إجراء التقاط حزمة على عقدة وسيط تتبع الاستخدام
المقدمة
يوضح هذا المستند كيفية إجراء التقاط حزمة على عقدة وسيط (CTB) لتتبع بيانات Cisco.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- إدارة لينوكس الأساسية
- بنية وسيط بيانات تتبع الاستخدام الأساسية من Cisco
- معرفة SSH الأساسية
- وصول واجهة سطر الأوامر (CLI)
adminrootكما أنه مطلوب لتنفيذ التقاط الحزمة.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى عقدة وسيط CTB التي تشغل الإصدار 2.3.3.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
تحتوي عقدة وسيط CTB على أداة تسمى ctb-pcap لإجراء التقاط شبكة من واجهة تتبع القياس لعقدة الوسيط. لاحظ أن هذه الأداة غير متوفرة في عقدة "إدارة CTB".
- قبل إستخدام الأمر
ctb-pcap,تأكد من أنك قمت أولا بالتبديل إلىrootالمستخدم باستخدام الأمرsudo su. تتوفر هذه الأداةrootللمستخدم فقط. لعرض الخيارات المتوفرة لهذه الأداة، قم بتشغيل الأمرctb-pcap --helpعلى واجهة سطر الأوامر (CLI) لعقدة الوسيط. تعرض هذه الصورة القائمة الكاملة للخيارات:- إذا كنت تحاول إجراء التقاط شبكة على زوج HA من الوسطاء، فتأكد من أنك تحاول إستخدام CTB-PCAP من وسيط CTB النشط.
كما يشير المخرج، يلزم عدد الحزم التي تم التقاطها، والمدة بالثواني، واسم ملف إخراج التقاط الحزمة. علاوة على ذلك، يجب ذكر نوع الحزمة، إما الحزم المستلمة أو المرسلة أو المسقطة في الأمر.
هناك تبعية أخرى غير مدرجة أيضا: عندما يحاول أن على قبض المصدر ميناء (-p) أو غاية ميناء (-p)، النقل بروتوكول (-T) خيار أيضا مطلوب.
يمكنك إستخدام الصياغة التالية كأساس لأمر التقاط الحزمة، والذي يحدد بالفعل عدد الحزم الملتقطة، والمدة واسم ملف التقاط الحزمة، بالإضافة إلى خيار الصمام ونوع الحزمة:
ctb-pcap -V -n [number_pkts] -t [duration] -o [filename] [rx/tx/drop]
الأمثلة
1. التقاط كل حركة مرور RX بدون تصفية:
sudo ctb-pcap -n 10000 -t 30 -o rx-no-filter.pcap -V RX
2. التقاط RX للشبكة الفرعية لبروتوكول IPv4 (إستخدام IP/32 لبروتوكول SRC الأحادي):
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-src-subnet.pcap -s 10.0.81.0/24 -V RX
3. التقاط RX ل IPv6 src ip:
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-srcip.pcap -s fc00:f53b:82e4::1000 -v6 -V rx
4. التقاط RX ل IPv4 UDP
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-udp.pcap -T udp -V rx
5. التقاط tx ل IPv4 tcp
sudo ctb-pcap -n 10000 -t 30 -o tx-ipv4-tcp.pcap -T tcp -V tx
6. التقاط RX ل IPv6 UDP
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-udp.pcap -T udp -v ip6 -V rx
7. التقاط RX ل IPv6 tcp
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-tcp.pcap -T tcp -v ip6 -V rx
8. Capture RX ل IPv4 UDP dstport
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-udp-dstport.pcap -t udp -p 2055 -V RX
9. التقاط tx ل IPv4 tcp dstport
sudo ctb-pcap -n 10000 -t 30 -o tx-ipv4-tcp-dstport.pcap -t tcp -p 443 -v tx
10. Capture RX ل IPv6 UDP dstport
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-udp-dstport.pcap -v ip6 -t udp -p 2055 -v rx
11. Capture Rx ل IPv6 tcp dstport
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-tcp-dstport.pcap -v ip6 -t tcp -p 443 -v rx
12. Capture RX ل IPv4 srcip و UDP dstport
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-srcip-udp-dstport.pcap -10.0.81.171/32 -t udp -p 2055 -v rx
13. التقاط RX ل IPv4 srcip و TCP dstport
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-srcip-tcp-dstport.pcap -s 10.0.81.171/32 -t tcp -p 443 -v rx
14. Capture Rx ل IPv6 srcip و UDP dstport
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-srcip-udp-dstport.pcap -s fc00:f53b:82e4::1000 -v6 -t udp -p 2055 -v rx
15. التقاط RX ل IPv6 srcip و TCP dstport
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-srcip-tcp-dstport.pcap -s fc00:f53b:82e4::1000 -v6 -t tcp -p 443 -v rx
إدخال الأمر في CLI لعقدة الوسيط ويبدأ التقاط الحزمة. عندما ينتهي التقاط الحزمة، يتم حفظ الملف تلقائيا في /var/lib/titan/pcap/ الدليل.
هنا مثال من ال verbose إنتاج من الربط التقاط أمر:
مخرجات الإتجاه من أمر المثال
لاحظ أنه لفترة وعدد خيارات الحزمة، يقوم الخيار الأول بإيقاف التقاط الحزمة. (على سبيل المثال، إذا تم التقاط إجمالي 100 حزمة على الرغم من عدم اكتمال الثلاثين من المدة، يتم إيقاف التقاط الحزمة. في هذا المثال، تم الوصول إلى المدة التي تبلغ ثلاثين ثانية أولا، لذلك تم التقاط 66 حزمة فقط.)
بعد إنشاء التقاط الحزمة، أستخدم SCP أو SFTP لنقل الملف إلى جهازك المحلي. إذا كنت تستخدم SFTP، فأدخل بيانات اعتماد المسؤول للاتصال بالجهاز.
يمكنك أيضا إستخدام > sudo tcpdump -nnnr </laar/lib/titan/pcap/<pcap_filename> لإعادة تشغيل PCAP إلى وحدة التحكم. يكون هذا مفيدا إذا كنت تريد أن ترى بسرعة ما إذا كانت حزم الالتقاط تحتوي على أي بيانات بها
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
06-Feb-2024
|
الإصدار الأولي |
التعليقات