Nexus 9000 Ethanalyzer DHCP
-
Всем экспертам; Я хотел бы узнать, можно ли использовать Ethanalyzer для устранения неполадок DHCP. Клиент и сервер DHCP работают на машине VMware. Я не совсем понимаю, может ли Ethanalyzer отображать трафик DHCP. Если да, то я был бы признателен, если бы вы могли порекомендовать мне фильтр трафика, который я должен использовать. Я забыл упомянуть, что клиент и сервер работают на разных VRF, и для связи между VRF трафик проходит через брандмауэр. Я могу выполнить ping и traceroute DHCP-сервера с DHCP-клиента. Спасибо.
-
Хуан, Вы можете использовать «source vlan X» в сеансе мониторинга, однако обратите внимание, что когда VLAN установлен в качестве источника, вы будете видеть трафик только в одном направлении (
только входящий
). Я рекомендую вам установить интерфейсы источника в качестве физических интерфейсов, где, как вам известно, будет входить/выходить трафик клиента и сервера. Поскольку сеанс SPAN предназначен для SUP, я также рекомендую вам остановить сеанс мониторинга после завершения работы. Несмотря на то, что скорость ограничена 50 pps, лучше не отправлять трафик в SUP, если в этом нет необходимости. Чтобы ответить на ваш другой вопрос, «
sup-eth0» — это интерфейс SUP в полосе пропускания. Это позволяет реплицировать трафик плоскости данных в SUP, чтобы вы могли просматривать его с помощью Ethanalyzer. Надеюсь, это поможет! — Андреа - Андреа, CCIE #56739 R&S -
Здравствуйте, Ethanalyzer обычно предназначен только для трафика контрольной плоскости (трафик, направляемый на коммутатор или от него). Поскольку ваш DHCP-сервер и клиенты размещены на виртуальных машинах, трафик между ними технически классифицируется как трафик плоскости данных (трафик, проходящий через коммутатор). Однако в некоторых моделях Nexus 9000 есть несколько «хитростей», которые можно использовать для зеркалирования или SPAN-передачи трафика на уровне данных и просмотра его в Ethanalyzer. Не могли бы вы поделиться «show module» из вашего Nexus 9000? Как только я увижу, какую модель и NX-OS вы используете, я смогу дать вам лучший совет. Спасибо! - Андреа - Андреа, CCIE #56739 R&S
-
Привет, Андреа! Спасибо за ответ на мой вопрос. Вот результаты команды «show module» Порты модулей Тип модуля Модель
Статус--- ----- ------------------------------------- --------------------- ---------
1 54 48x10/25G + 6x40/100G Ethernet Module N9K-C93180YC-EX активен * Mod Sw Hw Slot---
1 7.0(3)I4(5) 2.0 NA Модель MAC-адрес(а)
Серийный номер--- -------------------------------------- ----------
1 f8-0b-cb-53-20-40 до f8-0b-cb-53-20-8f FDO21050JBH Модель Статус
онлайн-диагностики--- ------------------
1 Пройден * эта сессия терминала Спасибо; Хуан -
Привет, Хуан, Для Nexus 93180YC-EX есть встроенная опция для репликации трафика на уровне передачи данных и его просмотра в Ethanalyzer. Вот пример конфигурации: monitor session 1 description Support Example source interface port-channel1 both
destination interface sup-eth0 С помощью вышеуказанного я могу просматривать трафик, проходящий в/из Po1, с помощью Ethanalyzer. Фильтр, который вы ищете для DHCP, — «bootp». ethanalyzer local interface inband mirror display-filter bootp limit-c 0 Конечно, вы можете добавить дополнительные критерии в фильтр отображения, чтобы захват не был таким шумным; например: ethanalyzer local interface inband mirror display-filter "bootp && ip.addr==1.1.1.1" limit-c 0 Примечание: SPAN-пакеты, поступающие в CPU, имеют ограничение по скорости и отбрасываются в полосе пропускания. Вы можете изменить ограничение по скорости с помощью команды
hardware rate-limiter span
. Вы можете анализировать копии SPAN на супервизоре с помощью команды
ethanalyzer local interface inband mirror detail
. Надеюсь, это поможет. - Андреа - Андреа, CCIE #56739 R&S -
Привет, Андреа! Спасибо за быстрый ответ. У меня есть несколько вопросов: могу ли я использовать VLAN xx в сеансе мониторинга вместо физического интерфейса? Наш клиент и сервер DCHP определены как часть интерфейса VLAN. Является ли Port-channel1 в вашем примере подключением к серверу DHCP? Другой мой вопрос: нужно ли мне останавливать сеанс мониторинга или можно оставить конфигурацию мониторинга на Nexus? Еще раз спасибо. Хуан
-
Привет, Андреа! Извини, я забыл спросить, как используется интерфейс sup-eth0? Спасибо; Хуан
-
Спасибо, Андреа, я очень ценю ваши знания в этой области и ваши быстрые ответы.
-
Привет, сообщество, позвольте мне возобновить эту старую тему. Обходной способ для захвата пакетов DHCP на N9k у меня не работает. Я создал сеанс мониторинга для портов, к которым подключен сервер DHCP, с назначением SUP, а затем включил ethanalyzer с функцией зеркалирования, но я не вижу их поступления, и если что-то и отображается, то я получаю только DHCP Discoveries.
-
Создать новую запись лучше MHM
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти