监控Cisco路由器上的特定流量类型

是否可以监视通过Cisco路由器的特定流量类型？（例如通过Wireshark进行监视）

例如：我想监视通过路由器的HTTP流量。（或DNS，FTP等）

您可以监控流量

• 在路由器（Cisco IOS 12.4（20）T及更高版本）上，有一种数据包捕获功能，具有对接口名称和方向以及ACL进行过滤的功能。

  • 设置访问列表以匹配流量
  • 创建一个捕获缓冲区 monitor capture buffer holdpackets filter access-list <number>
  • monitor capture point ...使用接口名称，方向等定义一个捕获点-使用内联帮助查看可能性
  • 让交通通过
  • 查看捕获缓冲区：show monitor capture buffer holdpackets dump，使用export代替dump获取用于Wireshark分析的PCAP文件
  • 不要忘记停止捕获，删除捕获点并随后删除捕获缓冲区

  有关详细信息和示例，请单击链接或查看Cisco故障排除手册。

• 在与路由器相连的交换机端口上，为此，您可以在交换机上设置一个镜像端口，并通过Wireshark进行监视

• 在流量通过的防火墙上

  Cisco ASA能够远程进行数据包捕获，并以PCAP文件的形式提供输出，您可以使用Wireshark在本地打开该文件。ASDM为此提供了一个助手。您可以逐步指定源和目标接口，ACL或src / dest网络/主机，以及要监视的协议。这就是为什么我喜欢到处都有ASA-使用路由器CLI似乎有点复杂。

在ISR G1 / G2路由器上，您可以使用数据包捕获功能，其中使用ACL来匹配流量，并在捕获过程中将其存储到内存中，如果需要脱机，则转储为.pcap兼容格式：

https://supportforums.cisco.com/docs/DOC-5799

在具有更新的主管的Catalyst 4500上，您实际上可以运行wireshark。

最好的方法（在我看来）已经提到过，因此，如果您使用的设备没有这些很酷的功能，那么后备选项就是debug ip packet访问列表。

Netflow是监视流量的另一种替代方法。如果只想了解第3层和第4层的详细信息，那就更好了。这些信息也可以在路由器上本地查看，而不需要Wireshark。

如果您的路由器上没有Embedded Packet Capture，则可以尝试使用RITE：http： //www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_rawip.html