मैं सिस्को IOS स्विच पर ट्रैफ़िक कैसे पकड़ सकता हूं?

23

क्लाइंट से सर्वर संचार में समस्या की जांच के लिए, मुझे विश्लेषण के लिए पैकेट पर कब्जा करने की आवश्यकता है। हालांकि इसे ग्राहक या सर्वर पर पैकेट एनालाइजर, जैसे कि विंडसर्क या टीसीपीडंप स्थापित करने की अनुमति नहीं है। वे ग्राहक एक उत्प्रेरक 3560 और एक उत्प्रेरक 3750 स्विच करने के लिए सर्वर से जुड़ा हुआ है।

क्या मैं अपने लैपटॉप के पैकेट एनालाइज़र के साथ ट्रैफ़िक कैप्चर करने के लिए अपने लैपटॉप को एक स्विचपोर्ट में प्लग इन कर सकता हूं, और कैसे?

— स्टीफन
स्रोत

मैंने यहाँ ब्रोकेड के लिए वही स्व-उत्तर देने वाला प्रश्न किया: networkengineering.stackexchange.com/questions/672/… थोड़े अजीब लगते हैं ... :)

— बेंजामिन ए।

@BenjaminA। महान! ब्रोकेड के समाधान के लिए धन्यवाद और यहाँ लिंक जोड़ना!

— स्टीफन

क्या सत्र पर एक कॉन्फ़िगरेशन है जो कैप्चरिंग पीसी / सर्वर को अभी भी डीएचसीपी से आईपी प्राप्त करने की अनुमति देगा?

— मिकीएचएचआर

क्या किसी उत्तर ने आपकी मदद की? यदि हां, तो आपको जवाब स्वीकार करना चाहिए ताकि सवाल हमेशा के लिए पॉपअप न हो, जवाब की तलाश में। वैकल्पिक रूप से, आप अपना स्वयं का उत्तर प्रदान कर सकते हैं और स्वीकार कर सकते हैं।

— रॉन Maupin

34

क्लाइंट स्विचपोर्ट या सर्वर स्विचपोर्ट की निगरानी की जा सकती है। तीसरे स्विचपोर्ट को मिरर पोर्ट के रूप में कॉन्फ़िगर किया जा सकता है । इसका अर्थ है कि इस दर्पण पोर्ट को संबंधित मूल पोर्ट पर सभी पैकेटों की प्रतियां प्राप्त होंगी, जबकि मूल ट्रैफ़िक प्रभावित नहीं होगा।

उदाहरण के लिए, उत्प्रेरक 3560 पर:

कॉन्फ़िगरेशन मोड दर्ज करें:
```
conf t
```
स्रोत को परिभाषित करें और सत्र संख्या निर्धारित करें:
```
monitor session 1 source interface fa 0/24
```
यहां, सत्र संख्या 1 से 66 तक हो सकती है, आप वीएलएएन या ईथरनेट चैनल भी निर्दिष्ट कर सकते हैं। इसके अलावा, इंटरफ़ेस पर्वतमाला जैसे कि fa 0/25 - 26संभव है, और इंटरफ़ेस सूची, जैसे कि fa 0/24,fa 0/26, यदि आप एक ही समय में कई ग्राहकों की निगरानी करना चाहते हैं। इसके अलावा कमांड को दोहराकर आप पोर्ट जोड़ सकते हैं, या उपयोग को हटा सकते हैं no। एक ही सत्र में मिक्सिंग पोर्ट और वीएलएएन संभव नहीं है, एक और प्रतिबंध यह है कि आप गंतव्य पोर्ट का उपयोग स्रोत पोर्ट के रूप में नहीं कर सकते।
गंतव्य पोर्ट परिभाषित करें:
```
monitor session 1 destination interface gi 0/1
```
आप एक सामान्य पोर्ट का उपयोग कर सकते हैं, लेकिन वीएलएएन का नहीं। ऊपर के समान, एक गंतव्य पोर्ट एक स्रोत पोर्ट नहीं हो सकता है: यहां उपयोग किया जाने वाला पोर्ट या तो एक स्रोत या एक गंतव्य पोर्ट हो सकता है, और केवल एक सत्र का। फिर, आप ऊपर जैसे कई पोर्ट निर्दिष्ट कर सकते हैं।
आप exitकॉन्फ़िगरेशन मोड को कॉन्फ़िगर करना चाहते हैं और कॉन्फ़िगरेशन को सहेज सकते हैं ।
आप अपने परिभाषित सत्र पर एक नज़र डाल सकते हैं - यहाँ कई पोर्ट्स, जैसे ऊपर दिए गए हैं:
```
#show monitor session 1
Session 1
---------
Type                   : Local Session
Source Ports           :
    Both               : Fa0/24,Fa0/25-26
Destination Ports      : Fa0/48,Gi0/1
    Encapsulation      : Native
          Ingress      : Disabled
```
आप यहां एक एनकैप्सुलेशन देख सकते हैं - वैकल्पिक रूप से आप इसे replicateस्रोत इंटरफ़ेस एन्कैप्सुलेशन विधि की प्रतिकृति के लिए सेट कर सकते हैं , जैसे encapsulation replicateकि स्रोत इंटरफ़ेस के बाद जोड़कर । इसके अलावा, आप एक दिशा (निर्दिष्ट कर सकते हैं tx, rx, both), फिल्टर VLANs और अधिक। Ingress: Disabledलाइन साधन स्विच एक गंतव्य बंदरगाह पर अपने कैप्चर डिवाइस से इसे करने के लिए प्रस्तुत किसी भी फ्रेम को स्वीकार नहीं करेगा कि। इस तरह के महीन विवरण और आगे के प्रतिबंधों और डिफ़ॉल्ट सेटिंग्स के लिए आपके स्विच के IOS संस्करण के कमांड संदर्भ पर एक नज़र है।

