Контроль конкретного типу трафіку на маршрутизаторі Cisco


9

Чи можливо відстежувати конкретний тип трафіку, що проходить через маршрутизатор cisco? (наприклад, моніторинг за допомогою дроту)

Наприклад: Я хочу відслідковувати http-трафік конкретно, що проходить через маршрутизатор. (або DNS, FTP, ...)

Відповіді:


13

Ви могли стежити за трафіком

  • на маршрутизаторі, Cisco IOS 12.4 (20) T і пізніших, є функція захоплення пакетів , з фільтруванням по імені інтерфейсу та напрямку та ACL.

    • налаштувати список доступу для відповідності трафіку
    • створити буфер захоплення monitor capture buffer holdpackets filter access-list <number>
    • визначте точку захоплення, monitor capture point ...можливо, з назвою інтерфейсу, напрямком тощо - скористайтеся вбудованою допомогою, щоб побачити можливості
    • нехай рух проходить
    • подивіться на буфер захоплення:, show monitor capture buffer holdpackets dumpвикористовуйте exportзамість, dumpщоб отримати файл PCAP для аналізу Wireshark
    • не забудьте зупинити захоплення, видаліть точку захоплення та видаліть буфер захоплення згодом

    Щоб отримати детальну інформацію та приклади, перейдіть за посиланням або подивіться посібник з усунення несправностей Cisco .

  • на комутаційному порту , до якого підключений маршрутизатор, для цього ви можете встановити дзеркальний порт на комутаторі та контролювати це за допомогою Wireshark

  • на брандмауері, де проходить трафік

    ASAs Cisco здатні віддалено робити захоплення пакетів і давати вам вихід у вигляді файлу PCAP, який ви можете відкрити локально за допомогою Wireshark. ASDM забезпечує помічника для цього. Крок за кроком ви можете вказати джерело та інтерфейс визначення, ACL або src / dest мережі / хост, і протокол, який ви хочете переглядати. Ось чому мені подобається наявність ASA скрізь на місці - з маршрутизатором CLI може здатися дещо складним.

Знімок екрана майстра захоплення пакетів


5

На маршрутизаторах ISR G1 / G2 ви можете використовувати функцію захоплення пакетів, де ви використовуєте ACL для узгодження трафіку і зберігання його в пам'яті під час захоплення, а потім перейдіть до сумісного формату .pcap, якщо вам це потрібно в автономному режимі:

https://supportforums.cisco.com/docs/DOC-5799

На Catalyst 4500 з новішими наглядачами ви можете фактично запускати проводки.


3

Найкращі методи (на мою думку) вже були згадані, тому просто у випадку, коли ви знаходитесь на пристрої без цих цікавих функцій, варіант зворотного зв'язку debug ip packetзі списком доступу.


2

Netflow - ще один альтернативний метод моніторингу потоків трафіку. Краще, якщо ви хочете знати деталі лише на шарах 3 та 4. Інформацію можна також переглядати локально на маршрутизаторі без необхідності Wireshark.


Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.