Мониторинг определенного типа трафика на маршрутизаторе Cisco

9

Можно ли отслеживать конкретный тип трафика, проходящий через маршрутизатор Cisco? (например, мониторинг через wireshark)

Пример: я хочу следить за трафиком http, который проходит через маршрутизатор. (или DNS, FTP, ...)

Bulki
источник

Ответы:

13

Вы можете контролировать трафик

  • на маршрутизаторе Cisco IOS 12.4 (20) T и более поздних версиях имеется функция захвата пакетов с фильтрацией по имени и направлению интерфейса и списку ACL.

    • настроить список доступа для сопоставления трафика
    • создать буфер захвата monitor capture buffer holdpackets filter access-list <number>
    • определить точку захвата, monitor capture point ...возможно, с помощью имени интерфейса, направления и т. д. - используйте встроенную справку, чтобы увидеть возможности
    • пропустить движение
    • посмотрите на буфер захвата: show monitor capture buffer holdpackets dumpиспользуйте exportвместо того, dumpчтобы получить файл PCAP для анализа Wireshark
    • не забудьте прекратить захват, удалить точку захвата и впоследствии удалить буфер захвата

    Для получения подробной информации и примеров перейдите по ссылке или посмотрите руководство по устранению неполадок Cisco .

  • на порту коммутатора , к которому подключен маршрутизатор, для этого вы можете настроить зеркальный порт на коммутаторе и отслеживать его через Wireshark

  • на брандмауэре, где проходит трафик

    Cisco ASA способны удаленно выполнять захват пакетов и выводить их в виде файла PCAP, который можно открыть локально с помощью Wireshark. ASDM предоставляет помощника для этого. Шаг за шагом вы можете указать источник и интерфейс описания, ACL или src / dest networks / host, а также протокол, который вам нравится смотреть. Вот почему мне нравится везде устанавливать ASA - CLI маршрутизатора может показаться немного сложным.

Снимок экрана мастера захвата пакетов

Стефан
источник
5

На маршрутизаторах ISR G1 / G2 вы можете использовать функцию захвата пакетов, где вы используете ACL для сопоставления трафика и сохранения его в памяти во время захвата, а затем сохраните дамп в .pcap-совместимый формат, если он вам нужен в автономном режиме:

https://supportforums.cisco.com/docs/DOC-5799

На Catalyst 4500 с более новыми супервизорами вы можете запустить wireshark.

Лукаш Бромирски
источник
3

Лучшие методы (на мой взгляд) уже были упомянуты, так что просто если вы находитесь на устройстве без этих интересных функций, запасной вариант debug ip packetсо списком доступа.

jwbensley
источник
2

Netflow - это еще один альтернативный метод мониторинга потоков трафика. Лучше, если вы хотите узнать подробности только на уровнях 3 и 4. Информацию также можно просматривать локально на маршрутизаторе без использования Wireshark.

henklu
источник