<div dir="ltr">You're right man.<div><br></div><div>Look:</div><div><a href="http://cciedatacentre.blogspot.com.br/2013/01/faq-port-mirroring-span-on-nexus-2000.html?showComment=1396442241302#c2961264369530329984">http://cciedatacentre.blogspot.com.br/2013/01/faq-port-mirroring-span-on-nexus-2000.html?showComment=1396442241302#c2961264369530329984</a><br>
</div><div><br></div><div><br></div><div>Many thanks to all</div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2014-04-01 17:25 GMT-03:00 Mike Hale <span dir="ltr"><<a href="mailto:eyeronic.design@...11827..." target="_blank">eyeronic.design@...11827...</a>></span>:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">There's your problem.  Cisco uses an additional datacenter Ethernet tag (I think that's the correct term) that is also present in span traffic.  I haven't found a way to get those packets properly decoded yet, unfortunately.</p>


<p dir="ltr">The only work around is to span physical interfaces that don't carry vpc traffic.  Spaning vlans doesn't work properly. </p><div class="HOEnZb"><div class="h5">
<div class="gmail_quote">On Apr 1, 2014 12:15 PM, "Fernando Cardoso" <<a href="mailto:fcardoso@...14432..." target="_blank">fcardoso@...14432...</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr">Hey Mike,<div><br></div><div>Yes, our switches are configured with VPC.<br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2014-04-01 11:54 GMT-03:00 Mike Hale <span dir="ltr"><<a href="mailto:eyeronic.design@...11827..." target="_blank">eyeronic.design@...11827...</a>></span>:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Are your Nexus switches configured with vpc?  </p>
<div class="gmail_quote"><div><div>On Apr 1, 2014 7:51 AM, "Fernando Cardoso" <<a href="mailto:fcardoso@...14432..." target="_blank">fcardoso@...14432...</a>> wrote:<br type="attribution"></div></div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>
<div dir="ltr">Thanks Carter,<div><br></div><div>So I need to solve the Malformed packets first, have any Idea about this issue? My span configuration its seem ok and my OS too, I'll looking for any misconfiguration between switch and OS (virtual machine.).</div>




<div><br></div><div><br></div><div>Fernando C></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2014-04-01 10:13 GMT-03:00 Carter Waxman (cwaxman) <span dir="ltr"><<a href="mailto:cwaxman@...979...589..." target="_blank">cwaxman@...589...</a>></span>:<br>




<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div style="font-size:14px;font-family:Calibri,sans-serif;word-wrap:break-word">
<div>Hello,</div>
<div><br>
</div>
<div>It appears most of the packets in "notdecoded.pcap" are malformed (in particular, the IP->GRE->IP data), and the output you are seeing is from GRE-encapsulated non-IP data (at least this is how Wireshark and Snort interpret it). The packets that are malformed
 are simply being dropped by Snort.</div>
<div><br>
</div>
<div>I can't speak for your network, but somehow the length fields in the outer IP headers are smaller than they should be(ex. 87 —the length without the GRE and inner ethernet headers — instead of 115 for the first packet), which is why these packets are being
 rejected.</div>
<div><br>
</div>
<div>-Carter</div>
<div><br>
</div>
<span>
<div style="border-right:medium none;padding-right:0in;padding-left:0in;padding-top:3pt;text-align:left;font-size:11pt;border-bottom:medium none;font-family:Calibri;border-top:#b5c4df 1pt solid;padding-bottom:0in;border-left:medium none">





<span style="font-weight:bold">From: </span>"Russ Combs (rucombs)" <<a href="mailto:rucombs@...589..." target="_blank">rucombs@...15110...89...</a>><br>
<span style="font-weight:bold">Date: </span>Monday, March 31, 2014 11:40 AM<br>
<span style="font-weight:bold">To: </span>Fernando Cardoso <<a href="mailto:fcardoso@...14432..." target="_blank">fcardoso@...14432...</a>>, "<a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a>" <<a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@...2987...rge.net</a>><br>





