Captura de Pacotes .pcap Local em IOS cisco.

Publicado por

Boa tarde, Caros leitores.

Imagino que já tiveram problemas na hora de realizar uma analise na rede?

Falta de portas para conectar um notebook e fazer captura de pacotes?

Ou no caso de um troubleshoot remoto, como fazer para ter essas informações na mão?

Temos respostas para essa pergunta, Captura de pacotes .pcap local em IOS cisco.

Como funciona essa tecnologia? Informações retiradas do site da cisco, Quando permitido, o roteador captura os pacotes enviados e recebidos. Os pacotes são armazenados dentro de um buffer no DRAM e não são assim persistentes através de um reload. Uma vez que os dados são capturados, podem ser examinados em um sumário ou em uma vista detalhada no roteador. Além, os dados podem ser exportados como um arquivo da captura de pacote de informação (PCAP) para permitir um exame mais adicional. A ferramenta é configurada no modo exec e considerada uma ferramenta provisória do auxílio. Em consequência, a configuração da ferramenta não é armazenada dentro da configuração de roteador e não permanecerá no lugar após um recarregamento do sistema”

Como configurar?  Exemplo de configuração em IOS.

Configuração básica do EPC

  1. Defina da “um buffer captação”, que seja um buffer provisório que os pacotes capturados estão armazenados dentro. Há as várias opções que podem ser selecionadas quando o buffer é definido; como o tamanho, o tamanho do pacote do maxium, e o circular/o Linear:
    monitor capture buffer BUF size 2048 max-size 1518 linear
  2. Um filtro pode igualmente ser aplicado para limitar a captação ao tráfego desejado. Defina um Access Control List (ACL) dentro do modo de configuração e aplique o filtro ao buffer:
    ip access-list extended BUF-FILTER
        permit ip host 192.168.1.1 host 172.16.1.1
        permit ip host 172.16.1.1 host 192.168.1.1
    monitor capture buffer BUF filter access-list BUF-FILTER
  3. Defina da “um ponto captação”, que defina o lugar onde a captação ocorre. O ponto da captação igualmente define se a captação ocorre para o IPv4 ou o IPv6 e em que trajeto de switching (processo contra o cef):
    monitor capture point ip cef POINT fastEthernet 0 both
  4. Anexe o buffer ao ponto da captação:
    monitor capture point associate POINT BUF
  5. Comece a captação:
    monitor capture point start POINT
  6. A captação é agora ativa. Permita a coleção dos dados necessários.
  7. Pare a captação:
    monitor capture point stop POINT
  8. Examine o buffer na unidade:
    show monitor capture buffer BUF dump

    Nota: Esta saída mostra somente a cópia parcial da memória de HEX das captações dos pacotes. A fim ver em compreensível para o utilizador lá são duas maneiras.

    1. Exporte o buffer do roteador para a análise mais aprofundada:
      monitor capture buffer BUF export tftp://10.1.1.1/BUF.pcap

      Dica: A requisição de aprimoramento CSCuw77601 foi arquivada a fim adicionar a correio-à opção sob a exportação assim que você pode enviar por correio eletrónico o buffer diretly a uma email-identificação.

    2. Contudo o método anterior não é sempre prático como ele exigiu o acesso T/FTP ao roteador. Em tais situações, você pode tomar uma cópia da cópia parcial da memória de HEX e para usar todo o em linha encantar-pcap o conversor a fim ver os arquivos.
  9. Uma vez que os dados necessários foram recolhidos, suprima da “do ponto captação” e “capture o buffer”:
    no monitor capture point ip cef POINT fastEthernet 0 both
    no monitor capture buffer BUF

 

Segue exemplo de configuração Cisco IOS XE.

Configuração básica do EPC

  1. Defina o lugar onde a captação ocorrerá:
    monitor capture CAP interface GigabitEthernet0/0/1 both
  2. Associe um filtro. O filtro pode ser especificado inline, ou um ACL ou o mapa de classe podem ser providos:
    monitor capture CAP match ipv4 protocol tcp any any
  3. Comece a captação:
    monitor capture CAP start
  4. A captação é agora ativa. Permita que recolha os dados necessários.
  5. Pare a captação:
    monitor capture CAP stop
  6. Examine a captação em uma vista sumária:
    show monitor capture CAP buffer brief
  7. Examine a captação em uma vista detalhada:
    show monitor capture CAP buffer detailed
  8. Além, exporte a captação no formato PCAP para a análise mais aprofundada:
    monitor capture CAP export ftp://10.0.0.1/CAP.pcap
  9. Uma vez que os dados necessários foram recolhidos, remova a captação:
    no monitor capture CAP

Notas:

  • A captação pode ser executada em interfaces física, em subinterfaces, e em interfaces de túnel.
  • O Network Based Application Recognition (NBAR) baseou filtros, esse uso o comando match protocol sob o mapa de classe, não é apoiado atualmente.
  • Veja melhores prática procurando comandos a fim obter mais informação nos comandos usados nesta seção.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Para o EPC que é executado no Cisco IOS XE, este comando debug pode ser usado para assegurar-se de que o EPC se estabeleça corretamente:

debug epc provision
debug epc capture-point

 

Lembrando que essas informações foram tiradas direto do site da cisco, maiores detalhes, favor acessar o site oficial: https://www.cisco.com/c/pt_br/support/docs/ios-nx-os-software/ios-embedded-packet-capture/116045-productconfig-epc-00.html

Bons estudos e até o próximo post!!!

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.