एक बार जब आप स्रोत और गंतव्य पोर्ट कॉन्फ़िगर कर लेते हैं, तो आप गंतव्य पोर्ट से जुड़े अपने लैपटॉप का उपयोग करके ट्रैफ़िक को कैप्चर कर सकते हैं, उदाहरण के लिए विंडसर के साथ।

स्रोत सत्रों की संख्या सीमित हो सकती है, उदाहरण के लिए 3560 अधिकतम 2 का समर्थन करता है।

कैप्चरिंग के बाद, इस सत्र कॉन्फ़िगरेशन को निकालना न भूलें।

— स्टीफन
स्रोत

1

आप मॉनिटर सत्र छोड़ सकते हैं और अपने होस्ट मॉनिटर के एनआईसी पर लिंक को निष्क्रिय कर सकते हैं। पैकेट को कैप्चर नहीं किया जाएगा और एक लिंक नीचे भेजा जाएगा जो नीचे है। एक विंडोज सर्वर पर, मेरे पास SPAN नामक एक के साथ दोहरी एनआईसी है। जब मैं स्विच ओवरहेड करने के लिए स्विच नहीं चाहता हूं, तो मैं सिर्फ नेटवर्क संपत्तियों में जाता हूं और स्पैन एनआईसी को अक्षम कर देता हूं। (आमतौर पर, स्रोत पोर्ट बदल दिए जाते हैं, लेकिन गंतव्य पोर्ट एक ही रहता है, इसलिए मुझे पता है कि मैं भविष्य में एक ही गंतव्य होस्ट के लिए फिर से दर्पण करने जा रहा हूं।)

— generalnetworkerror

मॉनिटर सत्र उपयोग को अक्षम करने के लिए# no monitor session 1

— 9

17

यदि आपका ट्रैफ़िक सिस्को IOS 12.4 (20) T या इससे अधिक के राउटर से गुजर रहा है, तो एंबेडेड पैकेट कैप्चर सुविधा का उपयोग करने की एक और संभावना है।

यह सुविधा 3560 या 3750 जैसे स्विच प्लेटफार्मों पर उपलब्ध नहीं है।

यह सुविधा जो करती है वह राउटर पर एक छोटी सी पीसीएपी फाइल को कैप्चर और सेव करती है जिसे आप विर्सार्क के साथ डाउनलोड और विश्लेषण कर सकते हैं।

एक कुछ लिंक के साथ विवरण ।

— माइक मरोत्ता
स्रोत

7

... और यह ठीक है कि यह ठीक क्यों है जब लोग पोस्ट करते हैं, और फिर जवाब देते हैं, अपने स्वयं के प्रश्न: क्योंकि अन्य उपयोगकर्ताओं को इसमें कुछ नया करने और जोड़ने के लिए प्रेरित किया जाता है। मिठाई।

