Donnerstag, 2. April 2015

Traffic capture on cisco IOS #2

Первым делом необходимо создать буфер в который будут складывается пойманные пакеты. Как видно из команды ниже буферов может быть много и самых разных.

buf1 - название буфера
size и max-size - размер буфера и максимальный размер элемента в буфере, соответственно
circular или linear - тип буфера, будут ли старые элементы вытеснятся новыми или нет

R38#monitor capture buffer buf1 size 256 max-size 256 circular
Чтобы не ловить вообще весь трафик на интерфейсе, можно выделить интересующий нас трафик с помощью access-list и привязать его к буферу:
ip access-list extended acl-cap
permit icmp host 10.100.9.9 host 10.100.0.121
R38#monitor capture buffer buf1 filter access-list acl-cap
Создадим "точку ловли" (capture point), которая сообщит рутеру где ожидать трафика и в каком направлении он будет двигаться.
ip cef - метод коммутации, мы используем cef
cappoint - название точки
далее следует интерфейс на котором слушать и в каком направлении - в обоих
R38#monitor capture point ip cef cappoint gigabitEthernet 0/0.745 both
Следующий шаг - ассоциация созданной точки с буфером, так как и точек и буферов может быть достаточно большое количество, это просто указывает в какой буфер складывать пакеты.
R38#monitor capture point associate cappoint buf1
Просмотр конфигурации:
R38#show monitor capture point all                      Status Information for Capture Point cappointIPv4 CEFSwitch Path: IPv4 CEF            , Capture Buffer: buf1                Status : Inactive
Configuration:monitor capture point ip cef cappoint GigabitEthernet0/0.745 both 
Включаем "точку ловли" в работу:
R38#monitor capture point start cappoint
Запускаем трафик:
ping 10.100.0.121PING 10.100.0.121 (10.100.0.121) 56(84) bytes of data.64 bytes from 10.100.0.121: icmp_seq=1 ttl=255 time=0.825 ms64 bytes from 10.100.0.121: icmp_seq=2 ttl=255 time=25.0 ms64 bytes from 10.100.0.121: icmp_seq=3 ttl=255 time=0.812 ms64 bytes from 10.100.0.121: icmp_seq=4 ttl=255 time=0.761 ms
Смотрим что наловилось в буфер:
R38#show monitor capture buffer buf1 dump11:54:37.490 VLAD Apr 1 2015 : IPv4 LES CEF    : Gi0/0.745 None
22EDE860:          F866F2B5 A3B018EF 6309B2CD      xfr5#0.oc.2M22EDE870: 810002E9 08004500 005487E7 40003D01  ...i..E..T.g@.=.22EDE880: 97780A64 09090A64 00790800 ACC76746  .x.d...d.y..,GgF22EDE890: 0001DB4F 1B55FD48 05000809 0A0B0C0D  ..[O.U}H........22EDE8A0: 0E0F1011 12131415 16171819 1A1B1C1D  ................22EDE8B0: 1E1F2021 22232425 26272829 2A2B2C2D  .. !"#$%&'()*+,-22EDE8C0: 2E2F3031 32333435 363700             ./01234567.    
Как видно проще экспортировать буфет и посмотреть его в Wireshark. Вариантов экспорта много (tftp, ftp, scp), используем tftp. Предварительно необходимо остановить сбор. Соответственно сбор на лету сразу на сервер не возможен.
R38#monitor capture point stop cappoint
R38#monitor capture buffer buf1 export tftp://10.100.9.9/capture.cap













Keine Kommentare:

Kommentar veröffentlichen