Um ein Problem bei der Client-Server-Kommunikation zu untersuchen, muss ich Pakete zur Analyse erfassen. Es ist jedoch nicht zulässig, einen Paketanalysator wie Wireshark oder tcpdump auf einem Client oder Server zu installieren. Der Client ist mit einem Catalyst 3560 und der Server mit einem Catalyst 3750-Switch verbunden.
Kann ich meinen Laptop an einen Switchport anschließen, um den Datenverkehr mit dem Packet Analyzer meines Laptops zu erfassen, und wie?
cisco
monitoring
cisco-ios
wireshark
Stefan
quelle
quelle
Antworten:
Der Client-Switchport oder der Server-Switchport kann überwacht werden. Ein dritter Switchport kann als Spiegelport konfiguriert werden . Dies bedeutet, dass dieser Spiegelport Kopien aller Pakete auf dem entsprechenden ursprünglichen Port empfängt, während der ursprüngliche Datenverkehr nicht beeinträchtigt wird.
Beispiel für den Catalyst 3560:
Konfigurationsmodus aufrufen:
Definieren Sie die Quelle und legen Sie die Sitzungsnummer fest:
Hier kann die Sitzungsnummer zwischen 1 und 66 liegen. Sie können auch ein VLAN oder einen Ethernet-Kanal angeben. Außerdem sind Schnittstellenbereiche wie
fa 0/25 - 26
möglich und Schnittstellenlisten wiefa 0/24,fa 0/26
, wenn Sie mehrere Clients gleichzeitig überwachen möchten. Durch Wiederholen des Befehls können Sie auch Ports hinzufügen oder mithilfe von entfernenno
. Das Mischen von Ports und VLANs in derselben Sitzung ist nicht möglich. Eine weitere Einschränkung besteht darin, dass Sie keinen Zielport als Quellport verwenden können.Definieren Sie den Zielport:
Sie können einen normalen Port, aber kein VLAN verwenden. Ähnlich wie oben kann ein Zielport kein Quellport sein: Ein hier verwendeter Port kann entweder ein Quell- oder ein Zielport sein und nur eine Sitzung umfassen. Auch hier können Sie wie oben mehrere Ports angeben.
Möglicherweise möchten Sie den
exit
Konfigurationsmodus und speichern Sie die Konfiguration.Sie können einen Blick auf Ihre definierte Sitzung werfen - hier mehrere Ports, wie oben beschrieben:
Hier sehen Sie eine Kapselung - optional können Sie sie so einstellen,
replicate
dass die Kapselungsmethode der Quellschnittstelle repliziert wird, z. B. durch Hinzufügenencapsulation replicate
nach der Quellschnittstelle. Darüber hinaus können Sie eine Richtung angeben (tx
,rx
,both
), Filter VLANs und vieles mehr. DieIngress: Disabled
Leitung bedeutet, dass der Switch keine Frames akzeptiert, die von Ihrem Aufnahmegerät an einem Zielport angezeigt werden. Weitere Informationen zu diesen Feinheiten sowie zu weiteren Einschränkungen und Standardeinstellungen finden Sie in der Befehlsreferenz der IOS-Version Ihres Switches.Nachdem Sie den Quell- und Zielport konfiguriert haben, können Sie den Datenverkehr mit Ihrem Laptop erfassen, der mit dem Zielport verbunden ist, beispielsweise mit Wireshark.
Die Anzahl der Quell-Sessions kann begrenzt werden, zum Beispiel unterstützt der 3560 maximal 2.
Vergessen Sie nach der Erfassung nicht, diese Sitzungskonfiguration zu entfernen.
quelle
# no monitor session 1
Wenn Ihr Datenverkehr zufällig über einen Router geleitet wird, auf dem Cisco IOS 12.4 (20) T oder höher ausgeführt wird, können Sie auch die Funktion "Embedded Packet Capture" verwenden.
Diese Funktion ist auf Switch-Plattformen wie dem 3560 oder 3750 NICHT verfügbar.
Diese Funktion erfasst und speichert eine kleine PCAP-Datei auf dem Router, die Sie mit Wireshark herunterladen und analysieren können.
Ein paar Links mit Details .
quelle
Ich möchte ELAM in die Mischung aufnehmen. ELAM wird von PFC3 (6500, 7600) unterstützt.
Sie müssen 'service internal' aktiviert haben, aber es ist eine ziemlich sichere Funktion, die ich in Produktionsnetzwerken verwendet habe und die noch keine negativen Auswirkungen hatte.
Im Wesentlichen zeigt ELAM Ihnen, was für eine Nachschlageverarbeitung über DBUS (Daten-BUS) an PFC gesendet wurde und was die PFC als Nachschlageergebnis in RBUS (Ergebnis-BUS) ausgegeben hat.
Für die Trigger gibt es eine Online-Hilfe, IP_SA == IP-Quelladresse, IP_DA == IP-Zieladresse, viele andere sind verfügbar. WENN das, was Sie überprüfen möchten, nicht verfügbar ist, können Sie auf dem ersten 64B eine Daten- + Maskenübereinstimmung für beliebige Daten durchführen.
Der willkürliche Auslöser ist etwas umständlich, kann aber lebensrettender sein. Sie werden ihn folgendermaßen verwenden:
Daten starten von DMAC. Angenommen, wir möchten den eingehenden MPLS-Stapel von [0 1951] abfangen, aber die MAC-Adressen interessieren uns nicht. Wir könnten dies tun:
Beispielausgabe könnte sein:
Nahezu alle größeren Plattformen verfügen über diese Art von Low-Level-Erfassung für Transitpakete. Dies ist besonders nützlich, wenn Sie überprüfen müssen, ob HW die angegebenen Konfigurationsschritte ausführt, manchmal Softwarefehler vorliegen und etwas anderes als erwartet ausgeführt wird.
Ich weiß, dass man in GSR Transit im Speicher sehen kann, in Juniper Trio gibt es auch ein ganz nettes Werkzeug dafür. Brocade kann das. Es ist ziemlich verwunderlich, dass sie nicht auf Anbieterseiten dokumentiert sind.
quelle
Ich habe einige ähnliche Fragen zu serverfault gestellt, und die Antworten können hier hilfreich sein.
Cisco IOS-Debug-Befehle und Paketüberwachung
Fehlerbehebung bei Ethernet (Schicht 2) ohne Schicht 3
quelle