如何捕获Cisco IOS交换机上的流量?

23

为了调查客户端到服务器通信中的问题,我需要捕获数据包以进行分析。但是,不允许在客户端或服务器上安装数据包分析器,例如Wireshark或tcpdump。他们的客户端连接到Catalyst 3560,服务器连接到Catalyst 3750交换机。

我可以将笔记本电脑插入交换机端口,以使用笔记本电脑的数据包分析器捕获流量吗?如何?

cisco  monitoring  cisco-ios  wireshark 
斯特凡
source
我在这里对Brocade做了同样的自我回答问题:networkengineering.stackexchange.com/questions/672/…感觉有点奇怪... :)
本杰明·
@BenjaminA。大!感谢您为Brocade提供的解决方案,并在此处添加链接!
Stefan
会话中是否存在允许捕获的PC /服务器仍然从DHCP获得IP的配置?
mickeyHR '16
有什么答案对您有帮助吗?如果是这样,您应该接受答案,这样问题就不会永远弹出来寻找答案。或者,您可以提供并接受自己的答案。
罗恩·莫平

Answers:

34

可以监视客户端交换端口或服务器交换端口。可以将第三个交换端口配置为镜像端口。这意味着该镜像端口将在相应的原始端口上接收所有数据包的副本,而原始流量不会受到影响。

例如,在Catalyst 3560上:

  1. 进入配置模式:

    conf t

  2. 定义源并设置会话号:

    monitor session 1 source interface fa 0/24

    在这里,会话号可以是1到66,您也可以指定VLAN或以太网通道。另外,如果您想同时监视多个客户端,fa 0/25 - 26则可以使用接口范围(例如)和接口列表(例如)fa 0/24,fa 0/26。同样,通过重复该命令,您可以添加端口,也可以使用删除端口no。不能在同一会话中混合端口和VLAN,另一个限制是您不能将目标端口用作源端口。

  3. 定义目标端口:

    monitor session 1 destination interface gi 0/1

    您可以使用普通端口,但不能使用VLAN。与上面类似,目标端口不能是源端口:此处使用的端口可以是源端口或目标端口,并且只能是一个会话。同样,您可以像上面一样指定多个端口。

  4. 您可能需要exit配置模式并保存配置。

  5. 您可以看一下您定义的会话-这里有多个端口,如上尝试过:

    #show monitor session 1
Session 1
---------
Type                   : Local Session
Source Ports           :
    Both               : Fa0/24,Fa0/25-26
Destination Ports      : Fa0/48,Gi0/1
    Encapsulation      : Native
          Ingress      : Disabled

    您可以在此处看到封装-可以选择将其设置replicate为复制源接口封装方法,例如通过encapsulation replicate在源接口之后添加。此外,你可以指定一个方向(txrxboth),过滤VLAN等等。该Ingress: Disabled行表示交换机将不接受您的捕获设备在目标端口上呈现给它的任何帧。有关此类更详细的信息以及进一步的限制和默认设置,请查看交换机的IOS版本的命令参考。

一旦配置了源端口和目标端口,就可以使用连接到目标端口的便携式计算机来捕获流量,例如使用Wireshark。

可以限制源会话的数量,例如3560支持最多2个。

捕获后,不要忘记删除此会话配置。

斯特凡
source
1
您可以将监视器会话留在原处,而仅禁用主机监视器的NIC上的链接。数据包将不会被捕获并通过已关闭的链接发送。在Windows服务器上,我有两个网卡,其中一个叫做SPAN。当我不想让交换机承担捕获开销时,我只需进入网络属性并禁用SPAN NIC。(通常,源端口已更改,但目标端口保持不变,因此我知道以后我将再次镜像到同一目标主机。)
generalnetworkerror
要禁用监控器会话,请使用# no monitor session 1
wimh 2015年
17

如果您的流量恰好通过运行Cisco IOS 12.4(20)T或更高版本的路由器,则另一种可能性是使用嵌入式数据包捕获功能。

此功能在3560或3750等交换机平台上不可用。

此功能的作用是在路由器上捕获并保存一个小的PCAP文件,您可以使用Wireshark下载和分析该文件。

一个 环节细节

迈克·马洛塔(Mike Marotta)
source
7
...这正是人们在发布并回答自己的问题时很好的原因:因为提示其他用户跳入并添加新内容。甜。
克雷格·康斯坦丁
在进行此操作时,ASA始终使用capture命令具有此功能。它是从PIX继承的,从6.2开始。
James Sneeringer 2013年
5

我想添加ELAM。PFC3(6500、7600)支持ELAM。

您需要启用“内部服务”,但是要运行它是非常安全的功能,我已经在生产网络中运行了它,而且还没有遇到负面影响。

本质上,ELAM所做的是显示通过DBUS(Data BUS)发送给PFC进行查找处理的内容以及PFC在RBUS(Result BUS)中提供的查找结果。

  1. 显示平台盖Elam Asic Superman插槽DFC / PFC_SLOT_YOU_WANT_TO_LOOK
  2. 如果ip_sa = 192.0.2.1,则显示平台上限触发dbus ipv4
  3. 显示平台帽开始
  4. 显示平台封顶数据

对于触发器,有在线帮助,IP_SA == IP源地址,IP_DA == IP目标地址,还有许多其他可用。如果您要检查的内容不可用,则可以对前64B上的任意数据进行数据+掩码匹配。
任意触发器有点尴尬,但可以确保生命安全,您可以像这样使用它:

如果data = DATA1 DATA2 DATAn [MASK1 MASK2 MASKn],则显示平台捕获elam触发dbus其他

数据从DMAC开始。假设我们要捕获[0 1951]的传入MPLS堆栈,但是我们并不关心MAC地址,我们可以这样做:

