在遙測代理節點上執行資料包捕獲

下載選項

  • PDF     (931.7 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (761.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (506.4 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2024 年 2 月 5 日
文件 ID:221628

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案介紹如何在思科遙測代理(CTB)代理節點上執行封包擷取。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • 基本Linux管理
    • 基本思科遙測代理架構
    • SSH基礎知識
    • 執行封包擷取時需要使用admin命令root行介面(CLI)存取許可權。

    採用元件

    本文檔中的資訊基於運行版本2.3.3的CTB代理節點。

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    設定

    CTB代理節點有一個名為ctb-pcap的工具,用於從Broker節點的遙測介面執行網路捕獲。請注意,此工具在CTB管理器節點上不可用。

    • 使用命令ctb-pcap,之前,請確保首先使用命令root切換到使用者sudo su。此工具僅對使用者可用root
    • 要檢視此工具的可用選項,請在ctb-pcap --helpBroker節點的CLI上運行命令。此圖顯示了選項的完整清單:
    • 如果您嘗試在HA代理對上執行網路捕獲,請確保嘗試從活動CTB代理執行ctb-pcap。

    system help for command

    如輸出所示,需要捕獲的資料包數、持續時間(秒)和資料包捕獲輸出檔名。此外,必須在命令中指定資料包型別,即已接收、已傳送或已丟棄的資料包。

    還有另一個相關性未列出:嘗試捕獲源埠(-p)或目標埠(-P)時,還需要傳輸協定(-T)選項。

    您可以使用下一個語法作為packet capture命令的基礎,該命令已指定捕獲的資料包數量、資料包捕獲的持續時間和檔名,以及詳細選項和資料包型別:

    ctb-pcap -V -n [number_pkts] -t [duration] -o [filename] [rx/tx/drop]

    範例

    1.捕獲所有無過濾的rx流量:
    sudo ctb-pcap -n 10000 -t 30 -o rx-no-filter.pcap -V rx

    2.捕獲ipv4 src子網的rx(對於單個src使用ip/32):
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-src-subnet.pcap -s 10.0.81.0/24 -V rx

    3. ipv6 src ip的捕獲rx:
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-srcip.pcap -s fc00:f53b:82e4::1000 -v ip6 -V rx

    4.捕獲rx for ipv4 udp
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-udp.pcap -T udp -V rx

    5. ipv4 tcp的擷取tx
    sudo ctb-pcap -n 10000 -t 30 -o tx-ipv4-tcp.pcap -T tcp -V tx

    6. Capture rx for ipv6 udp
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-udp.pcap -T udp -v ip6 -V rx

    7. ipv6 tcp的捕獲rx
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-tcp.pcap -T tcp -v ip6 -V rx

    8.捕獲rx for ipv4 udp dstport
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-udp-dstport.pcap -T udp -P 2055 -V rx

    9. ipv4 tcp dstport的擷取tx
    sudo ctb-pcap -n 10000 -t 30 -o tx-ipv4-tcp-dstport.pcap -T tcp -P 443 -V tx

    10.捕獲ipv6 udp dstport的rx
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-udp-dstport.pcap -v ip6 -T udp -P 2055 -V rx

    11. ipv6 tcp dstport的捕獲rx
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-tcp-dstport.pcap -v ip6 -T tcp -P 443 -V rx


    12.捕獲ipv4 srcip和udp dstport的rx
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-srcip-udp-dstport.pcap -s 10.0.81.171/32 -T udp -P 2055 -V rx

    13.捕獲ipv4 srcip和tcp dstport的rx
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv4-srcip-tcp-dstport.pcap -s 10.0.81.171/32 -T tcp -P 443 -V rx

    14.捕獲ipv6 srcip和udp dstport的rx
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-srcip-udp-dstport.pcap -s fc00:f53b:82e4::1000 -v ip6 -T udp -P 2055 -V rx

    15.捕獲ipv6 srcip和tcp dstport的rx
    sudo ctb-pcap -n 10000 -t 30 -o rx-ipv6-srcip-tcp-dstport.pcap -s fc00:f53b:82e4::1000 -v ip6 -T tcp -P 443 -V rx

    在Broker節點的CLI中輸入命令,資料包捕獲即開始。資料包捕獲完成後,檔案將自動儲存到目/var/lib/titan/pcap/錄。

    以下是packet capture命令詳細輸出的範例:

    Verbose output from the example command示例命令的詳細輸出

    請注意,對於資料包選項的持續時間和數量,第一個選項會停止資料包捕獲。(例如,即使尚未完成三十個持續時間,仍捕獲了總共100個資料包,則資料包捕獲將停止。在此範例中,首先到達三十秒的持續時間,因此只擷取66個封包。)

    生成資料包捕獲後,使用SCP或SFTP將檔案傳輸到本地電腦。如果使用SFTP,請輸入管理員憑據以連線到裝置。

    您還可以使用> sudo tcpdump -nnr </lavar/lib/titan/pcap/<pcap_filename>將pcap重放至控制檯。  如果您只想快速檢視捕獲資料包中是否有任何資料,這非常有用

    tcpdump output showing content of pcap file

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    1.0
    06-Feb-2024
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Omar De Felipe Solis
      Technical Consulting Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品