— क्रेग कॉन्स्टेंटाइन

जब हम इस पर होते हैं, एएसए में कैप्चर कमांड का उपयोग करते हुए हमेशा यह सुविधा होती है । यह PIX से विरासत में मिला था, जिसके पास 6.2 से था।

— जेम्स स्नेनर

5

मैं मिश्रण में ईएलएएम जोड़ना चाहूंगा। ELAM PFC3 (6500, 7600) पर समर्थित है।

आपको 'सेवा आंतरिक' सक्षम होना चाहिए, लेकिन यह चलाने के लिए काफी सुरक्षित विशेषता है, मैंने इसे उत्पादन नेटवर्क में अच्छा सौदा किया है और अभी तक एक बार नकारात्मक प्रभाव नहीं डाला है।

अनिवार्य रूप से ईएलएएम क्या करता है यह आपको दिखाता है कि डीबीयूएस (डेटा बस) के माध्यम से पीएफसी को लुकअप प्रोसेसिंग के लिए क्या भेजा गया था और आरबीयूएस (रिजल्ट बस) में पीएफसी ने लुकअप परिणाम के रूप में क्या दिया।

plat cap elam asic सुपरमैन स्लॉट DFC / PFC_SLOT_YOU_WANT_TO_LOOK दिखाएं
शो आईपीए 4 = 192.0.2.1 अगर प्लैट कैप एलम ट्रिगर डब आईपीवी 4
शो प्लैट कैप एलम स्टार्ट
प्लैट कैप एलम डेटा दिखाएं

ट्रिगर्स के लिए ऑनलाइन मदद है, IP_SA == IP स्रोत पता, IP_DA == IP गंतव्य पता, दूसरों के बहुत सारे उपलब्ध हैं। यदि आप जो चेक करना चाहते हैं, वह उपलब्ध नहीं है, तो आप पहले 64B पर डेटा को मनमाने ढंग से मिलान करने के लिए कर सकते हैं।
मनमाना ट्रिगर थोड़ा अजीब है, लेकिन जीवनरक्षक हो सकता है, आप इसे इस तरह उपयोग करेंगे:

शो प्लेटफ़ॉर्म कैप्चर एलाम ट्रिगर डबस अदर डेटा = DATA1 DATA2 DATAn [MASK1 MASK2 MASKAR]

डेटा DMAC से शुरू होता है। तो हम कहते हैं कि हम आने वाले एमपीएलएस स्टैक को पकड़ना चाहते हैं [0 1951], लेकिन हमें मैक पते की परवाह नहीं है, हम ऐसा कर सकते हैं:

शो प्लेटफ़ॉर्म कैप्चर एलाम ट्रिगर डब अन्य यदि डेटा = 0 0 0 08888470000 0x00000079 0xF0000000 [0 0 0 0 0xffffff 0xf000ffff 0xf0000000]

उदाहरण आउटपुट हो सकता है:

