Giám sát loại lưu lượng truy cập cụ thể trên bộ định tuyến của Cisco


9

Có thể giám sát một loại lưu lượng truy cập cụ thể đi qua bộ định tuyến cisco không? (như giám sát qua wireshark)

Ví dụ: Tôi muốn theo dõi lưu lượng truy cập http cụ thể đang đi qua bộ định tuyến. (hoặc DNS, FTP, ...)

Câu trả lời:


13

Bạn có thể theo dõi lưu lượng

  • trên bộ định tuyến, Cisco IOS 12.4 (20) T trở lên, có tính năng chụp gói , với tính năng lọc tên và hướng giao diện và ACL.

    • thiết lập danh sách truy cập để phù hợp với lưu lượng
    • tạo một bộ đệm chụp monitor capture buffer holdpackets filter access-list <number>
    • xác định điểm chụp monitor capture point ...có thể có tên giao diện, hướng và hơn thế nữa - sử dụng trợ giúp nội tuyến để xem các khả năng
    • để cho giao thông đi qua
    • nhìn vào bộ đệm chụp : show monitor capture buffer holdpackets dump, sử dụng exportthay vì dumplấy tệp PCAP để phân tích Wireshark
    • đừng quên dừng chụp, xóa điểm chụp và xóa bộ đệm chụp sau đó

    Để biết chi tiết và ví dụ, hãy theo liên kết hoặc xem hướng dẫn xử lý sự cố của Cisco .

  • trên tổng đài, nơi bộ định tuyến được kết nối, vì điều này bạn có thể thiết lập một cổng nhân bản trên công tắc và theo dõi điều này thông qua Wireshark

  • trên tường lửa, nơi lưu lượng truy cập đi qua

    Cisco ASAs có khả năng thực hiện việc chụp gói từ xa và cung cấp cho bạn đầu ra dưới dạng tệp PCAP mà bạn có thể mở cục bộ bằng Wireshark. ASDM cung cấp một trợ lý cho việc này. Từng bước, bạn có thể chỉ định giao diện nguồn và giao diện, ACL hoặc src / Dest mạng / máy chủ và giao thức bạn muốn xem. Đó là lý do tại sao tôi thích có ASA ở mọi nơi - với bộ định tuyến CLI có vẻ hơi phức tạp.

Ảnh chụp màn hình của trình hướng dẫn chụp gói


5

Trên bộ định tuyến ISR G1 / G2, bạn có thể sử dụng tính năng chụp gói, trong đó bạn sử dụng ACL để khớp lưu lượng và lưu trữ vào bộ nhớ trong khi chụp, sau đó chuyển sang định dạng tương thích .pcap nếu bạn cần ngoại tuyến:

https://supportforums.cisco.com/docs/DOC-5799

Trên Catalyst 4500 với các Trình giám sát mới hơn, bạn thực sự có thể chạy wireshark.


3

Các phương pháp tốt nhất (theo ý kiến ​​của tôi) đã được đề cập, do đó, chỉ cần đưa bạn vào một thiết bị không có các tính năng thú vị này, một tùy chọn quay lại là debug ip packetvới một danh sách truy cập.


2

Netflow là một phương pháp khác để theo dõi luồng lưu lượng. Sẽ tốt hơn nếu bạn chỉ muốn biết chi tiết ở lớp 3 và 4. Thông tin cũng có thể được xem cục bộ trên bộ định tuyến mà không cần Wireshark.


Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.