Làm cách nào tôi có thể nắm bắt lưu lượng trên các thiết bị chuyển mạch IOS của Cisco?


23

Để điều tra một vấn đề trong giao tiếp máy khách đến máy chủ, tôi cần phải nắm bắt các gói để phân tích. Tuy nhiên, không được phép cài đặt bộ phân tích gói, như Wireshark hoặc tcpdump, trên máy khách hoặc máy chủ. Máy khách của họ được kết nối với Catalyst 3560 và máy chủ chuyển sang Catalyst 3750.

Tôi có thể cắm máy tính xách tay của mình vào một tổng đài để thu lưu lượng truy cập với bộ phân tích gói máy tính xách tay của mình không và bằng cách nào?


Tôi đã làm một câu hỏi tự trả lời tương tự cho Brocade ở đây: networkengineering.stackexchange.com/questions/672/ nam Cảm thấy hơi kỳ lạ ... :)
Benjamin A.

@BenjaminA. Tuyệt quá! Cảm ơn giải pháp cho thổ cẩm và thêm liên kết ở đây!
Stefan

Có cấu hình nào trong phiên cho phép máy tính / máy chủ bắt giữ vẫn lấy IP từ DHCP không?
mickeyHR

Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:


34

Tổng đài khách hoặc tổng đài máy chủ có thể được giám sát. Một tổng đài thứ ba có thể được cấu hình như một cổng gương . Điều này có nghĩa là cổng nhân bản này sẽ nhận được các bản sao của tất cả các gói trên cổng ban đầu tương ứng, trong khi lưu lượng ban đầu sẽ không bị ảnh hưởng.

Ví dụ: trên Catalyst 3560:

  1. Vào chế độ cấu hình:

    conf t
    
  2. Xác định nguồn và đặt số phiên:

    monitor session 1 source interface fa 0/24
    

    Tại đây, số phiên có thể từ 1 đến 66, bạn cũng có thể chỉ định Vlan hoặc kênh ethernet. Ngoài ra, các phạm vi giao diện như fa 0/25 - 26có thể và danh sách giao diện, chẳng hạn như fa 0/24,fa 0/26, nếu bạn muốn theo dõi nhiều khách hàng cùng một lúc. Cũng bằng cách lặp lại lệnh, bạn có thể thêm các cổng hoặc loại bỏ bằng cách sử dụng no. Không thể trộn các cổng và Vlan trong cùng một phiên, một hạn chế khác là bạn không thể sử dụng cổng đích làm cổng nguồn.

  3. Xác định cổng đích:

    monitor session 1 destination interface gi 0/1
    

    Bạn có thể sử dụng một cổng bình thường, nhưng không phải là Vlan. Tương tự như trên, một cổng đích không thể là cổng nguồn: một cổng được sử dụng ở đây có thể là cổng nguồn hoặc cổng đích và chỉ của một phiên. Một lần nữa, bạn có thể chỉ định nhiều cổng như trên.

  4. Bạn có thể muốn exitcấu hình chế độ và lưu cấu hình.

  5. Bạn có thể xem phiên được xác định của mình - ở đây có nhiều cổng, đã thử như trên:

    #show monitor session 1
    Session 1
    ---------
    Type                   : Local Session
    Source Ports           :
        Both               : Fa0/24,Fa0/25-26
    Destination Ports      : Fa0/48,Gi0/1
        Encapsulation      : Native
              Ingress      : Disabled
    

    Bạn có thể thấy một đóng gói ở đây - tùy ý bạn có thể đặt nó để replicatesao chép phương thức đóng gói giao diện nguồn, chẳng hạn như bằng cách thêm vào encapsulation replicatesau giao diện nguồn. Hơn nữa, bạn có thể chỉ định một hướng đi ( tx, rx, both), VLAN lọc và nhiều hơn nữa. Các Ingress: Disabledphương tiện đường mà việc chuyển đổi sẽ không chấp nhận bất kỳ khung trình bày cho nó bằng thiết bị chụp của bạn trên một cổng đích. Để biết chi tiết tốt hơn và để biết thêm các hạn chế và cài đặt mặc định, hãy xem tham chiếu lệnh của phiên bản IOS của công tắc.

Khi bạn đã định cấu hình cổng nguồn và cổng đích, bạn có thể chụp lưu lượng truy cập bằng máy tính xách tay được kết nối với cổng đích, ví dụ như với Wireshark.

Số lượng phiên nguồn có thể bị giới hạn, ví dụ 3560 hỗ trợ tối đa là 2.

Sau khi chụp, đừng quên xóa cấu hình phiên này.


