Уже есть учетная запись?

  •   Персонализированная информация
  •   Ваши продукты и поддержка

Нужна учетная запись?

Создать учетную запись

Пример настройки встроенного перехвата пакетов для Cisco IOS и IOS-XE

Параметры загрузки

  • PDF     (96.7 KB)
    Просмотр в Adobe Reader на различных устройствах
  • ePub     (86.6 KB)
    Просмотр в различных приложениях на устройствах iPhone, iPad, Android, Sony Reader или Windows Phone
  • Mobi (Kindle)     (77.6 KB)
    Просмотр на устройстве Kindle или в приложении Kindle на нескольких устройствах
Обновлено:31 августа 2016 года
Идентификатор документа:116045
О переводе

Об этом переводе

Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.

   

Введение

В этом документе описывается встроенная в программное обеспечение Cisco IOS® функция перехвата пакетов Embedded Packet Capture (EPC). 

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Cisco IOS версии 12.4(20)T или более поздней версии
  • Cisco IOS-XE версии 15.2(4)S-3.7.0 или более поздней версии

Информация, содержащаяся в этом документе, была получена от устройств в лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. Если используемая сеть является действующей, убедитесь в понимании возможного влияния любой из применяемых команд.

Общие сведения

Если эта функция включена, маршрутизатор перехватывает переданные и полученные пакеты. Пакеты сохраняются в буфере в DRAM и таким образом теряются после перезагрузки. После сбора данных их можно изучать в обзорном или подробном представлении на маршрутизаторе. Кроме того, данные можно экспортировать в виде файла перехвата пакетов (PCAP) для дальнейшего изучения. Это средство настраивается в режиме EXEC и считает временным вспомогательным инструментом. В результате конфигурация средства не сохраняется в конфигурации маршрутизатора и удаляется после перезагрузки системы.

Инструмент Packet Capture Config Generator and Analyzer (Анализатор и генератор конфигурации перехвата пакетов) доступен для клиентов Cisco и помогает в настройке, перехвате и извлечении данных перехвата пакетов.  

Пример конфигурации Cisco IOS

Базовая конфигурация EPC

  1. Определите capture buffer, который представляет собой временный буфер для хранения перехваченных пакетов. При определении буфера существуют различные, доступные для выбора параметры; такие как размер, максимальный размер пакета, а также тип буфера (круговой/линейный):

    monitor capture buffer BUF size 2048 max-size 1518 linear
  2. Также можно применить фильтр, чтобы перехватывать только нужный трафик. Определите список контроля доступа (ACL) в режиме настройки и примените фильтр к буферу:

    ip access-list extended BUF-FILTER
        permit ip host 192.168.1.1 host 172.16.1.1
        permit ip host 172.16.1.1 host 192.168.1.1
    monitor capture buffer BUF filter access-list BUF-FILTER
  3. Определите capture point (точку перехвата), которая определяет местоположение, где происходит перехват. Точка перехвата также определяет, происходит ли перехват пакетов IPv4 или IPv6 и на каком пути коммутации (процессорная коммутация или CEF):

    monitor capture point ip cef POINT fastEthernet 0 both
  4. Подключите буфер к точке перехвата:

    monitor capture point associate POINT BUF
  5. Запустите перехват:

    monitor capture point start POINT
  6. Перехват теперь активен. Дождитесь сбора нужных данных.

  7. Остановите перехват:

    monitor capture point stop POINT
  8. Изучите буфер устройства:

    show monitor capture buffer BUF dump

    Примечание. Эти выходные данные показывают только шестнадцатеричный дамп данных перехвата пакетов. Есть два способа, позволяющие просмотреть их в удобном виде.

    1. Экспортируйте буфер с маршрутизатора для дальнейшего анализа:

      monitor capture buffer BUF export tftp://10.1.1.1/BUF.pcap

      Совет: Был создан запрос на улучшение CSCuw77601 для добавления варианта отправки по электронной почте, который можно выбрать при выполнении экспорта, чтобы можно было отправлять буфер напрямую на адрес электронной почты.

    2. Однако предыдущий способ не всегда практичен, поскольку требует доступа к маршрутизатору по T/FTP. В таких ситуациях можно сделать копию шестнадцатеричного дампа и использовать для просмотра файлов любое онлайн-средство преобразования шестнадцатеричного формата в PCAP.
  9. После сбора нужных данных удалите capture point и capture buffer: 
    no monitor capture point ip cef POINT fastEthernet 0 both
    no monitor capture buffer BUF

Примечания:

  • До версии 15.0(1)M программного обеспечения Cisco IOS максимальный размер буфера составлял 512 Кбайт.
  • До версии 15.0(1)M программного обеспечения Cisco IOS максимальный размер перехваченного пакета составлял 1024 байта.
  • Буфер пакетов хранится в DRAM и удаляется при перезагрузке.
  • Конфигурация перехвата не сохраняется в NVRAM и удаляется при перезагрузке.
  • Точка перехвата может быть определена для перехвата пакетов по пути коммутации CEF или процессорной коммутации.
  • Точка перехвата может быть определена для перехвата пакетов только на одном интерфейсе или глобально.
  • Когда накопительный буфер экспортируется в формате PCAP, информация уровня 2 (такая как инкапсуляция Ethernet) не сохраняется.
  • Дополнительные сведения о командах, используемых в этом разделе, см. в статье Практические рекомендации по командам поиска.

Пример конфигурации Cisco IOS XE

Встроенная функция перехвата пакетов Embedded Packet Capture была представлена в версии 3.7-15.2(4)S программного обеспечения Cisco IOS XE. Конфигурация перехвата отличается от Cisco IOS, поскольку тут добавлено больше возможностей.

Базовая конфигурация EPC

  1. Определите местоположение, где будет происходить перехват:

    monitor capture CAP interface GigabitEthernet0/0/1 both
  2. Привяжите фильтр. Можно задать встроенный фильтр, использовать список контроля доступа или указать ссылку на карту классов:

    monitor capture CAP match ipv4 protocol tcp any any
  3. Запустите перехват:

    monitor capture CAP start
  4. Перехват теперь активен. Дождитесь сбора нужных данных.

  5. Остановите перехват:

    monitor capture CAP stop
  6. Изучите данные перехвата в обзорном представлении:

    show monitor capture CAP buffer brief
  7. Изучите данные перехвата в подробном представлении:

    show monitor capture CAP buffer detailed
  8. Кроме того, экспортируйте перехват в формате PCAP для дальнейшего анализа:

    monitor capture CAP export ftp://10.0.0.1/CAP.pcap
  9. После сбора нужных данных удалите перехват:

    no monitor capture CAP

Примечания:

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Для функции EPC, которая выполняется в Cisco IOS XE, можно использовать следующую команду отладки, чтобы проверить правильность настройки EPC:

debug epc provision
debug epc capture-point

Дополнительные сведения

TAC Authored

Создано инженерами Cisco

Помог ли этот документ?

FeedbackОбратная связь

Связаться с Cisco

Обсуждения по теме в сообществе Cisco

Этот документ относится к этим продуктам

Следите за новостями
Пресс-центрМероприятияБлогиСообщество
Центр Доверия
Свяжитесь С Нами
Работайте с Нами