—просите про Asterisk в Telegram - чате

ћерион Ќетворкс

4 минуты чтени€

ƒл€ захвата трафика можно использовать маршрутизаторы Cisco, при помощи утилиты Cisco Embedded Packet Capture, котора€ доступна, начина€ с версии IOS 12.4.20T. ¬ этой статье мы расскажем, как настроить EPC дл€ захвата пакетов на роутере, сохран€ть их на flash пам€ти или экспортировать на ftp/tftp сервер дл€ будущего анализа, при помощи анализатора пакетов, например, такого как Wireshark.

ƒавайте рассмотрим некоторые из основных функций, которые предлагает нам Embedded Packet Capture:

  • Ёкспорт пакетов в формате PCAP, обеспечивающий анализ с помощью внешних инструментов
  • ¬озможность задать различные параметры буфера захвата
  • ќтображение буфера захвата
  • «ахват IPv4 и IPv6 пакетов в пути Cisco Express Forwarding

ѕрежде чем начать конфигурацию Cisco EPC необходимо разобратьс€ с двум€ терминами, которые будут использоватьс€ в процессе Ц Capture Buffer(буфер захвата) и Capture Point (точка захвата)

 Capute Buffer и Capture Point

Capture buffer Ц это зона в пам€ти дл€ хранени€ пакетных данных. —уществует два типа буферов захвата Linear (линейный) и Circular (кольцевой):

  • Linear Capture Buffer Ц когда буфер захвата заполнен, он перестает захватывать данные
  • Circular Capture Buffer Ц когда буфер заполнен, он продолжает захватывать данные, перезаписыва€ старые данные

Capture Point Ц это точка транзита трафика, в которой фиксируетс€ пакет. “ут определ€етс€ следующее:

  • IPv4 или IPv6
  • CEF (Cisco Express Forwarding) или Process-Switched
  • »нтерфейс (например Fast Ethernet 0/0, Gigabit Ethernet 1/0)
  • Ќаправление трафика: вход€щий (in), исход€щий (out) или оба

Ќастройка Cisco Embedded Packet Capture

–ассмотрим настройку на примере нашей схемы, где мы хотим захватить вход€щие и исход€щие пакеты на интерфейсе FastEthernet 0/0 от ѕ  с адресом 192.168.1.5 до веб-сервера wiki.merionet.ru с адресом 212.193.249.136

 Cisco Embedded Packet Capture

ѕервым делом мы создадим буфер, который будет хранить захваченные пакеты. ƒл€ этого используем команду monitor capture buffer [им€] size[размер] [тип] . —оздадим буфер merionet_cap, размером 1024 килобайта (1 мегабайт, стандартный размер) и сделаем его линейным.

Router#monitor capture buffer merionet_cap size 1024 linear

ƒалее мы можем настроить захват определенного трафика. ¬ нашем случае нужно захватить трафик между 192.168.1.5 и 212.193.249.136. Ёто достигаетс€ при помощи списков контрол€ доступа ACL. ћы можем использовать стандартные или расширенные списки доступа в зависимости от требуемой детализации. ≈сли список доступа не настроен, то захвачен будет весь трафик.

Router(config)#ip access-list extended web-traffic
Router(config-ext-nacl)#permit ip host 192.168.1.5 host 212.193.249.136
Router(config-ext-nacl)#permit ip host 212.192.249.136 host 192.168.1.5

Ќаш список доступа включает трафик, исход€щий от обоих хостов, потому что мы хотим захватить двунаправленный трафик. ≈сли бы мы включили только один оператор ACL, тогда был бы зафиксирован только односторонний трафик. “еперь св€жем наш буфер с access-listТом, при помощи команды monitor capture buffer [название_буфера] filter access-list [название_ACL]

Router#monitor capture buffer merionet_cap filter access-list web-traffic

«атем следующем шагом мы определ€ем, какой интерфейс будет точкой захвата. ¬ нашем случае это FastEthernet 0/0, и мы будем захватывать как вход€щие, так и исход€щие пакеты. ¬о врем€ этой фазы конфигурации нам нужно предоставить им€ дл€ точки захвата.

“акже очень важно ввести команду ip cef дл€ обеспечени€ минимального вли€ни€ на процессор маршрутизатора, при помощи Cisco Express Forwarding. ≈сли ip cef не включен, то по€витс€ сообщение IPv4 CEF is not enabled.

»спользуем команду monitor capture point ip cef [им€_точки] [интерфейс] [направление] .

Router#monitor capture point ip cef MNpoint FastEthernet0/0 both

“еперь мы св€зываем сконфигурированную точку захвата с буфером захвата командой monitor capture point associate [название_точки][название_буфера] . Ќа этом этапе мы готовы начать сбор пакетов.

Router#monitor capture point associate MNpoint merionet_cap

„тобы начать сбор пакетов используем команду monitor capture point start [название_интерфейса] .

Router# monitor capture point start MNpoint

„тобы остановить процесс захвата используетс€ команда monitor capture point stop [название_интерфейса] .

Router# monitor capture point stop MNpoint

ѕолезные команды проверки:

  • show monitor capture buffer Ц показывает состо€ние буфера захвата
  • show monitor capture point Ц показывает состо€ние точки захвата
  • show monitor capture buffer [название_буфера] Ц показывает информацию о захваченных пакетах
  • show monitor capture buffer [название_буфера] dump Ц показывает содержание буфера

Ёкспорт данных

¬ большинстве случаев захваченные данные необходимо будет экспортировать в сетевой анализатор трафика (например, WireShark) дл€ дополнительного анализа в удобном дл€ пользовател€ интерфейсе. «ахваченный буфер можно экспортировать в несколько местоположений, включа€: flash: (на маршрутизаторе), ftp, tftp, http, https, scp и другие.

ƒл€ экспорта буфера используетс€ команда monitor capture buffer[им€_буфера] export [адрес] .

Router#monitor capture buffer merionet_cap export tftp://192.168.1.10/capture.pcap

ѕосле этого файл capture.pcap по€витс€ на нашем TFTP сервере, и мы можем открыть его в сетевом анализаторе.


ѕолезна ли ¬ам эта стать€?