Konfigurer Embedded Packet Capture (EPC) på Cisco IOS

EPC er ikke slået til som standard idet det hurtigt kan fylde din routers hukommelse, men når man har aktiveret EPC vil din router opfange og gemme de pakker der sendes og modtages. Pakkerne bliver gemt i en buffer i DRAM derfor er de ikke gemt efter en reload af din router.

Når man har opfanget datapakker, kan disse ses og undersøges i en opsummeret udgave eller i en detaljeret visning. Derudover kan datapakkerne eksporteres som PCAP fil (Packet CAPture) for yderligere undersøgelse i eksempelvis Wireshark.

Embedded Packet Capture konfigureres i exec mode.

Cisco har lavet  Packet Capture Config Generator and Analyzer værktøjet som er tilgængeligt for Cisco kunder, teknikere og partnere for at hjælpe med at konfigurere opfangelse af pakkerne og udtræk af disse.

Cisco IOS Konfigurationseksempel

Enkel EPC Konfiguration

  1. Definer en ‘capture buffer’, som er den midletidige buffer, som de opfangede pakker bliver gemt i. Der er flere indstillinger der kan vælges når bufferen skal defineres:
    • Size – Størrelse af pakken
    • Max-Size – Den maksimae størrelse af den enkelte pakke
    • circular/linear – Om der skal gemmes så den overskriver den ældste pakke eller fortsætter med at gemme lineært.
      Eksempel - monitor capture buffer CAPTURE-BUFFER size 2048 max-size 1518 linear
  2. Det er også muligt at filtrere det du vil opfange, så du for at mere præciseret indhold i dit udtræk og det bør man altid gøre brug af, med mindre man virkeligt ikke ved hvor man skal lede. Definér en Access Control List (ACL) i config-mode og tilføj filteret til bufferen:
    ip access-list extended CAPTURE-FILTER
    permit ip host 172.1.1.2 host 172.1.1.5
    permit ip host 172.1.1.5 host 172.1.1.2 monitor capture buffer CAPTURE-BUFFER filter access-list BUFFER-FILTER
  3. Vi skal også vide hvor på routeren trafikken skal fanges, derfor er vi nødt til at kende interfaceporten. Definér et capture point, som fortæller porten der skal opfanges pakker på. Capture point’et bestemmer også om trafikken foregår på IPv4 eller Ipv6 og i hvilken switching path det foregår (Proces eller Cisco Express Forward)

    monitor capture point ip cef CAPTURE-POINT fastEthernet 0 both
  4. Tilføj Buffer’en til Capture Point’et:

    monitor capture point associate CAPTURE-POINT CAPTURE-BUFFER
  5. Start the optagelsen:

    monitor capture point start CAPTURE-POINT
  6. Optagelse af datapakker er nu aktiveret. Igangsæt den process der skal fejlsøges på og stop efterfølgende optagelsen.
  7. Stop optagelse:
    monitor capture point stop CAPTURE-POINT
  8. Gennemse bufferen på Routeren:

    show monitor capture buffer CAPTURE-BUFFER dumpNote: Dette udtræk viser kun heximalværdierne for de optagede pakker. Hvis du gerne vil se dem, så de er læsbare for almindelige mennesker (eller i hvert fald for netværksnørder) så er der to metoder:
    1. Eksportér buffer’en fra din router for nærmere undersøgelse:

      monitor capture buffer CAPTURE-BUFFER export tftp://172.1.1.10/CAPTURE-BUFFER.pcapTip:
    2. Det kræver selvfølgelig at man har en tftp server stående klar til at modtage filen og at denne er netværksmæssigt forbundet dertil. Er det for upraktisk, kan du tage en kopi af heximalværdierne og bruge en hvilkensomhelst online HEX-til-PCAP konverter for at se filerne.
  9. Når optagne pakker er blevet indsamlet, bør du slette dit capture point og din capture buffer:

no monitor capture point ip cef CAPTURE-POINT fastEthernet 0 both

no monitor capture buffer CAPTURE-BUF

Reference: https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-embedded-packet-capture/116045-productconfig-epc-00.htmlPosted

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.