Viele Cisco-Geräte erlauben es, direkt auf der Netzwerk-Schnittstelle Pakete mitzuschneiden. Wie das mit der PIX/ASA geht habe ich schon vor längerer Zeit beschrieben.
Seit IOS 12.4(20)T geht das auch auf dem Router. Steffen Lehmann von Systema hat dazu eine kleine Einführung gerschrieben und sie mir zur Verfügung gestellt:
Ab 12.4(20)T kann ohne großen Aufwand ein Router Interface gespiegelt werden und per ftp/tftp der Output im Wireshark kompatiblen Format exportiert werden.
Dies funktioniert auch für SUB Interfaces auf einem 802.1q Trunk .
Die Konfguration
- Erstellen des Buffers
- Erstellen des Capture Point
- Zuordnung Buffer – Capture Point
- Start des Capture
- Monitoring
- Beenden des Capture
- Kopieren des Capture File auf externen Server
Hier wird der das Puffer File definiert, welches für die „gedumpten“ Pakete verwendet wird.
Router#monitor capture buffer >Buffer Filename<
Damit wird definiert, welche Source für eine bestimmte Session (Capture Point) genutzt wird.
Router#monitor capture point ip cef >CapturePointNameIF NameRichtung<
Router#monitor capture point associate >CapturePointNameBuffer Filename<
Router#monitor capture point start >CapturePointName<
Um festzustellen, wie viele Pakete schon gemonitort wurden, kann mit folgendem Kommando nachgesehen werden…
Router#show monitor capture buffer > Buffer Filename<
Router#monitor capture point stop >CapturePointName<
Router#monitor capture buffer >Buffer FilenameIPADRESSE>/>Dateiname<
Jetzt kann die Datei auf dem remote Rechner mit Wireshark geöffnet und analysiert werden.
Danke Steffen. 🙂
Und wenn wir irgendwann mal zu diesem Release kommen wird mir das sicher helfen.
Danke, das kannte ich noch nicht. Sehr schön. Fehlt nur noch eine Funktionalität wie bei CheckPoints “fw monitor” wo man sieht, wie sich das Paket durch die Firewall läuft.
Wer übrigens einfach nur schnell sehen will was gerade auf seinem Router los ist, der sich mal “ip flow top talkers” unter IOS anschauen. Ich hab dazu gerade was geschrieben: http://blog.quux.de/?p=193