Cisco IOS 和 NX-OS 软件 : Cisco IOS Embedded Packet Capture

Cisco IOS和IOS-XE配置示例的嵌入式数据包捕获

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文在Cisco IOS软件方面描述嵌入式数据包捕获(EPC)功能。

由思科 TAC 工程师撰稿。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco IOS版本12.4(20)T或以上

  • Cisco IOS XE版本15.2(4)S - 3.7.0或以上

本文档中的信息从在实验室环境的设备创建。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景信息

当启用,接收的路由器捕获发送的数据包和。数据包在DRAM的一缓冲区内存储并且通过重新加载不因而是不变的。一旦数据捕获,在一摘要或详细信息可以被检查在路由器。另外,数据可以导出作为数据包捕获(PCAP)文件允许进一步考试。工具在EXEC模式配置和认为一个临时协助工具。结果,工具配置没有在路由器配置内存储,并且到位不会在系统重新加载以后保持。

Cisco IOS配置示例

基本EPC配置

  1. 定义‘捕获缓冲区’,是一临时缓冲区获取数据包存储内。有可以选择的多种选项,当缓冲区定义时;例如大小, maxium数据包大小和圆/线性:
    monitor capture buffer BUF size 2048 max-size 1518 linear
  2. 过滤器可能也应用对所需流量限制捕获。定义在配置模式内的访问控制表(ACL)并且适用于过滤器缓冲区:
    ip access-list extended BUF-FILTER
    permit ip host 192.168.1.1 host 172.16.1.1
    permit ip host 172.16.1.1 host 192.168.1.1
    monitor capture buffer BUF filter access-list BUF-FILTER
  3. 定义‘捕获点’,定义了位置捕获发生。捕获点也定义了捕获是否为IPv4或IPv6发生,并且在哪条交换路径(进程与CEF) :
    monitor capture point ip cef POINT fastEthernet 0 both
  4. 附加缓冲区到捕获点:
    monitor capture point associate POINT BUF
  5. 开始捕获:
    monitor capture point start POINT
  6. 捕获当前是活跃的。允许必要数据的集。

  7. 终止捕获:
    monitor capture point stop POINT
  8. 检查在单元的缓冲区:
    show monitor capture buffer BUF dump

    注意:此输出只显示信息包获取的HEX转储。为了看到他们在人readble那里是两种方式:

    1. 导出从路由器的缓冲区进一步分析的:
      monitor capture buffer BUF export tftp://10.1.1.1/BUF.pcap
    2. 然而上一个方法总是不是实用的,要求对路由器的T/FTP访问。在这些情况下,您能采取HEX转储的复制和使用所有联机HEX pcap转换器为了查看文件。

  9. 一旦必要数据收集了,请删除“捕获点”,并且“请捕获缓冲区” :
    no monitor capture point ip cef POINT fastEthernet 0 both
    no monitor capture buffer BUF

注意:

  • 在版本中早于Cisco IOS版本15.0(1)M,缓冲区大小对512K被限制了。

  • 在版本中早于Cisco IOS版本15.0(1)M,获取数据包大小对1024个字节被限制了。

  • 数据包缓冲在DRAM存储,并且不会通过重新加载仍然存在。

  • 捕获配置在NVRAM没有存储,并且不会通过重新加载仍然存在。

  • 捕获点可以定义在CEF或进程交换路径捕获。

  • 捕获点仅可以定义捕获在接口或全局。

  • 当捕获缓冲区在PCAP格式时导出, L2信息(例如以太网封装)没有保留。

  • 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

Cisco IOS XE配置示例

嵌入式数据包捕获功能在Cisco IOS XE版本3.7介绍- 15.2(4)S。因为添加更多功能,捕获的配置跟Cisco IOS不同。

基本EPC配置

  1. 定义捕获将发生的位置:
    monitor capture CAP interface GigabitEthernet0/0/1 both
  2. 关联过滤器。过滤器可能指定线型,或者ACL或类映射可能被参考:
    monitor capture CAP match ipv4 protocol tcp any any
  3. 开始捕获:
    monitor capture CAP start
  4. 捕获当前是活跃的。允许它收集必要数据。

  5. 终止捕获:
    monitor capture CAP stop
  6. 检查在一张概略的视图的捕获:
    show monitor capture CAP buffer brief
  7. 检查在详细信息的捕获:
    show monitor capture CAP buffer detailed 
  8. 另外,请导出在PCAP格式的捕获进一步分析的:
    monitor capture CAP export ftp://10.0.0.1/CAP.pcap
  9. 一旦必要数据收集了,请删除捕获:
    no monitor capture CAP

注意:

  • 捕获在物理接口、sub-interface和隧道接口可以执行。

  • 基于网络的应用程序识别(NBAR)根据过滤器,该使用match protocol命令在类映射下,当前不支持。

  • 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。 

验证

当前没有可用于此配置的验证过程。

故障排除

本部分提供的信息可用于对配置进行故障排除。

对于在Cisco IOS XE运行的EPC,此debug命令可以用于保证EPC适当地设置:

debug epc provisiondebug epc capture-point

相关信息


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116045