Введение
В этом документе описывается встроенная в программное обеспечение Cisco IOS® функция перехвата пакетов Embedded Packet Capture (EPC).
Предварительные условия
Требования
Для этого документа отсутствуют особые требования.
Используемые компоненты
Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:
- Cisco IOS версии 12.4(20)T или более поздней версии
- Cisco IOS-XE версии 15.2(4)S-3.7.0 или более поздней версии
Информация, содержащаяся в этом документе, была получена от устройств в лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. Если используемая сеть является действующей, убедитесь в понимании возможного влияния любой из применяемых команд.
Общие сведения
Если эта функция включена, маршрутизатор перехватывает переданные и полученные пакеты. Пакеты сохраняются в буфере в DRAM и таким образом теряются после перезагрузки. После сбора данных их можно изучать в обзорном или подробном представлении на маршрутизаторе. Кроме того, данные можно экспортировать в виде файла перехвата пакетов (PCAP) для дальнейшего изучения. Это средство настраивается в режиме EXEC и считает временным вспомогательным инструментом. В результате конфигурация средства не сохраняется в конфигурации маршрутизатора и удаляется после перезагрузки системы.
Инструмент Packet Capture Config Generator and Analyzer (Анализатор и генератор конфигурации перехвата пакетов) доступен для клиентов Cisco и помогает в настройке, перехвате и извлечении данных перехвата пакетов.
Пример конфигурации Cisco IOS
Базовая конфигурация EPC
- Определите capture buffer, который представляет собой временный буфер для хранения перехваченных пакетов. При определении буфера существуют различные, доступные для выбора параметры; такие как размер, максимальный размер пакета, а также тип буфера (круговой/линейный):
monitor capture buffer BUF size 2048 max-size 1518 linear
- Также можно применить фильтр, чтобы перехватывать только нужный трафик. Определите список контроля доступа (ACL) в режиме настройки и примените фильтр к буферу:
ip access-list extended BUF-FILTER
permit ip host 192.168.1.1 host 172.16.1.1
permit ip host 172.16.1.1 host 192.168.1.1
monitor capture buffer BUF filter access-list BUF-FILTER
- Определите capture point (точку перехвата), которая определяет местоположение, где происходит перехват. Точка перехвата также определяет, происходит ли перехват пакетов IPv4 или IPv6 и на каком пути коммутации (процессорная коммутация или CEF):
monitor capture point ip cef POINT fastEthernet 0 both
- Подключите буфер к точке перехвата:
monitor capture point associate POINT BUF
- Запустите перехват:
monitor capture point start POINT
- Перехват теперь активен. Дождитесь сбора нужных данных.
- Остановите перехват:
monitor capture point stop POINT
- Изучите буфер устройства:
show monitor capture buffer BUF dump
Примечание. Эти выходные данные показывают только шестнадцатеричный дамп данных перехвата пакетов. Есть два способа, позволяющие просмотреть их в удобном виде.
- Экспортируйте буфер с маршрутизатора для дальнейшего анализа:
monitor capture buffer BUF export tftp://10.1.1.1/BUF.pcap
Совет: Был создан запрос на улучшение CSCuw77601 для добавления варианта отправки по электронной почте, который можно выбрать при выполнении экспорта, чтобы можно было отправлять буфер напрямую на адрес электронной почты.
- Однако предыдущий способ не всегда практичен, поскольку требует доступа к маршрутизатору по T/FTP. В таких ситуациях можно сделать копию шестнадцатеричного дампа и использовать для просмотра файлов любое онлайн-средство преобразования шестнадцатеричного формата в PCAP.
- После сбора нужных данных удалите capture point и capture buffer:
no monitor capture point ip cef POINT fastEthernet 0 both
no monitor capture buffer BUF
Примечания:
- До версии 15.0(1)M программного обеспечения Cisco IOS максимальный размер буфера составлял 512 Кбайт.
- До версии 15.0(1)M программного обеспечения Cisco IOS максимальный размер перехваченного пакета составлял 1024 байта.
- Буфер пакетов хранится в DRAM и удаляется при перезагрузке.
- Конфигурация перехвата не сохраняется в NVRAM и удаляется при перезагрузке.
- Точка перехвата может быть определена для перехвата пакетов по пути коммутации CEF или процессорной коммутации.
- Точка перехвата может быть определена для перехвата пакетов только на одном интерфейсе или глобально.
- Когда накопительный буфер экспортируется в формате PCAP, информация уровня 2 (такая как инкапсуляция Ethernet) не сохраняется.
- Дополнительные сведения о командах, используемых в этом разделе, см. в статье Практические рекомендации по командам поиска.
Пример конфигурации Cisco IOS XE
Встроенная функция перехвата пакетов Embedded Packet Capture была представлена в версии 3.7-15.2(4)S программного обеспечения Cisco IOS XE. Конфигурация перехвата отличается от Cisco IOS, поскольку тут добавлено больше возможностей.
Базовая конфигурация EPC
- Определите местоположение, где будет происходить перехват:
monitor capture CAP interface GigabitEthernet0/0/1 both
- Привяжите фильтр. Можно задать встроенный фильтр, использовать список контроля доступа или указать ссылку на карту классов:
monitor capture CAP match ipv4 protocol tcp any any
- Запустите перехват:
monitor capture CAP start
- Перехват теперь активен. Дождитесь сбора нужных данных.
- Остановите перехват:
monitor capture CAP stop
- Изучите данные перехвата в обзорном представлении:
show monitor capture CAP buffer brief
- Изучите данные перехвата в подробном представлении:
show monitor capture CAP buffer detailed
- Кроме того, экспортируйте перехват в формате PCAP для дальнейшего анализа:
monitor capture CAP export ftp://10.0.0.1/CAP.pcap
- После сбора нужных данных удалите перехват:
no monitor capture CAP
Примечания:
Проверка
В настоящее время для этой конфигурации нет процедуры проверки.
Устранение неполадок
В этом разделе описывается процесс устранения неполадок конфигурации.
Для функции EPC, которая выполняется в Cisco IOS XE, можно использовать следующую команду отладки, чтобы проверить правильность настройки EPC:
debug epc provision
debug epc capture-point
Дополнительные сведения