如果数据= 0 0 0 0x88470000 0x00000079 0xF0000000 [0 0 0 0xffffffff 0xf000ffff 0xf0000000],则显示平台捕获elam触发器dbus其他

示例输出可能是:

7600#show platform capture elam data
DBUS data:
SEQ_NUM                          [5] = 0x1D
QOS                              [3] = 1
QOS_TYPE                         [1] = 0
TYPE                             [4] = 0 [ETHERNET]
STATUS_BPDU                      [1] = 0
IPO                              [1] = 1
NO_ESTBLS                        [1] = 0
RBH                              [3] = b000   ! port-channel hash
CR                               [1] = 1      ! recirculated
TRUSTED                          [1] = 1
NOTIFY_IL                        [1] = 0
NOTIFY_NL                        [1] = 0
DISABLE_NL                       [1] = 0
DISABLE_IL                       [1] = 0
DONT_FWD                         [1] = 0
INDEX_DIRECT                     [1] = 0
DONT_LEARN                       [1] = 0
COND_LEARN                       [1] = 0
BUNDLE_BYPASS                    [1] = 0
QOS_TIC                          [1] = 1
INBAND                           [1] = 0
IGNORE_QOSO                      [1] = 0
IGNORE_QOSI                      [1] = 0
IGNORE_ACLO                      [1] = 0
IGNORE_ACLI                      [1] = 0
PORT_QOS                         [1] = 0
CACHE_CNTRL                      [2] = 0 [NORMAL]
VLAN                             [12] = 4086
SRC_FLOOD                        [1] = 0
SRC_INDEX                        [19] = 0xC0          ! divmod64(0xc0) = 3,0, add 1 to each, 4/1 == our physical port
LEN                              [16] = 102
FORMAT                           [2] = 0 [IP]
MPLS_EXP                         [3] = 0x0
REC                              [1] = 0
NO_STATS                         [1] = 0
VPN_INDEX                        [10] = 0x7F
PACKET_TYPE                      [3] = 0 [ETHERNET]
L3_PROTOCOL                      [4] = 0 [IPV4]
L3_PT                            [8] = 1 [ICMP]
MPLS_TTL                         [8] = 0
SRC_XTAG                         [4] = 0xF
DEST_XTAG                        [4] = 0xA
FF                               [1] = 0
MN                               [1] = 0
RF                               [1] = 1
SC                               [1] = 0
CARD_TYPE                        [4] = 0x0
DMAC                             = 8843.e1de.22c0
SMAC                             = 0000.0000.0000
IPVER                            [1] = 0 [IPV4]
IP_DF                            [1] = 1
IP_MF                            [1] = 0
IP_HDR_LEN                       [4] = 5
IP_TOS                           [8] = 0x0
IP_LEN                           [16] = 84
IP_HDR_VALID                     [1] = 1
IP_CHKSUM_VALID                  [1] = 1
IP_L4HDR_VALID                   [1] = 1
IP_OFFSET                        [13] = 0
IP_TTL                           [8] = 63
IP_CHKSUM                        [16] = 0xBCF1
IP_SA                            = x.x.x       ! to protect the guilty
IP_DA                            = y.y.y.y     ! to protect the guilty
ICMP_TYPE                        [8] = 0x8
ICMP_CODE                        [8] = 0x0
ICMP_DATA [104]
0000:  A0 8B 18 A5 00 39 46 35 BF 51 00 6F 3C            ".....9F5.Q.o<"
CRC                              [16] = 0x71B3

RBUS data:
SEQ_NUM                          [5] = 0x1D
CCC                              [3] = b100 [L3_RW]  ! normal L3_RW, we know it was not dropped, L2/mls policed etc
CAP1                             [1] = 0
CAP2                             [1] = 0
QOS                              [3] = 0
EGRESS                           [1] = 0
DT                               [1] = 0 [IP]
TL                               [1] = 0 [B32]
FLOOD                            [1] = 1
DEST_INDEX                       [19] = 0x3E8    ! same as VLAN, but not always    
VLAN                             [12] = 1000     ! you may need to check internal vlan     
RBH                              [3] = b111      ! again, port-channel hash
RDT                              [1] = 0
GENERIC                          [1] = 0
EXTRA_CICLE                      [1] = 0
FABRIC_PRIO                      [1] = 0
L2                               [1] = 0
FCS1                             [8] = 0x1
IP_TOS_VALID                     [1] = 1
IP_TOS_OFS                       [7] = 15
IP_TOS                           [8] = 0x0
IP_TTL_VALID                     [1] = 1
IP_TTL_OFS                       [7] = 22
IP_TTL                           [8] = 62
IP_CSUM_VALID                    [1] = 1
IP_CSUM_OFS                      [7] = 24
IP_CSUM                          [16] = 0xBDF1
DELTA_LEN                        [8] = 0
REWRITE_INFO
 i0  - replace bytes from ofs 0 to ofs 11 with seq 'D0 D0 FD 09 34 2D 88 43 E1 DE 22 C0'.   ! this is the actual L2 rewrite data, so you should obviously see DMAC and SMAC here 
FCS2                             [8] = 0x0
7600#

几乎所有较大的平台都具有此类用于传输数据包的低级捕获,当您需要验证硬件是否按照配置说明进行操作,有时存在软件缺陷并且其功能超出预期时,该功能特别有用。
我知道在GSR中您可以看到内存中的传输,在Juniper Trio中也有很好的工具。博科可以做到。它们在供应商页面中没有记录,这很令人困惑。

ytti
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.