简介
本文档介绍Cisco IOS®软件中的嵌入式数据包捕获(EPC)功能。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科IOS®版本12.4(20)T或更高版本
- 思科IOS XE®版本15.2(4)S - 3.7.0或更高版本
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
启用后,路由器将捕获发送和接收的数据包。
数据包存储在DRAM的缓冲区中,不会通过重新加载而持续。
捕获数据后,可以在路由器的摘要视图或详细视图中对其进行检查。
此外,数据可导出为数据包捕获(PCAP)文件,以便进一步检查。
该工具在执行模式下配置,被视为临时协助工具。
因此,工具配置不存储在路由器配置中,在系统重新加载后不会保持原样。
Packet Capture Config Generator and Analyzer工具可供思科客户用于协助配置、捕获和提取数据包捕获。
Cisco IOS®配置示例
基本EPC配置
- 定义“捕获缓冲区”,即存储捕获数据包的临时缓冲区。
- 定义缓冲区时,可以选择多种选项;例如大小、最大数据包大小和循环/线性:
monitor capture buffer BUF size 2048 max-size 1518 linear
- 过滤器可用于将捕获限制为所需流量。在配置模式下定义访问控制列表(ACL),并将过滤器应用到缓冲区:
ip access-list extended BUF-FILTER
permit ip host 192.168.1.1 host 172.16.1.1
permit ip host 172.16.1.1 host 192.168.1.1
monitor capture buffer BUF filter access-list BUF-FILTER
- 定义捕获点,该捕获点定义捕获发生的位置。
- 捕获点还定义捕获是针对IPv4还是IPv6进行,以及在哪个交换路径(进程与CEF)中执行:
monitor capture point ip cef POINT fastEthernet 0 both
- 将缓冲区连接到捕获点:
monitor capture point associate POINT BUF
- 开始捕获:
monitor capture point start POINT
- 捕获现在处于活动状态。允许收集必要的数据。
- 停止捕获:
monitor capture point stop POINT
- 检查设备上的缓冲区:
show monitor capture buffer BUF dump
注意:此输出仅显示数据包捕获的十六进制转储。要以人类可读性查看它们,有两种方法。
从路由器导出缓冲区以进一步分析:
monitor capture buffer BUF export tftp://10.1.1.1/BUF.pcap
提示:已提交增强请求(CSCxxYYYYY),以便在“导出”下添加邮件收件人选项,以便将缓冲区直接发送到邮件ID。
前一种方法并不总是实用,因为它需要T/FTP访问路由器。在这种情况下,请复制十六进制转储并使用任何联机hex-pcap转换器以查看文件。
- 收集必要数据后,删除“捕获点”和“捕获缓冲区”:
no monitor capture point ip cef POINT fastEthernet 0 both
no monitor capture buffer BUF
注意:
- 在早于Cisco IOS® 15.0(1)M的版本中,缓冲区大小限制为512K。
- 在早于Cisco IOS® 15.0(1)M的版本中,捕获的数据包大小限制为1024字节。
- 数据包缓冲区存储在DRAM中,不会通过重新加载而持续。
- 捕获配置不存储在NVRAM中,并且不会在重新加载后继续存在。
- 捕获点可定义为在CEF或进程交换路径中捕获。
- 捕获点可定义为仅在接口上捕获或全局捕获。
- 以PCAP格式导出捕获缓冲区时,不会保留L2信息(如以太网封装)。
- 请参阅搜索命令的最佳实践,以获取有关本节中使用的命令的详细信息。
基本IP流量 — 导出配置
IP流量导出是导出在多个同时WAN或LAN接口上接收的IP数据包的另一种方法。
1.在配置模式下定义IP流量导出配置文件。
Device(config)# ip traffic-export profile mypcap mode capture
2.在配置文件中配置双向流量。
Device(config-rite)# bidirectional
3.退出
4.指定导出流量的接口。
Device(config-if)# interface GigabitEthernet 0/1
5.在接口上启用IP流量导出。
Device(config-if)# ip traffic-export apply mypcap size 10000000
6.退出
7.开始捕获。捕获现在处于活动状态。允许收集必要的数据。
Device# traffic-export interface GigabitEthernet 0/1 start
8.停止捕获。
Device# traffic-export interface GigabitEthernet 0/1 stop
9.将捕获导出到外部TFTP服务器。
Device# traffic-export interface GigabitEthernet 0/1 copy tftp://
/mypcap.pcap
10.收集必要数据后,删除配置文件。
Device(config)# no ip traffic-export profile mypcap
注意:
与EPC方法相比,IP流量导出有以下缺点:
- 导出捕获流量的接口必须是以太网接口。
- 不支持IPv6。
- 无第2层信息,仅第3层及更高层。
Cisco IOS-XE®配置示例
嵌入式数据包捕获功能在Cisco IOS-XE® 3.7 - 15.2(4)S版中引入。
捕获的配置与Cisco IOS®不同,因为它添加了更多功能。
基本EPC配置
- 定义捕获发生的位置:
monitor capture CAP interface GigabitEthernet0/0/1 both
- 关联过滤器。过滤器是内联指定的,或可以引用ACL或类映射:
monitor capture CAP match ipv4 protocol tcp any any limit pps 1000000
- 开始捕获:
monitor capture CAP start
- 捕获现在处于活动状态。允许它收集必要的数据。
- 停止捕获:
monitor capture CAP stop
- 在摘要视图中检查捕获:
show monitor capture CAP buffer brief
- 以详细视图检查捕获:
show monitor capture CAP buffer detailed
- 此外,以PCAP格式导出捕获以供进一步分析:
monitor capture CAP export tftp://10.0.0.1/CAP.pcap
- 收集必要数据后,删除捕获:
no monitor capture CAP
注意:
- 捕获在物理接口、子接口和隧道接口上执行。
- 目前不支持基于网络的应用识别(NBAR)的过滤器(在类映射下使用match protocol命令)。
- 要获取有关本节中使用的命令的详细信息,请参阅搜索命令的最佳实践。
验证
当前没有可用于此配置的验证过程。
故障排除
本部分提供的信息可用于对配置进行故障排除。
对于在Cisco IOS-XE®上运行的EPC,此debug命令用于确保正确设置EPC:
debug epc provision
debug epc capture-point
相关信息