1
Bạn có thể để phiên phiên giám sát tại chỗ và chỉ cần vô hiệu hóa liên kết trên NIC của màn hình chủ của bạn. Các gói sẽ không bị bắt và gửi xuống một liên kết bị hỏng. Trên máy chủ Windows, tôi có các NIC kép với một SPAN. Khi tôi không muốn công tắc thực hiện thao tác chụp, tôi chỉ cần truy cập vào các thuộc tính mạng và vô hiệu hóa SPAN NIC. (Thông thường, các cổng nguồn được thay đổi, nhưng cổng đích vẫn giữ nguyên, vì vậy tôi biết rằng tôi sẽ phản chiếu lại cùng một máy chủ đích trong tương lai.)
generalnetworkerror

Để vô hiệu hóa phiên sử dụng màn hình# no monitor session 1
wimh

17

Nếu lưu lượng truy cập của bạn tình cờ đi qua bộ định tuyến chạy Cisco IOS 12.4 (20) T hoặc cao hơn, một khả năng khác là sử dụng tính năng Ghi gói gói nhúng.

Tính năng này KHÔNG khả dụng trên các nền tảng chuyển đổi như 3560 hoặc 3750.

Những gì tính năng này làm là chụp và lưu một tệp PCAP nhỏ trên bộ định tuyến mà bạn có thể tải xuống và phân tích với Wireshark.

Một vài liên kết với các chi tiết .


7
... Và NÀY chính xác là lý do tại sao nó chỉ tốt khi mọi người đăng, và sau đó trả lời, câu hỏi của riêng họ: Bởi vì những người dùng khác được nhắc nhảy vào và thêm một cái gì đó mới. Ngọt.
Craig Constantine

Trong khi chúng ta đang ở đó, ASA luôn có tính năng này, sử dụng lệnh chụp . Nó được kế thừa từ PIX, có từ ngày 6.2 trở đi.
James Sneeringer

5

Tôi muốn thêm ELAM trong hỗn hợp. ELAM được hỗ trợ trên PFC3 (6500, 7600).

Bạn cần kích hoạt 'dịch vụ nội bộ', nhưng đó là tính năng khá an toàn để chạy, tôi đã chạy nó với các mạng sản xuất và chưa một lần gặp tác động tiêu cực.

Về cơ bản, những gì ELAM làm là nó cho bạn thấy những gì đã được gửi để xử lý tra cứu tới PFC thông qua DBUS (Data BUS) và PFC đã đưa ra kết quả tra cứu nào trong RBUS (Kết quả BUS).

  1. hiển thị nắp cap elam asic superman slot DFC / PFC_SLOT_YOU_WANT_TO_LOOK
  2. hiển thị plat cap elam kích hoạt dbus ipv4 nếu ip_sa = 192.0.2.1
  3. hiển thị mũ lưỡi trai bắt đầu
  4. hiển thị dữ liệu mũ lưỡi trai

Đối với các kích hoạt có trợ giúp trực tuyến, IP_SA == Địa chỉ nguồn IP, IP_DA == Địa chỉ đích IP, rất nhiều địa chỉ khác có sẵn. NẾU những gì bạn muốn kiểm tra không có sẵn, bạn có thể thực hiện khớp dữ liệu + mặt nạ cho dữ liệu tùy ý trên 64B đầu tiên.
Trình kích hoạt tùy ý hơi khó xử nhưng có thể cứu cánh hơn, bạn sẽ sử dụng nó như thế này:

hiển thị nền tảng bắt elam kích hoạt dbus khác nếu data = DATA1 DATA2 DATAn [MASK1 MASK2 MASKn]

Dữ liệu bắt đầu từ DMAC. Vì vậy, giả sử chúng tôi muốn bắt được ngăn xếp MPLS đến [0 1951], nhưng chúng tôi không quan tâm đến địa chỉ MAC, chúng tôi có thể làm điều này:

hiển thị nền tảng bắt elam kích hoạt dbus khác nếu dữ liệu = 0 0 0 088880000 0x00000079 0xF0000000 [0 0 0 0xffffffff 0xf000ffff 0xf0000000]


Ví dụ đầu ra có thể là:

