Introducción
Este documento describe la función de captura integrada en paquetes (EPC) en el software Cisco IOS®.
Prerequisites
Requirements
No hay requisitos específicos para este documento.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Cisco IOS versión 12.4(20)T o posterior
- Cisco IOS XE versión 15.2(4)S - 3.7.0 o posterior
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Cuando está habilitado, el router captura los paquetes enviados y recibidos. Los paquetes se almacenan dentro de un búfer en la DRAM y no se conservan durante una recarga. Una vez que se capturan los datos, se pueden examinar en una vista de resumen o detallada en el router.
Además, los datos se pueden exportar como archivo de captura de paquetes (PCAP, packet capture) para permitir un examen más detallado. La herramienta está configurada en modo exec y se considera una herramienta de asistencia temporal. Como resultado, la configuración de la herramienta no se almacena dentro de la configuración del router y no se mantiene en su lugar después de una recarga del sistema.
La herramienta Generador y analizador de configuración de captura de paquetes está disponible para los clientes de Cisco para ayudar en la configuración, captura y extracción de capturas de paquetes.
Ejemplo de configuración de Cisco IOS
Configuración de EPC básica
- Defina un búfer de captura, que es un búfer temporal donde se almacenan los paquetes capturados.
- Hay varias opciones que se pueden seleccionar cuando se define el búfer, como el tamaño, el tamaño máximo del paquete y el formato circular/lineal:
monitor capture buffer BUF size 2048 max-size 1518 linear
- Se puede aplicar un filtro para limitar la captura al tráfico deseado. Defina una lista de control de acceso (ACL, Access Control List) en el modo de configuración y aplique el filtro al búfer:
ip access-list extended BUF-FILTER
permit ip host 192.168.1.1 host 172.16.1.1
permit ip host 172.16.1.1 host 192.168.1.1
monitor capture buffer BUF filter access-list BUF-FILTER
- Defina un punto de captura que determine la ubicación en la que se produce la captura.
- El punto de captura también define si la captura se produce para IPv4 o IPv6 y en qué ruta de switching (proceso frente a cef):
monitor capture point ip cef POINT fastEthernet 0 both
- Adjunte el búfer al punto de captura:
monitor capture point associate POINT BUF
- Inicie la captura:
monitor capture point start POINT
- La captura ahora está activa. Permite la recopilación de los datos necesarios.
- Detenga la captura:
monitor capture point stop POINT
- Examine el búfer de la unidad:
show monitor capture buffer BUF dump
Nota: Esta salida solo muestra el volcado hexadecimal de las capturas de paquetes. Para verlas en la lectura humana, hay dos maneras.
Exporte el búfer del router para obtener un análisis más detallado:
monitor capture buffer BUF export tftp://10.1.1.1/BUF.pcap
El método anterior no siempre es práctico, ya que requiere acceso T/FTP al router. En tales situaciones, tome una copia del volcado hexadecimal y utilice cualquier convertidor hex-pcap en línea para ver los archivos.
- Una vez recopilados los datos necesarios, elimine el punto de captura y el búfer de captura:
no monitor capture point ip cef POINT fastEthernet 0 both
no monitor capture buffer BUF
Información adicional sobre la configuración de Cisco IOS
- En las versiones anteriores a la versión 15.0(1)M de Cisco IOS, el tamaño del búfer se limitaba a 512 000.
- En las versiones anteriores a la versión 15.0(1)M de Cisco IOS, el tamaño del paquete capturado se limitaba a 1024 bytes.
- El búfer de paquetes se almacena en la DRAM y no se conserva durante las recargas.
- La configuración de captura no se almacena en la NVRAM y no se conserva durante las recargas.
- El punto de captura se puede definir para capturar en las rutas de switching de proceso o cef.
- El punto de captura se puede definir para capturar solo en una interfaz o de manera global.
- Cuando el búfer de captura se exporta en formato PCAP, no se conserva la información L2 (como la encapsulación de Ethernet).
- Consulte Mejores prácticas para los comandos de búsqueda para obtener más información sobre los comandos usados en esta sección.
Configuración básica de exportación de tráfico IP
La exportación del tráfico IP es un método diferente para exportar paquetes IP que se reciben en interfaces WAN o LAN múltiples y simultáneas.
1. En el modo de configuración, defina un perfil de exportación de tráfico IP.
Device(config)# ip traffic-export profile mypcap mode capture
2. Configure el tráfico bidireccional en el perfil.
Device(config-rite)# bidirectional
3. Salida.
4. Especifique la interfaz para el tráfico exportado.
Device(config-if)# interface GigabitEthernet 0/1
5. Habilite la exportación de tráfico IP en la interfaz.
Device(config-if)# ip traffic-export apply mypcap size 10000000
6. Salida.
7. Inicie la captura. La captura ahora está activa. Permite la recopilación de los datos necesarios.
Device# traffic-export interface GigabitEthernet 0/1 start
8. Detenga la captura.
Device# traffic-export interface GigabitEthernet 0/1 stop
9. Exporte la captura a un servidor TFTP externo.
Device# traffic-export interface GigabitEthernet 0/1 copy tftp://<TFTP_Address>/mypcap.pcap
10. Una vez que se hayan recopilado los datos necesarios, elimine el perfil.
Device(config)# no ip traffic-export profile mypcap
Desventajas de la exportación de tráfico IP
La exportación de tráfico IP tiene estas desventajas en comparación con el método EPC:
- La interfaz a la que se exporta el tráfico capturado debe ser una interfaz Ethernet.
- No tiene compatibilidad con IPv6.
- No hay información de la capa 2, solo hay información de la capa 3 y superior.
Ejemplo de Configuración de Cisco IOS XE
La función de captura de paquetes integrada se introdujo en Cisco IOS XE versión 3.7 - 15.2(4)S. La configuración de la captura es diferente a la de Cisco IOS porque agrega más funciones.
Configuración de EPC básica
- Defina la ubicación en la que se produce la captura:
monitor capture CAP interface GigabitEthernet0/0/1 both
- Asocie un filtro. El filtro se especifica en línea o se puede hacer referencia a una ACL o una asignación de clases:
monitor capture CAP match ipv4 protocol tcp any any limit pps 1000000
- Inicie la captura:
monitor capture CAP start
- La captura ahora está activa. Permita que se recopilen los datos necesarios.
- Detenga la captura:
monitor capture CAP stop
- Examine la captura en una vista de resumen:
show monitor capture CAP buffer brief
- Examine la captura en una vista detallada:
show monitor capture CAP buffer detailed
- Además, exporte la captura en formato PCAP para su posterior análisis:
monitor capture CAP export tftp://10.0.0.1/CAP.pcap
- Una vez que se hayan recopilado los datos necesarios, elimine la captura:
no monitor capture CAP
Additional Information
Verificación
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Troubleshoot
Para EPC que se ejecuta en Cisco IOS XE®, este comando de depuración se utiliza para garantizar que EPC esté configurado correctamente:
debug epc provision
debug epc capture-point
Información Relacionada
Comentarios