設定及擷取軟體的內嵌封包

簡介

本文件說明 Cisco IOS® 軟體中的內嵌封包擷取 (EPC) 功能。 

必要條件

需求

本文件沒有特定需求。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco IOS版本12.4(20)T或更高版本
• Cisco IOS XE版本15.2(4)S - 3.7.0或更高版本

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

啟用時，路由器會擷取已傳送和已接收封包。 這些資料包儲存在DRAM中的緩衝區中，並且不會在整個重新載入過程中持續儲存。 捕獲資料後，可以在路由器上以摘要或詳細檢視檢視資料。

此外，資料可匯出為封包擷取(PCAP)檔案，以便進一步檢查。 該工具在exec模式下配置，被視為臨時協助工具。 因此，工具配置不儲存在路由器配置中，並且在系統重新載入後不會保持不變。

資料包捕獲配置生成器和分析器工具可供思科客戶用於幫助配置、捕獲和提取資料包捕獲。

Cisco IOS配置示例

基本EPC配置

1. 定義捕獲緩衝區，它是儲存捕獲的資料包的臨時緩衝區。
2. 定義緩衝區時，可以選取各種選項，例如大小、封包大小上限及循環/線性：
   
   

   monitor capture buffer BUF size 2048 max-size 1518 linear

3. 過濾器用於將捕獲限制為所需流量。在設定模式下定義存取控制清單(ACL)，並將篩選套用到緩衝區：
   
   

   ip access-list extended BUF-FILTER
       permit ip host 192.168.1.1 host 172.16.1.1
       permit ip host 172.16.1.1 host 192.168.1.1

   monitor capture buffer BUF filter access-list BUF-FILTER

4. 定義擷取點，以定義發生擷取的位置。
5. 捕獲點還定義捕獲是IPv4還是IPv6以及交換路徑（進程與cef）：
   
   

   monitor capture point ip cef POINT fastEthernet 0 both

6. 將緩衝區附加到捕獲點：
   
   

   monitor capture point associate POINT BUF

7. 開始捕獲：
   
   

   monitor capture point start POINT

8. 捕獲現在處於活動狀態。允許收集必要的資料。
   
   
9. 停止捕獲：
   
   

   monitor capture point stop POINT

10. 檢查裝置上的緩衝區：
    
    

    show monitor capture buffer BUF dump

    注意：此輸出僅顯示資料包捕獲的十六進位制轉儲。為了便於閱讀，有兩種方法。

    從路由器導出緩衝區以進行進一步分析：
    
    

    monitor capture buffer BUF export tftp://10.1.1.1/BUF.pcap

    前述方法並不總是可行，因為它需要透過T/FTP訪問路由器。在這種情況下，請製作十六進位制轉儲的副本，然後使用任何線上十六進位制pcap轉換器檢視檔案。
11. 收集完必要的資料後，請刪除擷取點和擷取緩衝區：

    no monitor capture point ip cef POINT fastEthernet 0 both
    no monitor capture buffer BUF

其他Cisco IOS配置資訊

• 在早於Cisco IOS版本15.0(1)M的版本中，緩衝區大小限制為512K。
• 在早於Cisco IOS版本15.0(1)M的版本中，捕獲的資料包大小限制為1024位元組。
• 封包緩衝區儲存在DRAM中，不會透過重新載入持續存留。
• 擷取組態並未儲存在NVRAM中，而且不會在重新載入後持續執行。
• 可以定義捕獲點以在cef或進程交換路徑中捕獲。
• 可以將捕獲點定義為僅在介面上或全局進行捕獲。
• 以PCAP格式匯出擷取緩衝區時，不會保留L2資訊（例如乙太網路封裝）。
• 有關本部分中所用命令的詳細資訊，請參閱搜尋命令的最佳實踐。

基本IP流量導出配置

「IP流量導出」是一種不同的方法，用於導出在多個併發WAN或LAN介面上接收的IP資料包。

1. 在配置模式下，定義IP流量導出配置檔案。

Device(config)# ip traffic-export profile mypcap mode capture

2. 在配置檔案中配置雙向流量。

Device(config-rite)# bidirectional

3.退出。

4. 指定匯出流量的介面。

Device(config-if)# interface GigabitEthernet 0/1

5. 在介面上啟用IP流量導出。

Device(config-if)# ip traffic-export apply mypcap size 10000000

6. 退出。

7. 開始擷取。捕獲現在處於活動狀態。允許收集必要的資料。

Device# traffic-export interface GigabitEthernet 0/1 start

8. 停止捕獲。

Device# traffic-export interface GigabitEthernet 0/1 stop

9. 將捕獲導出到外部TFTP伺服器。

Device# traffic-export interface GigabitEthernet 0/1 copy tftp://<TFTP_Address>/mypcap.pcap

10. 收集完必要的資料後，刪除配置檔案。

Device(config)# no ip traffic-export profile mypcap

IP流量導出缺點

與EPC方法相比，IP流量導出具有以下缺點：

Cisco IOS XE配置示例

Cisco IOS XE版本3.7 ― 15.2(4)S中引入了嵌入式封包擷取功能。 捕獲的配置與Cisco IOS不同，因為它增加了更多功能。

基本EPC配置

1. 定義發生擷取的位置：
   
   

   monitor capture CAP interface GigabitEthernet0/0/1 both

2. 關聯篩選器。過濾器是內聯指定的，或者可以引用ACL或類對映：
   
   

   monitor capture CAP match ipv4 protocol tcp any any limit pps 1000000 

3. 開始捕獲：
   
   

   monitor capture CAP start

4. 捕獲現在處於活動狀態。允許它收集必要資料。
   
   
5. 停止捕獲：
   
   

   monitor capture CAP stop

6. 在摘要檢視中檢查捕獲：
   
   

   show monitor capture CAP buffer brief

7. 在詳細檢視中檢查捕獲：
   
   

   show monitor capture CAP buffer detailed 

8. 此外，以PCAP格式匯出擷取以進行進一步分析：
   
   

   monitor capture CAP export tftp://10.0.0.1/CAP.pcap

9. 收集完必要的資料後，請刪除捕獲：
   
   

   no monitor capture CAP

其他資訊

• 捕獲在物理介面、子介面和隧道介面上執行。
• 目前不支援基於網路應用辨識(NBAR)的過濾器(在類對映下使用match protocol命令)。
• 有關本部分中所用命令的詳細資訊，請參閱搜尋命令的最佳實踐。

驗證

目前沒有適用於此組態的驗證程序。

疑難排解

對於在Cisco IOS XE®上運行的EPC，此debug命令用於確保EPC設定正確：

debug epc provision
debug epc capture-point

相關資訊

• 嵌入式資料包捕獲配置指南，Cisco IOS XE版本3S儲存
• Cisco IOS網路管理配置指南
• 思科技術支援與下載