Überwachen Sie einen bestimmten Verkehrstyp auf einem Cisco-Router

9

Ist es möglich, einen bestimmten Verkehrstyp zu überwachen, der über einen Cisco-Router geleitet wird? (wie Überwachung über Wireshark)

Beispiel: Ich möchte den http-Verkehr speziell überwachen, der über einen Router geleitet wird. (oder DNS, FTP, ...)

cisco  monitoring  troubleshooting  cisco-commands 
Bulki
quelle

Antworten:

13

Sie könnten den Verkehr überwachen

  • Auf dem Router Cisco IOS 12.4 (20) T und höher gibt es eine Paketerfassungsfunktion mit Filterung nach Schnittstellenname und -richtung sowie ACL.

    • Richten Sie eine Zugriffsliste ein, um den Datenverkehr abzugleichen
    • Erstellen Sie einen Erfassungspuffer monitor capture buffer holdpackets filter access-list <number>
    • Definieren Sie einen Erfassungspunkt monitor capture point ...möglicherweise mit dem Namen, der Richtung und mehr der Schnittstelle. Verwenden Sie die Inline-Hilfe, um Möglichkeiten zu erkennen
    • lass den Verkehr passieren
    • Schauen Sie sich den Erfassungspuffer an: show monitor capture buffer holdpackets dumpVerwenden Sie exportstattdessen dump, um eine PCAP-Datei für die Wireshark-Analyse abzurufen
    • Vergessen Sie nicht, die Erfassung zu beenden, den Erfassungspunkt zu entfernen und anschließend den Erfassungspuffer zu löschen

    Weitere Informationen und Beispiele finden Sie unter dem Link oder in einem Cisco-Handbuch zur Fehlerbehebung .

  • Auf dem Switchport, an den der Router angeschlossen ist, können Sie hierfür einen Spiegelport am Switch einrichten und diesen über Wireshark überwachen

  • auf der Firewall, wo der Verkehr passiert

    Cisco ASAs sind in der Lage, Pakete aus der Ferne zu erfassen und die Ausgabe als PCAP-Datei bereitzustellen, die Sie lokal mit Wireshark öffnen können. Das ASDM stellt hierfür einen Assistenten zur Verfügung. Schritt für Schritt können Sie die Quell- und Zielschnittstelle, ACLs oder src / dest-Netzwerke / Host sowie das Protokoll angeben, das Sie überwachen möchten. Deshalb mag ich es, überall ASAs zu haben - mit einer Router-CLI mag das etwas kompliziert erscheinen.

Screenshot des Paketerfassungsassistenten

Stefan
quelle
5

Auf den ISR G1 / G2-Routern können Sie die Paketerfassungsfunktion verwenden, bei der Sie ACL verwenden, um den Datenverkehr abzugleichen und ihn während der Erfassung im Speicher zu speichern, und ihn dann in das .pcap-kompatible Format ausgeben, wenn Sie ihn offline benötigen:

https://supportforums.cisco.com/docs/DOC-5799

Auf dem Catalyst 4500 mit neueren Supervisors können Sie tatsächlich Wireshark ausführen.

Łukasz Bromirski
quelle
3

Die besten Methoden (meiner Meinung nach) wurden bereits erwähnt. Wenn Sie sich also auf einem Gerät ohne diese coolen Funktionen befinden, gibt es eine Ersatzoption debug ip packetmit einer Zugriffsliste.

jwbensley
quelle
2

Netflow ist eine weitere alternative Methode zur Überwachung des Verkehrsflusses. Es ist besser, wenn Sie nur Details auf den Ebenen 3 und 4 wissen möchten. Die Informationen können auch lokal auf dem Router angezeigt werden, ohne dass Wireshark erforderlich ist.

Henklu
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.