Monitoruj określony typ ruchu na routerze Cisco

9

Czy można monitorować określony typ ruchu przechodzącego przez router Cisco? (jak monitorowanie przez Wireshark)

Np .: Chcę monitorować ruch HTTP, który przechodzi przez router. (lub DNS, FTP, ...)

cisco  monitoring  troubleshooting  cisco-commands 
Bulki
źródło

Odpowiedzi:

13

Możesz monitorować ruch

  • na routerze, Cisco IOS 12.4 (20) T i nowszych, dostępna jest funkcja przechwytywania pakietów , z filtrowaniem według nazwy i kierunku interfejsu oraz listy ACL.

    • skonfiguruj listę dostępu w celu dopasowania do ruchu
    • utwórz bufor przechwytywania monitor capture buffer holdpackets filter access-list <number>
    • Zdefiniuj punkt przechwytywania, monitor capture point ...ewentualnie z nazwą interfejsu, kierunkiem i nie tylko - użyj wbudowanej pomocy, aby zobaczyć możliwości
    • przepuścić ruch uliczny
    • spójrz na bufor przechwytywania :, show monitor capture buffer holdpackets dumpużyj exportzamiast, dumpaby uzyskać plik PCAP do analizy Wireshark
    • nie zapomnij przerwać przechwytywania, usuń punkt przechwytywania, a następnie usuń bufor przechwytywania

    Aby uzyskać szczegółowe informacje i przykłady, kliknij link lub zapoznaj się z instrukcją rozwiązywania problemów Cisco .

  • na switchport, do którego podłączony jest router, w tym celu można skonfigurować port lustrzany na przełączniku i monitorować to przez Wireshark

  • na zaporze ogniowej, gdzie przechodzi ruch

    Cisco ASA są w stanie zdalnie wykonywać przechwytywanie pakietów i dostarczać dane wyjściowe w postaci pliku PCAP, który można otworzyć lokalnie za pomocą Wireshark. ASDM zapewnia do tego asystenta. Krok po kroku możesz określić interfejs źródłowy i docelowy, listy ACL lub sieci src / dest / host oraz protokół, który chcesz oglądać. Dlatego lubię mieć wszędzie ASA - z CLI routera może wydawać się trochę skomplikowane.

Zrzut ekranu kreatora przechwytywania pakietów

Stefan
źródło
5

Na routerach ISR G1 / G2 możesz użyć funkcji przechwytywania pakietów, w której używasz ACL, aby dopasować ruch i przechowywać go w pamięci podczas przechwytywania, a następnie zrzucić do formatu zgodnego z .pcap, jeśli potrzebujesz go offline:

https://supportforums.cisco.com/docs/DOC-5799

Na Catalyst 4500 z nowszymi Supervisorami możesz faktycznie uruchomić Wireshark.

Łukasz Bromirski
źródło
3

Najlepsze metody (moim zdaniem) zostały już wspomniane, więc po prostu korzystaj z urządzenia bez tych fajnych funkcji, opcja rezerwowa debug ip packetz listą dostępu.

jwbensley
źródło
2

Netflow to kolejna alternatywna metoda monitorowania przepływów ruchu. Lepiej jest, jeśli chcesz poznać szczegóły tylko na warstwach 3 i 4. Informacje te można również wyświetlać lokalnie na routerze bez potrzeby Wireshark.

henklu
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.