Telemetry Broker 노드에서 패킷 캡처 수행

소개

이 문서에서는 Cisco CTB(Telemetry Broker) 브로커 노드에서 패킷 캡처를 수행하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• 기본 Linux 관리
• 기본 Cisco Telemetry Broker 아키텍처
• SSH 기본 지식
• CLI(Command Line Interface) 액세스. admin root는 패킷 캡처를 수행하는 데 필요합니다.

사용되는 구성 요소

이 문서의 정보는 버전 2.3.3을 실행하는 CTB 브로커 노드를 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

CTB Broker Node에는 Broker 노드의 텔레메트리 인터페이스에서 네트워크 캡처를 수행하는 데 사용되ctb-pcap는 라는 툴이 있습니다. CTB 관리자 노드에서는 이 툴을 사용할 수 없습니다.

• 명령을 사용하기 전에ctb-pcap,먼저 명령을 사용하여 사용자로 root 전환해야 합니다sudo su. root이 툴은 사용자에게만 제공됩니다.
• 이 도구에 사용 가능한 옵션을 보려면 Broker 노드의 CLIctb-pcap --help에서 명령을 실행하십시오. 이 그림에는 옵션의 전체 목록이 표시됩니다.
• HA 브로커 쌍에서 네트워크 캡처를 수행하려면 활성 CTB 브로커에서 ctb-pcap를 시도하는지 확인합니다.

출력에 표시된 대로 캡처된 패킷 수, 기간(초) 및 패킷 캡처 출력 파일 이름이 필요합니다. 또한 패킷 유형(수신, 전송 또는 삭제된 패킷)은 명령에 명시되어야 합니다.

나열되지 않는 다른 종속성도 있습니다. 소스 포트(-p) 또는 대상 포트(-P)를 캡처하려고 할 때 전송 프로토콜(-T) 옵션도 필요합니다.

다음 구문을 packet capture 명령의 기반으로 사용할 수 있습니다. 이 명령은 이미 캡처된 패킷의 수, 패킷 캡처의 지속 시간 및 파일 이름, verbose 옵션 및 패킷 유형을 지정합니다.

ctb-pcap -V -n [number_pkts] -t [duration] -o [filename] [rx/tx/drop]

예

1. 필터 없이 모든 rx 트래픽을 캡처합니다.
sudo ctb-pcap -n 10000 -t 30 -o rx-no-filter.pcap -V rx

2. ipv4 소스 서브넷에 대한 rx 캡처(단일 소스에는 ip/32 사용):
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-src-subnet.pcap -s 10.0.81.0/24 -V rx

3. ipv6 소스 ip에 대한 rx 캡처:
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-srcip.pcap -s fc00:f53b:82e4::1000 -v ip6 -V rx

4. ipv4 udp의 rx 캡처
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-udp.pcap -T udp -V rx

5. ipv4 tcp에 대한 tx 캡처
sudo ctb-pcap -n 10000 -t 30 -o tx-ipv4-tcp.pcap -T tcp -V tx

6. ipv6 udp용 rx 캡처
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-udp.pcap -T udp -v ip6 -V rx

7. ipv6 tcp에 대한 rx 캡처
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-tcp.pcap -T tcp -v ip6 -V rx

8. ipv4 udp dstport에 대한 rx 캡처
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-udp-dstport.pcap -T udp -P 2055 -V rx

9. ipv4 tcp dstport에 대한 tx 캡처
sudo ctb-pcap -n 10000 -t 30 -o tx-ipv4-tcp-dstport.pcap -T tcp -P 443 -V tx

10. ipv6 udp dstport에 대한 rx 캡처
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-udp-dstport.pcap -v ip6 -T udp -P 2055 -V rx

11. ipv6 tcp dstport에 대한 rx 캡처
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-tcp-dstport.pcap -v ip6 -T tcp -P 443 -V rx

12. ipv4 srcip 및 udp dstport에 대한 rx 캡처
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-srcip-udp-dstport.pcap -s 10.0.81.171/32 -T udp -P 2055 -V rx

13. ipv4 srcip 및 tcp dstport에 대한 rx 캡처
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-srcip-tcp-dstport.pcap -s 10.0.81.171/32 -T tcp -P 443 -V rx

14. ipv6 srcip 및 udp dstport에 대한 rx 캡처
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-srcip-udp-dstport.pcap -s fc00:f53b:82e4::1000 -v ip6 -T udp -P 2055 -V rx

15. ipv6 srcip 및 tcp dstport에 대한 rx 캡처
sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-srcip-tcp-dstport.pcap -s fc00:f53b:82e4::1000 -v ip6 -T tcp -P 443 -V rx

Broker 노드의 CLI에 명령을 입력하면 패킷 캡처가 시작됩니다. 패킷 캡처가 완료되면 파일이 디렉토리에 자동으로 /var/lib/titan/pcap/ 저장됩니다.

다음은 packet capture 명령의 자세한 출력 예입니다.

example 명령의 자세한 정보 출력

패킷 옵션의 기간 및 수에 대해 첫 번째 옵션은 패킷 캡처를 중지합니다. 예를 들어, 30분의 3이 완료되지 않았는데도 총 100개의 패킷이 캡처되면 패킷 캡처가 중지됩니다. 이 예에서는 30초의 기간에 먼저 도달했으므로 66개의 패킷만 캡처되었습니다.)

패킷 캡처가 생성된 후 SCP 또는 SFTP를 사용하여 파일을 로컬 시스템으로 전송합니다. SFTP를 사용하는 경우 어플라이언스에 연결할 관리자 자격 증명을 입력합니다.

> sudo tcpdump -nnr </lavar/lib/titan/pcap/<pcap_filename>을 사용하여 콘솔에 pcap를 재생할 수도 있습니다.  이는 캡처 패킷에 데이터가 있는지 빠르게 확인하려는 경우에 유용합니다

관련 정보

• 기술 지원 및 문서 − Cisco Systems