捕获Cisco IOS和IOS-XE的嵌入式数据包配置示例

简介

本文档介绍Cisco IOS®软件中的嵌入式数据包捕获(EPC⁾功能。 

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 思科IOS®版本12.4(20)T或更高版本
• 思科IOS XE®版本15.2(4)S - 3.7.0或更高版本

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

启用后，路由器将捕获发送和接收的数据包。

数据包存储在DRAM的缓冲区中，不会通过重新加载而持续。

捕获数据后，可以在路由器的摘要视图或详细视图中对其进行检查。

此外，数据可导出为数据包捕获(PCAP)文件，以便进一步检查。

该工具在执行模式下配置，被视为临时协助工具。

因此，工具配置不存储在路由器配置中，在系统重新加载后不会保持原样。

Packet Capture Config Generator and Analyzer工具可供思科客户用于协助配置、捕获和提取数据包捕获。

Cisco IOS®配置示例

基本EPC配置

1. 定义“捕获缓冲区”，即存储捕获数据包的临时缓冲区。
2. 定义缓冲区时，可以选择多种选项；例如大小、最大数据包大小和循环/线性：
   
   

   monitor capture buffer BUF size 2048 max-size 1518 linear

3. 过滤器可用于将捕获限制为所需流量。在配置模式下定义访问控制列表(ACL)，并将过滤器应用到缓冲区：
   
   

   ip access-list extended BUF-FILTER
       permit ip host 192.168.1.1 host 172.16.1.1
       permit ip host 172.16.1.1 host 192.168.1.1

   monitor capture buffer BUF filter access-list BUF-FILTER

4. 定义捕获点，该捕获点定义捕获发生的位置。
5. 捕获点还定义捕获是针对IPv4还是IPv6进行，以及在哪个交换路径（进程与CEF）中执行：
   
   

   monitor capture point ip cef POINT fastEthernet 0 both

6. 将缓冲区连接到捕获点：
   
   

   monitor capture point associate POINT BUF

7. 开始捕获：
   
   

   monitor capture point start POINT

8. 捕获现在处于活动状态。允许收集必要的数据。
   
   
9. 停止捕获：
   
   

   monitor capture point stop POINT

10. 检查设备上的缓冲区：
    
    

    show monitor capture buffer BUF dump

    注意：此输出仅显示数据包捕获的十六进制转储。要以人类可读性查看它们，有两种方法。

    从路由器导出缓冲区以进一步分析：
    
    

    monitor capture buffer BUF export tftp://10.1.1.1/BUF.pcap

    提示：已提交增强请求(CSCxxYYYYY)，以便在“导出”下添加邮件收件人选项，以便将缓冲区直接发送到邮件ID。

    前一种方法并不总是实用，因为它需要T/FTP访问路由器。在这种情况下，请复制十六进制转储并使用任何联机hex-pcap转换器以查看文件。
11. 收集必要数据后，删除“捕获点”和“捕获缓冲区”：

    no monitor capture point ip cef POINT fastEthernet 0 both
    no monitor capture buffer BUF

注意：

• 在早于Cisco IOS® 15.0(1)M的版本中，缓冲区大小限制为512K。
• 在早于Cisco IOS® 15.0(1)M的版本中，捕获的数据包大小限制为1024字节。
• 数据包缓冲区存储在DRAM中，不会通过重新加载而持续。
• 捕获配置不存储在NVRAM中，并且不会在重新加载后继续存在。
• 捕获点可定义为在CEF或进程交换路径中捕获。
• 捕获点可定义为仅在接口上捕获或全局捕获。
• 以PCAP格式导出捕获缓冲区时，不会保留L2信息（如以太网封装）。
• 请参阅搜索命令的最佳实践，以获取有关本节中使用的命令的详细信息。

基本IP流量 — 导出配置

IP流量导出是导出在多个同时WAN或LAN接口上接收的IP数据包的另一种方法。

1.在配置模式下定义IP流量导出配置文件。

Device(config)# ip traffic-export profile mypcap mode capture

2.在配置文件中配置双向流量。

Device(config-rite)# bidirectional

3.退出

4.指定导出流量的接口。

Device(config-if)# interface GigabitEthernet 0/1

5.在接口上启用IP流量导出。

Device(config-if)# ip traffic-export apply mypcap size 10000000

6.退出

7.开始捕获。捕获现在处于活动状态。允许收集必要的数据。

Device# traffic-export interface GigabitEthernet 0/1 start

8.停止捕获。

Device# traffic-export interface GigabitEthernet 0/1 stop

9.将捕获导出到外部TFTP服务器。

Device# traffic-export interface GigabitEthernet 0/1 copy tftp:// 
      
        /mypcap.pcap 
      

10.收集必要数据后，删除配置文件。

Device(config)# no ip traffic-export profile mypcap

注意：

与EPC方法相比，IP流量导出有以下缺点：

Cisco IOS-XE®配置示例

嵌入式数据包捕获功能在Cisco IOS-XE® 3.7 - 15.2(4)S版中引入。

捕获的配置与Cisco IOS®不同，因为它添加了更多功能。

基本EPC配置

1. 定义捕获发生的位置：
   
   

   monitor capture CAP interface GigabitEthernet0/0/1 both

2. 关联过滤器。过滤器是内联指定的，或可以引用ACL或类映射：
   
   

   monitor capture CAP match ipv4 protocol tcp any any limit pps 1000000 

3. 开始捕获：
   
   

   monitor capture CAP start

4. 捕获现在处于活动状态。允许它收集必要的数据。
   
   
5. 停止捕获：
   
   

   monitor capture CAP stop

6. 在摘要视图中检查捕获：
   
   

   show monitor capture CAP buffer brief

7. 以详细视图检查捕获：
   
   

   show monitor capture CAP buffer detailed 

8. 此外，以PCAP格式导出捕获以供进一步分析：
   
   

   monitor capture CAP export tftp://10.0.0.1/CAP.pcap

9. 收集必要数据后，删除捕获：
   
   

   no monitor capture CAP

注意：

• 捕获在物理接口、子接口和隧道接口上执行。
• 目前不支持基于网络的应用识别(NBAR)的过滤器(在类映射下使用match protocol命令)。
• 要获取有关本节中使用的命令的详细信息，请参阅搜索命令的最佳实践。

验证

当前没有可用于此配置的验证过程。

故障排除

本部分提供的信息可用于对配置进行故障排除。

对于在Cisco IOS-XE®上运行的EPC，此debug命令用于确保正确设置EPC:

debug epc provision
debug epc capture-point

相关信息

• 嵌入式数据包捕获 — Cisco IOS-XE
• 嵌入式数据包捕获 — Cisco IOS
• 技术支持和文档 - Cisco Systems