Cisco IOS: Embedded Packet Capture

routerViele Cisco-Geräte erlauben es, direkt auf der Netzwerk-Schnittstelle Pakete mitzuschneiden. Wie das mit der PIX/ASA geht habe ich schon vor längerer Zeit beschrieben.

Seit IOS 12.4(20)T geht das auch auf dem Router. Steffen Lehmann von Systema hat dazu eine kleine Einführung gerschrieben und sie mir zur Verfügung gestellt:


Ab 12.4(20)T kann ohne großen Aufwand ein Router Interface gespiegelt werden und per ftp/tftp der Output im Wireshark kompatiblen Format exportiert werden.

Dies funktioniert auch für SUB Interfaces auf einem 802.1q Trunk .

Die Konfguration

  1. Erstellen des Buffers
  2. Hier wird der das Puffer File definiert, welches für die „gedumpten“ Pakete verwendet wird.

    
    Router#monitor capture buffer >Buffer Filename<
    

    embedded-packet-capture_htm_4d612e2

  3. Erstellen des Capture Point
  4. Damit wird definiert, welche Source für eine bestimmte Session (Capture Point) genutzt wird.

    
    Router#monitor capture point ip cef >CapturePointNameIF NameRichtung<
    

    embedded-packet-capture_htm_m43ffb00a

  5. Zuordnung Buffer – Capture Point
  6. 
    Router#monitor capture point associate >CapturePointNameBuffer Filename<
    

    embedded-packet-capture_htm_efca750

  7. Start des Capture
  8. 
    Router#monitor capture point start >CapturePointName<
    

    embedded-packet-capture_htm_m69e287f3

  9. Monitoring
  10. Um festzustellen, wie viele Pakete schon gemonitort wurden, kann mit folgendem Kommando nachgesehen werden…

    
    Router#show monitor capture buffer > Buffer Filename<
    

    embedded-packet-capture_htm_m1a74612e

  11. Beenden des Capture
  12. 
    Router#monitor capture point stop >CapturePointName<
    
  13. Kopieren des Capture File auf externen Server
  14. 
    Router#monitor capture buffer >Buffer FilenameIPADRESSE>/>Dateiname<
    

    embedded-packet-capture_htm_43109f51

    Jetzt kann die Datei auf dem remote Rechner mit Wireshark geöffnet und analysiert werden.

3 Replies to “Cisco IOS: Embedded Packet Capture”

  1. Danke Steffen. 🙂
    Und wenn wir irgendwann mal zu diesem Release kommen wird mir das sicher helfen.

  2. Danke, das kannte ich noch nicht. Sehr schön. Fehlt nur noch eine Funktionalität wie bei CheckPoints “fw monitor” wo man sieht, wie sich das Paket durch die Firewall läuft.

    Wer übrigens einfach nur schnell sehen will was gerade auf seinem Router los ist, der sich mal “ip flow top talkers” unter IOS anschauen. Ich hab dazu gerade was geschrieben: http://blog.quux.de/?p=193

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.