Series_NX-OS_System_Management_Configuration_Guide/sm_14span.html
Para obtener más información, visite nuestros foros de discusión de Routing y Switching.
Si tiene preguntas o tiene problemas técnicos con los productos de Cisco, haga clic aquí para obtener información adicional sin cargo. Visite la página de la Comunidad de Cisco.
- Marcar como leída
- Marcar como nuevo
- Favorito
- Resaltar
- Imprimir
- Informe de contenido inapropiado
Muchas gracias por la presentación. Temas muy IMPORTANTES!!!
¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.
Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:
Navegue y encuentre contenido personalizado de la comunidad