7600#show platform capture elam data
DBUS data:
SEQ_NUM                          [5] = 0x1D
QOS                              [3] = 1
QOS_TYPE                         [1] = 0
TYPE                             [4] = 0 [ETHERNET]
STATUS_BPDU                      [1] = 0
IPO                              [1] = 1
NO_ESTBLS                        [1] = 0
RBH                              [3] = b000   ! port-channel hash
CR                               [1] = 1      ! recirculated
TRUSTED                          [1] = 1
NOTIFY_IL                        [1] = 0
NOTIFY_NL                        [1] = 0
DISABLE_NL                       [1] = 0
DISABLE_IL                       [1] = 0
DONT_FWD                         [1] = 0
INDEX_DIRECT                     [1] = 0
DONT_LEARN                       [1] = 0
COND_LEARN                       [1] = 0
BUNDLE_BYPASS                    [1] = 0
QOS_TIC                          [1] = 1
INBAND                           [1] = 0
IGNORE_QOSO                      [1] = 0
IGNORE_QOSI                      [1] = 0
IGNORE_ACLO                      [1] = 0
IGNORE_ACLI                      [1] = 0
PORT_QOS                         [1] = 0
CACHE_CNTRL                      [2] = 0 [NORMAL]
VLAN                             [12] = 4086
SRC_FLOOD                        [1] = 0
SRC_INDEX                        [19] = 0xC0          ! divmod64(0xc0) = 3,0, add 1 to each, 4/1 == our physical port
LEN                              [16] = 102
FORMAT                           [2] = 0 [IP]
MPLS_EXP                         [3] = 0x0
REC                              [1] = 0
NO_STATS                         [1] = 0
VPN_INDEX                        [10] = 0x7F
PACKET_TYPE                      [3] = 0 [ETHERNET]
L3_PROTOCOL                      [4] = 0 [IPV4]
L3_PT                            [8] = 1 [ICMP]
MPLS_TTL                         [8] = 0
SRC_XTAG                         [4] = 0xF
DEST_XTAG                        [4] = 0xA
FF                               [1] = 0
MN                               [1] = 0
RF                               [1] = 1
SC                               [1] = 0
CARD_TYPE                        [4] = 0x0
DMAC                             = 8843.e1de.22c0
SMAC                             = 0000.0000.0000
IPVER                            [1] = 0 [IPV4]
IP_DF                            [1] = 1
IP_MF                            [1] = 0
IP_HDR_LEN                       [4] = 5
IP_TOS                           [8] = 0x0
IP_LEN                           [16] = 84
IP_HDR_VALID                     [1] = 1
IP_CHKSUM_VALID                  [1] = 1
IP_L4HDR_VALID                   [1] = 1
IP_OFFSET                        [13] = 0
IP_TTL                           [8] = 63
IP_CHKSUM                        [16] = 0xBCF1
IP_SA                            = x.x.x       ! to protect the guilty
IP_DA                            = y.y.y.y     ! to protect the guilty
ICMP_TYPE                        [8] = 0x8
ICMP_CODE                        [8] = 0x0
ICMP_DATA [104]
0000:  A0 8B 18 A5 00 39 46 35 BF 51 00 6F 3C            ".....9F5.Q.o<"
CRC                              [16] = 0x71B3

RBUS data:
SEQ_NUM                          [5] = 0x1D
CCC                              [3] = b100 [L3_RW]  ! normal L3_RW, we know it was not dropped, L2/mls policed etc
CAP1                             [1] = 0
CAP2                             [1] = 0
QOS                              [3] = 0
EGRESS                           [1] = 0
DT                               [1] = 0 [IP]
TL                               [1] = 0 [B32]
FLOOD                            [1] = 1
DEST_INDEX                       [19] = 0x3E8    ! same as VLAN, but not always    
VLAN                             [12] = 1000     ! you may need to check internal vlan     
RBH                              [3] = b111      ! again, port-channel hash
RDT                              [1] = 0
GENERIC                          [1] = 0
EXTRA_CICLE                      [1] = 0
FABRIC_PRIO                      [1] = 0
L2                               [1] = 0
FCS1                             [8] = 0x1
IP_TOS_VALID                     [1] = 1
IP_TOS_OFS                       [7] = 15
IP_TOS                           [8] = 0x0
IP_TTL_VALID                     [1] = 1
IP_TTL_OFS                       [7] = 22
IP_TTL                           [8] = 62
IP_CSUM_VALID                    [1] = 1
IP_CSUM_OFS                      [7] = 24
IP_CSUM                          [16] = 0xBDF1
DELTA_LEN                        [8] = 0
REWRITE_INFO
 i0  - replace bytes from ofs 0 to ofs 11 with seq 'D0 D0 FD 09 34 2D 88 43 E1 DE 22 C0'.   ! this is the actual L2 rewrite data, so you should obviously see DMAC and SMAC here 
FCS2                             [8] = 0x0
7600#

Khá nhiều tất cả các nền tảng lớn hơn đều có kiểu chụp mức thấp cho các gói chuyển tuyến, đặc biệt hữu ích khi bạn cần xác minh CTNH đang thực hiện những gì cấu hình nói, đôi khi có lỗi phần mềm và nó làm điều gì đó khác hơn mong đợi.
Tôi biết rằng trong GSR bạn có thể thấy quá cảnh trong bộ nhớ, trong Juniper Trio cũng có một công cụ khá hay cho nó. Thổ cẩm có thể làm điều đó. Nó khá khó hiểu khi chúng không được ghi lại trong các trang của nhà cung cấp.


Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.