Monitoruj określony typ ruchu na routerze Cisco

Czy można monitorować określony typ ruchu przechodzącego przez router Cisco? (jak monitorowanie przez Wireshark)

Np .: Chcę monitorować ruch HTTP, który przechodzi przez router. (lub DNS, FTP, ...)

Możesz monitorować ruch

• na routerze, Cisco IOS 12.4 (20) T i nowszych, dostępna jest funkcja przechwytywania pakietów , z filtrowaniem według nazwy i kierunku interfejsu oraz listy ACL.

  • skonfiguruj listę dostępu w celu dopasowania do ruchu
  • utwórz bufor przechwytywania monitor capture buffer holdpackets filter access-list <number>
  • Zdefiniuj punkt przechwytywania, monitor capture point ...ewentualnie z nazwą interfejsu, kierunkiem i nie tylko - użyj wbudowanej pomocy, aby zobaczyć możliwości
  • przepuścić ruch uliczny
  • spójrz na bufor przechwytywania :, show monitor capture buffer holdpackets dumpużyj exportzamiast, dumpaby uzyskać plik PCAP do analizy Wireshark
  • nie zapomnij przerwać przechwytywania, usuń punkt przechwytywania, a następnie usuń bufor przechwytywania

  Aby uzyskać szczegółowe informacje i przykłady, kliknij link lub zapoznaj się z instrukcją rozwiązywania problemów Cisco .

• na switchport, do którego podłączony jest router, w tym celu można skonfigurować port lustrzany na przełączniku i monitorować to przez Wireshark

• na zaporze ogniowej, gdzie przechodzi ruch

  Cisco ASA są w stanie zdalnie wykonywać przechwytywanie pakietów i dostarczać dane wyjściowe w postaci pliku PCAP, który można otworzyć lokalnie za pomocą Wireshark. ASDM zapewnia do tego asystenta. Krok po kroku możesz określić interfejs źródłowy i docelowy, listy ACL lub sieci src / dest / host oraz protokół, który chcesz oglądać. Dlatego lubię mieć wszędzie ASA - z CLI routera może wydawać się trochę skomplikowane.

Na routerach ISR G1 / G2 możesz użyć funkcji przechwytywania pakietów, w której używasz ACL, aby dopasować ruch i przechowywać go w pamięci podczas przechwytywania, a następnie zrzucić do formatu zgodnego z .pcap, jeśli potrzebujesz go offline:

https://supportforums.cisco.com/docs/DOC-5799

Na Catalyst 4500 z nowszymi Supervisorami możesz faktycznie uruchomić Wireshark.

Najlepsze metody (moim zdaniem) zostały już wspomniane, więc po prostu korzystaj z urządzenia bez tych fajnych funkcji, opcja rezerwowa debug ip packetz listą dostępu.

Netflow to kolejna alternatywna metoda monitorowania przepływów ruchu. Lepiej jest, jeśli chcesz poznać szczegóły tylko na warstwach 3 i 4. Informacje te można również wyświetlać lokalnie na routerze bez potrzeby Wireshark.

Jeśli wbudowane przechwytywanie pakietów nie jest dostępne na routerze, możesz wypróbować RITE: http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_rawip.html