<span style="font-weight:bold">Subject: </span>Re: [Snort-users] ERSPAN<br>
</div><div><div>
<div><br>
</div>
<div dir="ltr">
<div>
<div style="direction:ltr;font-size:10pt;font-family:Tahoma">Can you send a pcap?<br>
<div style="font-size:16px;font-family:Times New Roman">
<hr>
<div style="direction:ltr"><font color="#000000" face="Tahoma"><b>From:</b> Fernando Cardoso [<a href="mailto:fcardoso@...14432..." target="_blank">fcardoso@...14432...</a>]<br>
<b>Sent:</b> Friday, March 28, 2014 11:00 AM<br>
<b>To:</b> <a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> [Snort-users] ERSPAN<br>
</font><br>
</div>
<div></div>
<div>
<div dir="ltr">Hello,
<div><br>
</div>
<div>I'm using  Snort version 2.9.6.0 GRE (Build 47) on a Ubuntu Server to sniff ERSPAN traffic.</div>
<div>Snort output show me entire packet of many different vlans but the source address and destination is the same configured on my switch session.</div>
<div>Sniffing example running snort:</div>
<div>snort -X -i eth1<br>
</div>
<div>
<div>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+<br>
</div>
<div><br>
</div>
<div>03/28-11:37:15.569789 10.199.11.1 -> 10.200.10.10</div>
<div>GRE TTL:255 TOS:0x0 ID:900 IpLen:20 DgmLen:84 DF</div>
<div>0x0000: 00 50 56 91 06 B7 54 7F EE 96 AC 7C 08 00 45 00  .PV...T....|..E.</div>
<div>0x0010: 00 54 03 84 40 00 FF 2F 65 02 0A C7 C7 01 0A 64  .T..@...979...846.../e......d</div>
<div>0x0020: 36 C8 10 00 88 BE 32 4E CB 44 12 6B 00 01 00 01  6.....2N.D.k....</div>
<div>0x0030: 00 00 02 0A BD 00 00 00 02 0A BE 00 00 00 89 03  ................</div>
<div>0x0040: 40 20 00 B0 D1 34 32 31 00 50 56 91 72 E3 81 00  @ ...421.PV.r...</div>
<div>0x0050: 02 6B 08 00 45 00 00 28 67 D8 40 00 40 06 E8 6A  .k..E..(g.@...843...@..j</div>
<div>0x0060: 0A FC 13 05 BA DF 11 AD 1F 90 C6 6E 81 51 5B D9  ...........n.Q[.</div>
<div>0x0070: 6E 90 0F 3E 50 10 00 F2 83 5D 00 00 00 00 00 00  n..>P....]......</div>
<div>                              ..</div>
</div>
<div>Where 10.199.11.1 is my source and 10.200.10.10 is my destination in my session configuration</div>
<div><br>
</div>
<div>When I use tools like tshark and gulp I can see the right source and dest not only source and dest from GRE.</div>
<div><br>
</div>
<div>My switch is a nexus 5k and my config is something like this:</div>
<div>
<div>session 1 </div>
<div>--------------- </div>
<div>type              : erspan-source </div>
<div>state             : up </div>
<div>erspan-id         : 1 </div>
<div>vrf-name          : default </div>
<div>destination-ip    : 10.200.10.10 </div>
<div>ip-ttl            : 255 </div>
<div>ip-dscp           : 0 </div>
<div>origin-ip         : 10.199.11.1 (global) </div>
<div>source intf       : </div>
<div>    rx            : </div>
<div>    tx            : </div>
<div>    both          : </div>
<div>source VLANs      : </div>
<div>    rx            : 10,50,100-150</div>
</div>
<div><br>
</div>
<div><br>
</div>
<div>My question is, can snort show the ip adress dest and source from decapsulated erspan like tshark and gulp?</div>
<div><br>
</div>
<div><br>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div></div></span>
</div>

</blockquote></div><br></div>
<br></div></div>------------------------------------------------------------------------------<br>
<br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div>
</blockquote></div><br></div>
</blockquote></div>
</div></div></blockquote></div><br></div>