Вы здесь

tcpdump on Cisco Router

Cisco Router позволяет создавать tcpdump трафика на своих интерфейсах, который затем можно экспортировать для дальнейшего анализа с помощью Wireshark.
Данная замечательная опция позволит нам снимать дампы без необходимости зеркалирования интерфейсов, подключения ноутбука и т.д.

С точки зрения VoIP дампы особенно полезны в поиске решения вопросов с DTMF или one way audio(voice) issue: можно увидеть любой из методов DTMF Relay или услышать наличие голоса в потоке RTP в том или ином направлении, и в той или иной точке контроля.

  1. Создаём буфер, в который роутер будет складывать тамп трафика
    buffer1 - название буфера
    size и max-size - размер буфера и максимальный размер элемента в буфере
    circular или linear - вытеснять ли переполнении буфера.
    monitor capture buffer buffer1 size 100000 max-size 9000 circular
  2. Задаём capture point, т.е. интерфейсы и направления:
    monitor capture point ip cef cappoint1 GigabitEthernet0/1.6 both monitor capture point ip cef cappoint2 GigabitEthernet0/0.2 both
  3. Ассоциация capture point с буфером:
    monitor capture point associate cappoint1 buffer1 monitor capture point associate cappoint2 buffer1
  4. Включаем сбор пакетов
    monitor capture point start all
  5. Останавливаем сбор
    monitor capture point stop all
  6. Отправляем дамп
    monitor capture buffer buffer1 export ftp://user:mypass@10.100.0.29/folder/buffer_export_outbound1536

Цикл работ с записью буфера

no monitor capture buffer buffer1 monitor capture buffer buffer1 size 100000 max-size 9000 circular monitor capture point ip cef cappoint1 GigabitEthernet0/1.6 both monitor capture point ip cef cappoint2 GigabitEthernet0/0.2 both monitor capture point associate cappoint1 buffer1 monitor capture point associate cappoint2 buffer1 ! monitor capture point start all ! monitor capture point stop all

Дополнительно

Проверка статуса:
show monitor capture point all

Просмотр содержимого буфера:
show monitor capture buffer buffer1 dump

Сбор по access-list
monitor capture buffer buffer1 filter access-list

Комментарии

Можно ли дополнительно фильтровать трафик, к примеру, access-list`ом?

Неприметно в самом низу =) Увидел!

Подскажите а как можно снять дамп и скачать не на ftp, а на локальный компьютер?

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image