Пример настройки встроенного перехвата пакетов для Cisco IOS и IOS-XE
Параметры загрузки
-
ePub (86.6 KB)
Просмотр в различных приложениях на устройствах iPhone, iPad, Android, Sony Reader или Windows Phone -
Mobi (Kindle) (77.6 KB)
Просмотр на устройстве Kindle или в приложении Kindle на нескольких устройствах
Bias-Free Language
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
Об этом переводе
Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.
Содержание
Введение
В этом документе описывается встроенная в программное обеспечение Cisco IOS® функция перехвата пакетов Embedded Packet Capture (EPC).
Предварительные условия
Требования
Для этого документа отсутствуют особые требования.
Используемые компоненты
Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:
- Cisco IOS версии 12.4(20)T или более поздней версии
- Cisco IOS-XE версии 15.2(4)S-3.7.0 или более поздней версии
Информация, содержащаяся в этом документе, была получена от устройств в лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. Если используемая сеть является действующей, убедитесь в понимании возможного влияния любой из применяемых команд.
Общие сведения
Если эта функция включена, маршрутизатор перехватывает переданные и полученные пакеты. Пакеты сохраняются в буфере в DRAM и таким образом теряются после перезагрузки. После сбора данных их можно изучать в обзорном или подробном представлении на маршрутизаторе. Кроме того, данные можно экспортировать в виде файла перехвата пакетов (PCAP) для дальнейшего изучения. Это средство настраивается в режиме EXEC и считает временным вспомогательным инструментом. В результате конфигурация средства не сохраняется в конфигурации маршрутизатора и удаляется после перезагрузки системы.
Пример конфигурации Cisco IOS
Базовая конфигурация EPC
- Определите capture buffer, который представляет собой временный буфер для хранения перехваченных пакетов. При определении буфера существуют различные, доступные для выбора параметры; такие как размер, максимальный размер пакета, а также тип буфера (круговой/линейный):
monitor capture buffer BUF size 2048 max-size 1518 linear
- Также можно применить фильтр, чтобы перехватывать только нужный трафик. Определите список контроля доступа (ACL) в режиме настройки и примените фильтр к буферу:
ip access-list extended BUF-FILTER
permit ip host 192.168.1.1 host 172.16.1.1
permit ip host 172.16.1.1 host 192.168.1.1monitor capture buffer BUF filter access-list BUF-FILTER
- Определите capture point (точку перехвата), которая определяет местоположение, где происходит перехват. Точка перехвата также определяет, происходит ли перехват пакетов IPv4 или IPv6 и на каком пути коммутации (процессорная коммутация или CEF):
monitor capture point ip cef POINT fastEthernet 0 both
- Подключите буфер к точке перехвата:
monitor capture point associate POINT BUF
- Запустите перехват:
monitor capture point start POINT
- Перехват теперь активен. Дождитесь сбора нужных данных.
- Остановите перехват:
monitor capture point stop POINT
- Изучите буфер устройства:
show monitor capture buffer BUF dump
Примечание. Эти выходные данные показывают только шестнадцатеричный дамп данных перехвата пакетов. Есть два способа, позволяющие просмотреть их в удобном виде.
- Экспортируйте буфер с маршрутизатора для дальнейшего анализа:
monitor capture buffer BUF export tftp://10.1.1.1/BUF.pcap
- Однако предыдущий способ не всегда практичен, поскольку требует доступа к маршрутизатору по T/FTP. В таких ситуациях можно сделать копию шестнадцатеричного дампа и использовать для просмотра файлов любое онлайн-средство преобразования шестнадцатеричного формата в PCAP.
- Экспортируйте буфер с маршрутизатора для дальнейшего анализа:
- После сбора нужных данных удалите capture point и capture buffer:
no monitor capture point ip cef POINT fastEthernet 0 both
no monitor capture buffer BUF
Примечания:
- До версии 15.0(1)M программного обеспечения Cisco IOS максимальный размер буфера составлял 512 Кбайт.
- До версии 15.0(1)M программного обеспечения Cisco IOS максимальный размер перехваченного пакета составлял 1024 байта.
- Буфер пакетов хранится в DRAM и удаляется при перезагрузке.
- Конфигурация перехвата не сохраняется в NVRAM и удаляется при перезагрузке.
- Точка перехвата может быть определена для перехвата пакетов по пути коммутации CEF или процессорной коммутации.
- Точка перехвата может быть определена для перехвата пакетов только на одном интерфейсе или глобально.
- Когда накопительный буфер экспортируется в формате PCAP, информация уровня 2 (такая как инкапсуляция Ethernet) не сохраняется.
- Дополнительные сведения о командах, используемых в этом разделе, см. в статье Практические рекомендации по командам поиска.
Пример конфигурации Cisco IOS XE
Встроенная функция перехвата пакетов Embedded Packet Capture была представлена в версии 3.7-15.2(4)S программного обеспечения Cisco IOS XE. Конфигурация перехвата отличается от Cisco IOS, поскольку тут добавлено больше возможностей.
Базовая конфигурация EPC
- Определите местоположение, где будет происходить перехват:
monitor capture CAP interface GigabitEthernet0/0/1 both
- Привяжите фильтр. Можно задать встроенный фильтр, использовать список контроля доступа или указать ссылку на карту классов:
monitor capture CAP match ipv4 protocol tcp any any
- Запустите перехват:
monitor capture CAP start
- Перехват теперь активен. Дождитесь сбора нужных данных.
- Остановите перехват:
monitor capture CAP stop
- Изучите данные перехвата в обзорном представлении:
show monitor capture CAP buffer brief
- Изучите данные перехвата в подробном представлении:
show monitor capture CAP buffer detailed
- Кроме того, экспортируйте перехват в формате PCAP для дальнейшего анализа:
monitor capture CAP export ftp://10.0.0.1/CAP.pcap
- После сбора нужных данных удалите перехват:
no monitor capture CAP
Примечания:
- Перехват пакетов может быть выполнен на физических, подчиненных и туннельных интерфейсах.
- Фильтры на основе распознавания сетевых приложений (NBAR), в которых используется команда match protocol в карте классов, в настоящее время не поддерживаются.
- Дополнительные сведения о командах, используемых в этом разделе, см. в статье Практические рекомендации по командам поиска.
Проверка
В настоящее время для этой конфигурации нет процедуры проверки.
Устранение неполадок
В этом разделе описывается процесс устранения неполадок конфигурации.
Для функции EPC, которая выполняется в Cisco IOS XE, можно использовать следующую команду отладки, чтобы проверить правильность настройки EPC:
debug epc provision
debug epc capture-point
Дополнительные сведения
Обратная связь