Einleitung
Dieses Dokument beschreibt die Embedded Packet Capture (EPC)-Funktion in der Cisco IOS®-Software.
Voraussetzungen
Anforderungen
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Cisco IOS Version 12.4(20)T oder höher
- Cisco IOS XE Version 15.2(4)S - 3.7.0 oder höher
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Wenn diese Funktion aktiviert ist, erfasst der Router die gesendeten und empfangenen Pakete. Die Pakete werden in einem Puffer in DRAM gespeichert und bleiben nicht beim erneuten Laden erhalten. Sobald die Daten erfasst sind, können sie in einer Zusammenfassungs- oder Detailansicht auf dem Router überprüft werden.
Darüber hinaus können die Daten als Packet Capture (PCAP)-Datei exportiert werden, um weitere Analysen zu ermöglichen. Das Tool wird im EXEC-Modus konfiguriert und fungiert als temporäres Hilfstool. Daher wird die Tool-Konfiguration nicht in der Router-Konfiguration gespeichert und bleibt auch nach dem erneuten Laden des Systems nicht erhalten.
Der Packet Capture Config Generator and Analyzer steht Cisco Kunden zur Verfügung, um die Konfiguration, Erfassung und Extraktion von Paketerfassungen zu unterstützen.
Beispiel für Cisco IOS-Konfiguration
EPC-Basiskonfiguration
- Definieren Sie einen Erfassungspuffer, d. h. einen temporären Puffer, in dem die erfassten Pakete gespeichert werden.
- Bei der Definition des Puffers können verschiedene Optionen ausgewählt werden, z. B. Größe, maximale Paketgröße und kreisförmig/linear:
monitor capture buffer BUF size 2048 max-size 1518 linear
- Ein Filter ist anwendbar, um die Erfassung auf den gewünschten Datenverkehr zu beschränken. Access Control List (ACL) im Konfigurationsmodus definieren und den Filter auf den Puffer anwenden:
ip access-list extended BUF-FILTER
permit ip host 192.168.1.1 host 172.16.1.1
permit ip host 172.16.1.1 host 192.168.1.1
monitor capture buffer BUF filter access-list BUF-FILTER
- Definieren Sie einen Erfassungspunkt, der den Ort definiert, an dem die Erfassung erfolgt.
- Der Erfassungspunkt definiert auch, ob die Erfassung für IPv4 oder IPv6 erfolgt und in welchem Switching-Pfad (Process vs. CEF):
monitor capture point ip cef POINT fastEthernet 0 both
- Puffer an den Erfassungspunkt anhängen:
monitor capture point associate POINT BUF
- Erfassung starten:
monitor capture point start POINT
- Die Erfassung ist jetzt aktiv. Gestatten Sie die Erfassung der erforderlichen Daten.
- Erfassung beenden:
monitor capture point stop POINT
- Puffer auf der Einheit untersuchen:
show monitor capture buffer BUF dump
Hinweis: Diese Ausgabe zeigt nur das Hex Dump der erfassten Pakete. Um sie für Menschen lesbar zu sehen, gibt es zwei Möglichkeiten.
Puffer aus dem Router zur weiteren Analyse exportieren:
monitor capture buffer BUF export tftp://10.1.1.1/BUF.pcap
Die vorherige Methode ist nicht immer praktisch, da sie T/FTP-Zugriff auf den Router erfordert. In solchen Situationen nehmen Sie eine Kopie des Hex-Dump und verwenden Sie jeden Online-Hex-pcap-Konverter, um die Dateien anzuzeigen.
- Wenn die erforderlichen Daten gesammelt wurden, löschen Sie den Erfassungspunkt und den Erfassungspuffer:
no monitor capture point ip cef POINT fastEthernet 0 both
no monitor capture buffer BUF
Zusätzliche Cisco IOS-Konfigurationsinformationen
- In Versionen vor Cisco IOS Version 15.0(1)M war die Puffergröße auf 512 KB begrenzt.
- In Versionen vor Cisco IOS Version 15.0(1)M war die Größe des erfassten Pakets auf 1.024 Byte begrenzt.
- Der Paketpuffer wird im DRAM gespeichert und bleibt nicht durch Neuladen erhalten.
- Die Erfassungskonfiguration wird nicht im NVRAM gespeichert und bleibt auch beim erneuten Laden nicht erhalten.
- Der Erfassungspunkt kann so definiert werden, dass er in den CEF- oder Process-Switching-Pfaden erfasst wird.
