在遥测代理节点上执行数据包捕获

下载选项

  • PDF     (919.9 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (761.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (506.4 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 2 月 5 日
文档 ID:221628

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何在思科遥测代理(CTB)代理节点上执行数据包捕获。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 基本Linux管理
    • 基本思科遥测代理架构
    • SSH基础知识
    • 执行数据包捕获时需要使用adminroot命令行界面(CLI)访问。

    使用的组件

    本文档中的信息基于运行版本2.3.3的CTB代理节点。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    配置

    CTB代理节点有一个称为ctb-pcap的工具,用于从代理节点的遥测接口执行网络捕获。请注意,此工具在CTB管理器节点不可用。

    • 使用命令之前ctb-pcap,,请确保首先使用命令root切换到用sudo su户。此工具仅对用户可用root
    • 要查看此工具的可用选项,请在Broker节ctb-pcap --help点的CLI上运行命令。此图像显示了选项的完整列表:
    • 如果您尝试在HA代理对上执行网络捕获,请确保尝试从活动CTB代理执行ctb-pcap。

    system help for command

    如输出所示,需要捕获的数据包数量、持续时间(以秒为单位)和数据包捕获输出文件名。此外,必须在命令中说明数据包类型(接收、发送或丢弃数据包)。

    还有一个相关性也未被列出:尝试捕获源端口(-p)或目标端口(-P)时,还需要传输协议(-T)选项。

    您可以使用以下语法作为packet capture命令的基础,该命令已指定捕获的数据包数量、数据包捕获的持续时间和文件名,以及详细选项和数据包类型:

    ctb-pcap -V -n [number_pkts] -t [duration] -o [filename] [rx/tx/drop]

    Examples

    1.捕获所有无过滤器的接收流量:
    sudo ctb-pcap -n 10000 -t 30 -o rx-no-filter.pcap -V rx

    2.捕获ipv4 src子网的rx(使用ip/32表示单源):
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-src-subnet.pcap -s 10.0.81.0/24 -V rx

    3. ipv6 src ip的捕获rx:
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-srcip.pcap -s fc00:f53b:82e4::1000 -v ip6 -V rx

    4.捕获ipv4 udp的rx
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-udp.pcap -T udp -V rx

    5.捕获ipv4 tcp的tx
    sudo ctb-pcap -n 10000 -t 30 -o tx-ipv4-tcp.pcap -T tcp -V tx

    6.捕获rx for ipv6 udp
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-udp.pcap -T udp -v ip6 -V rx

    7.捕获ipv6 tcp的rx
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-tcp.pcap -T tcp -v ip6 -V rx

    8.捕获ipv4 udp dstport的rx
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-udp-dstport.pcap -T udp -P 2055 -V rx

    9.捕获ipv4 tcp dstport的tx
    sudo ctb-pcap -n 10000 -t 30 -o tx-ipv4-tcp-dstport.pcap -T tcp -P 443 -V tx

    10.捕获ipv6 udp dstport的rx
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-udp-dstport.pcap -v ip6 -T udp -P 2055 -V rx

    11.捕获ipv6 tcp dstport的rx
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-tcp-dstport.pcap -v ip6 -T tcp -P 443 -V rx


    12.捕获ipv4 srcip和udp dstport的rx
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-srcip-udp-dstport.pcap -s 10.0.81.171/32 -T udp -P 2055 -V rx

    13.捕获ipv4 srcip和tcp dstport的rx
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-srcip-tcp-dstport.pcap -s 10.0.81.171/32 -T tcp -P 443 -V rx

    14.捕获ipv6 srcip和udp dstport的rx
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-srcip-udp-dstport.pcap -s fc00:f53b:82e4::1000 -v ip6 -T udp -P 2055 -V rx

    15.捕获ipv6 srcip和tcp dstport的rx
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-srcip-tcp-dstport.pcap -s fc00:f53b:82e4::1000 -v ip6 -T tcp -P 443 -V rx

    在Broker节点的CLI中输入命令,数据包捕获随即开始。数据包捕获完成后,文件将自动保存到目/var/lib/titan/pcap/录。

    以下是packet capture命令的详细输出示例:

    Verbose output from the example command示例命令的详细输出

    请注意,对于数据包选项的持续时间和数量,第一个选项会停止数据包捕获。(例如,如果总共捕获了100个数据包,即使持续时间的30个尚未完成,数据包捕获也会停止。在本例中,首先达到三十秒的持续时间,因此只捕获了66个数据包。)

    生成数据包捕获后,使用SCP或SFTP将文件传输到本地计算机。如果使用SFTP,请输入管理员凭证以连接到设备。

    您还可以使用> sudo tcpdump -nnnr </lavar/lib/titan/pcap/<pcap_filename>将pcap重播到控制台。  如果您只想快速查看捕获数据包中是否包含任何数据,这会非常有用

    tcpdump output showing content of pcap file

    相关信息

    修订历史记录

    版本 发布日期 备注
    1.0
    06-Feb-2024
    初始版本
    TAC Authored

    由思科工程师提供

    • 奥马尔·德费利佩·索利斯
      技术咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品