Cisco 1000v - vempkt czyli zdalny wireshark.

Kolejne przygody z wirtualnym switchem Nexus 1000v uświadamiają mnie, że Cisco coraz częściej zaczyna dodawać coraz to ciekawsze narzędzia do swoich produktów. Przykładem takiego narzędzia jest vempkt. 

zapożyczone z http://networkstatic.net/

Narzędzie to jest dostarczane podczas instalacji moduły VEM na ESXi. Funkcjonalnością vempkt przypomina tcpdump lub według niektórych mechanizm sesji SPAN dostępnych na przełącznikach Cisco. 

Jak zacząć zabawę z vempkt? 

Zakładając, że mamy skonfigurowany switch Nexus 1000v musimy jeszcze odblokować możliwość logowania się do ESXi za pomocą protokołu SSH (przykładowy opis: dokumentacja vmware). 

Po zalogowaniu się na hosta musimy zidentyfikować numer interfejsu, który chcemy podsłuchać (LTL -  Local Target Logic) i numeru vlan, który nas interesuje. 

Przydatne komendy: 

• vempkt show info - listuje wszystkie LTL wraz z opisem maszyn, które są zarejestrowane na danym hoście oraz interfejsy nexusa lub portchannel
• vemcmd show port vlans - listuje porty wraz z numerami vlanów, które są przypisane

Po skompletowaniu wszystkich niezębnych informacji na temat interfejsu, który nas interesuje możemy przystąpić do łapania ruchu:

1. vempkt capture [ingress | egress | drop| all stages] ltl [id] vlan [nr] -  uwaga w niektórych wersjach vem, niezależnie od wybranego typu ruchu  vempkt łapie ruch każdego typu (all stages).
2. vempkt show capture info -  wyświetla reguły filtra, który zdefiniowaliśmy w poprzednim kroku.
3. vempkt start -  uruchamiamy pluskwę
4. vempkt stop -  zatrzymujemy pluskwę;)
5. vempkt show info -  komenda przydaje się do wyświetlenia statystyk na temat zebranego ruchu. 
6. vempkt pcap export file_name.pcap - zapisujemy złapany ruch w formacie PCAP do pliku file_name.pcap, który potem możemy zaimportować do Wiresharka. 
7. vempkt clear - czyścimy zdefiniowane ustawienia.  
8. scp [email protected]:/root/file_name.pcap . -  zrzucamy pcap na lokalny komputer w celu dalszej analizy. 

Przypadki użycia? 

1. Weryfikacja czy ruch przechodzi przez reguły zdefiniowane na VSG 
2. Złapanie ruchu na interfejsie wejściowym do ESXi
3. Analiza ruchu, który zostaje dostarczony do hosta  bez potrzeby logowania się na docelową maszynę wirtualną. 
4. Sprawdzenie czy ruch przechodzi przez sieć szkieletową mając dostęp tylko do serwerów ESXi ( głównie administratorzy VMware w dużych firmach) 

Drobne uwagi? 

• Jeśli chcemy przechwycić ruch wychodzący lub wchodzący do maszyny wirtualnej , która działa w klastrze VMware,  musimy wiedzieć na którym hoście się ona znajduje. 
• Automatyczny DR może nam czasem popsuć łapanie ruchu:)
• Czasem trzeba zwiększyć wielkość łapanego pakietu za pomocą  vempkt size [mtu size]
• W celu szybkiej analizy pakiety można też zrzucić do pliku txt zamiast pcap: vempkt display detail all > name_file.txt