- Der Erfassungspunkt kann so definiert werden, dass er nur auf einer Schnittstelle oder global erfasst wird.
- Wenn der Erfassungspuffer im PCAP-Format exportiert wird, werden L2-Informationen (z. B. Ethernet-Kapselung) nicht beibehalten.
- Weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen finden Sie unter Best Practices für Suchbefehle.
Grundlegende Konfiguration für den IP-Datenverkehr-Export
Beim Export von IP-Datenverkehr handelt es sich um eine andere Methode zum Exportieren von IP-Paketen, die über mehrere WAN- oder LAN-Schnittstellen gleichzeitig empfangen werden.
1. Definieren Sie im Konfigurationsmodus ein Exportprofil für IP-Datenverkehr.
Device(config)# ip traffic-export profile mypcap mode capture
2. Konfigurieren Sie bidirektionalen Datenverkehr im Profil.
Device(config-rite)# bidirectional
3. Beenden.
4. Legen Sie die Schnittstelle für den exportierten Datenverkehr fest.
Device(config-if)# interface GigabitEthernet 0/1
5. Aktivieren Sie den Export von IP-Datenverkehr auf der Schnittstelle.
Device(config-if)# ip traffic-export apply mypcap size 10000000
6. Beenden.
7. Starten Sie die Erfassung. Die Erfassung ist jetzt aktiv. Gestatten Sie die Erfassung der erforderlichen Daten.
Device# traffic-export interface GigabitEthernet 0/1 start
8. Stoppen Sie die Erfassung.
Device# traffic-export interface GigabitEthernet 0/1 stop
9. Exportieren Sie die Erfassung auf einen externen TFTP-Server.
Device# traffic-export interface GigabitEthernet 0/1 copy tftp://<TFTP_Address>/mypcap.pcap
10. Löschen Sie das Profil, sobald die erforderlichen Daten gesammelt wurden.
Device(config)# no ip traffic-export profile mypcap
Nachteile beim Export von IP-Datenverkehr
Der Export von IP-Datenverkehr weist gegenüber der EPC-Methode folgende Nachteile auf:
- Bei der Schnittstelle, in die der erfasste Datenverkehr exportiert wird, muss es sich um eine Ethernet-Schnittstelle handeln.
- Keine Unterstützung für IPv6.
- Keine Layer-2-Informationen, nur Layer 3 und höher.
Konfigurationsbeispiel für Cisco IOS XE
Die Funktion zur integrierten Paketerfassung wurde in Cisco IOS XE Version 3.7 - 15.2(4)S eingeführt. Die Konfiguration der Erfassung unterscheidet sich von Cisco IOS, da mehr Funktionen hinzugefügt werden.
EPC-Basiskonfiguration
- Legen Sie den Ort fest, an dem die Erfassung erfolgt:
monitor capture CAP interface GigabitEthernet0/0/1 both
- Zuordnen eines Filters Der Filter wird entweder inline angegeben, oder es kann auf eine ACL oder Klassenzuordnung verwiesen werden:
monitor capture CAP match ipv4 protocol tcp any any limit pps 1000000
- Erfassung starten:
monitor capture CAP start
- Die Erfassung ist jetzt aktiv. Erlauben Sie die Erfassung der erforderlichen Daten.
- Erfassung beenden:
monitor capture CAP stop
- Untersuchen der Erfassung in einer Zusammenfassungsansicht:
show monitor capture CAP buffer brief
- Untersuchen der Erfassung in einer detaillierten Ansicht:
show monitor capture CAP buffer detailed
- Darüber hinaus können Sie die Erfassung zur weiteren Analyse im PCAP-Format exportieren:
monitor capture CAP export tftp://10.0.0.1/CAP.pcap
- Sobald die erforderlichen Daten erfasst wurden, entfernen Sie die Erfassung:
no monitor capture CAP
Zusätzliche Informationen
- Die Erfassung wird an physischen Schnittstellen, Subschnittstellen und Tunnelschnittstellen durchgeführt.
- NBAR-basierte Filter (Network Based Application Recognition), die den
match protocol Befehl unter "class-map" verwenden, werden derzeit nicht unterstützt.
- Weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen finden Sie unter Best Practices für Suchbefehle.
Überprüfung
Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.
Fehlerbehebung
Für EPC, das auf Cisco IOS XE® ausgeführt wird, wird dieser Debug-Befehl verwendet, um sicherzustellen, dass EPC ordnungsgemäß eingerichtet ist:
debug epc provision
debug epc capture-point
Zugehörige Informationen
Feedback