Первым делом необходимо создать буфер в который будут складывается пойманные пакеты. Как видно из команды ниже буферов может быть много и самых разных.
buf1 - название буфера
size и max-size - размер буфера и максимальный размер элемента в буфере, соответственно
circular или linear - тип буфера, будут ли старые элементы вытеснятся новыми или нет
ip cef - метод коммутации, мы используем cef
cappoint - название точки
далее следует интерфейс на котором слушать и в каком направлении - в обоих
buf1 - название буфера
size и max-size - размер буфера и максимальный размер элемента в буфере, соответственно
circular или linear - тип буфера, будут ли старые элементы вытеснятся новыми или нет
R38#monitor capture buffer buf1 size 256 max-size 256 circular
Чтобы не ловить вообще весь трафик на интерфейсе, можно выделить интересующий нас трафик с помощью access-list и привязать его к буферу:
ip access-list extended acl-cap
permit icmp host 10.100.9.9 host 10.100.0.121
R38#monitor capture buffer buf1 filter access-list acl-capСоздадим "точку ловли" (capture point), которая сообщит рутеру где ожидать трафика и в каком направлении он будет двигаться.
ip cef - метод коммутации, мы используем cef
cappoint - название точки
далее следует интерфейс на котором слушать и в каком направлении - в обоих
R38#monitor capture point ip cef cappoint gigabitEthernet 0/0.745 bothСледующий шаг - ассоциация созданной точки с буфером, так как и точек и буферов может быть достаточно большое количество, это просто указывает в какой буфер складывать пакеты.
R38#monitor capture point associate cappoint buf1Просмотр конфигурации:
R38#show monitor capture point all Status Information for Capture Point cappointIPv4 CEFSwitch Path: IPv4 CEF , Capture Buffer: buf1 Status : InactiveВключаем "точку ловли" в работу:
Configuration:monitor capture point ip cef cappoint GigabitEthernet0/0.745 both
R38#monitor capture point start cappointЗапускаем трафик:
ping 10.100.0.121PING 10.100.0.121 (10.100.0.121) 56(84) bytes of data.64 bytes from 10.100.0.121: icmp_seq=1 ttl=255 time=0.825 ms64 bytes from 10.100.0.121: icmp_seq=2 ttl=255 time=25.0 ms64 bytes from 10.100.0.121: icmp_seq=3 ttl=255 time=0.812 ms64 bytes from 10.100.0.121: icmp_seq=4 ttl=255 time=0.761 msСмотрим что наловилось в буфер:
R38#show monitor capture buffer buf1 dump11:54:37.490 VLAD Apr 1 2015 : IPv4 LES CEF : Gi0/0.745 NoneКак видно проще экспортировать буфет и посмотреть его в Wireshark. Вариантов экспорта много (tftp, ftp, scp), используем tftp. Предварительно необходимо остановить сбор. Соответственно сбор на лету сразу на сервер не возможен.
22EDE860: F866F2B5 A3B018EF 6309B2CD xfr5#0.oc.2M22EDE870: 810002E9 08004500 005487E7 40003D01 ...i..E..T.g@.=.22EDE880: 97780A64 09090A64 00790800 ACC76746 .x.d...d.y..,GgF22EDE890: 0001DB4F 1B55FD48 05000809 0A0B0C0D ..[O.U}H........22EDE8A0: 0E0F1011 12131415 16171819 1A1B1C1D ................22EDE8B0: 1E1F2021 22232425 26272829 2A2B2C2D .. !"#$%&'()*+,-22EDE8C0: 2E2F3031 32333435 363700 ./01234567.
R38#monitor capture point stop cappoint
R38#monitor capture buffer buf1 export tftp://10.100.9.9/capture.cap
Keine Kommentare:
Kommentar veröffentlichen