7600#show platform capture elam data
DBUS data:
SEQ_NUM                          [5] = 0x1D
QOS                              [3] = 1
QOS_TYPE                         [1] = 0
TYPE                             [4] = 0 [ETHERNET]
STATUS_BPDU                      [1] = 0
IPO                              [1] = 1
NO_ESTBLS                        [1] = 0
RBH                              [3] = b000   ! port-channel hash
CR                               [1] = 1      ! recirculated
TRUSTED                          [1] = 1
NOTIFY_IL                        [1] = 0
NOTIFY_NL                        [1] = 0
DISABLE_NL                       [1] = 0
DISABLE_IL                       [1] = 0
DONT_FWD                         [1] = 0
INDEX_DIRECT                     [1] = 0
DONT_LEARN                       [1] = 0
COND_LEARN                       [1] = 0
BUNDLE_BYPASS                    [1] = 0
QOS_TIC                          [1] = 1
INBAND                           [1] = 0
IGNORE_QOSO                      [1] = 0
IGNORE_QOSI                      [1] = 0
IGNORE_ACLO                      [1] = 0
IGNORE_ACLI                      [1] = 0
PORT_QOS                         [1] = 0
CACHE_CNTRL                      [2] = 0 [NORMAL]
VLAN                             [12] = 4086
SRC_FLOOD                        [1] = 0
SRC_INDEX                        [19] = 0xC0          ! divmod64(0xc0) = 3,0, add 1 to each, 4/1 == our physical port
LEN                              [16] = 102
FORMAT                           [2] = 0 [IP]
MPLS_EXP                         [3] = 0x0
REC                              [1] = 0
NO_STATS                         [1] = 0
VPN_INDEX                        [10] = 0x7F
PACKET_TYPE                      [3] = 0 [ETHERNET]
L3_PROTOCOL                      [4] = 0 [IPV4]
L3_PT                            [8] = 1 [ICMP]
MPLS_TTL                         [8] = 0
SRC_XTAG                         [4] = 0xF
DEST_XTAG                        [4] = 0xA
FF                               [1] = 0
MN                               [1] = 0
RF                               [1] = 1
SC                               [1] = 0
CARD_TYPE                        [4] = 0x0
DMAC                             = 8843.e1de.22c0
SMAC                             = 0000.0000.0000
IPVER                            [1] = 0 [IPV4]
IP_DF                            [1] = 1
IP_MF                            [1] = 0
IP_HDR_LEN                       [4] = 5
IP_TOS                           [8] = 0x0
IP_LEN                           [16] = 84
IP_HDR_VALID                     [1] = 1
IP_CHKSUM_VALID                  [1] = 1
IP_L4HDR_VALID                   [1] = 1
IP_OFFSET                        [13] = 0
IP_TTL                           [8] = 63
IP_CHKSUM                        [16] = 0xBCF1
IP_SA                            = x.x.x       ! to protect the guilty
IP_DA                            = y.y.y.y     ! to protect the guilty
ICMP_TYPE                        [8] = 0x8
ICMP_CODE                        [8] = 0x0
ICMP_DATA [104]
0000:  A0 8B 18 A5 00 39 46 35 BF 51 00 6F 3C            ".....9F5.Q.o<"
CRC                              [16] = 0x71B3

RBUS data:
SEQ_NUM                          [5] = 0x1D
CCC                              [3] = b100 [L3_RW]  ! normal L3_RW, we know it was not dropped, L2/mls policed etc
CAP1                             [1] = 0
CAP2                             [1] = 0
QOS                              [3] = 0
EGRESS                           [1] = 0
DT                               [1] = 0 [IP]
TL                               [1] = 0 [B32]
FLOOD                            [1] = 1
DEST_INDEX                       [19] = 0x3E8    ! same as VLAN, but not always    
VLAN                             [12] = 1000     ! you may need to check internal vlan     
RBH                              [3] = b111      ! again, port-channel hash
RDT                              [1] = 0
GENERIC                          [1] = 0
EXTRA_CICLE                      [1] = 0
FABRIC_PRIO                      [1] = 0
L2                               [1] = 0
FCS1                             [8] = 0x1
IP_TOS_VALID                     [1] = 1
IP_TOS_OFS                       [7] = 15
IP_TOS                           [8] = 0x0
IP_TTL_VALID                     [1] = 1
IP_TTL_OFS                       [7] = 22
IP_TTL                           [8] = 62
IP_CSUM_VALID                    [1] = 1
IP_CSUM_OFS                      [7] = 24
IP_CSUM                          [16] = 0xBDF1
DELTA_LEN                        [8] = 0
REWRITE_INFO
 i0  - replace bytes from ofs 0 to ofs 11 with seq 'D0 D0 FD 09 34 2D 88 43 E1 DE 22 C0'.   ! this is the actual L2 rewrite data, so you should obviously see DMAC and SMAC here 
FCS2                             [8] = 0x0
7600#

बहुत अधिक सभी बड़े प्लेटफार्मों में ट्रांजिट पैकेट के लिए इस प्रकार के निम्न-स्तरीय कैप्चर होते हैं, जो असाधारण रूप से उपयोगी होते हैं जब आपको यह सत्यापित करने की आवश्यकता होती है कि एचडब्ल्यू क्या कॉन्फ़िगरेशन कह रहा है, तो कभी-कभी सॉफ़्टवेयर दोष होते हैं और यह अपेक्षा से कुछ अधिक होता है।
मुझे पता है कि जीएसआर में आप मेमोरी में पारगमन देख सकते हैं, जुनिपर तिकड़ी में इसके लिए काफी अच्छा उपकरण है। ब्रोकेड कर सकते हैं। यह काफी चौंकाने वाला है कि वे विक्रेता पृष्ठों में दर्ज़ नहीं हैं।

— ytti
स्रोत

1

मैंने सर्वरफॉल्ट पर कुछ इसी तरह के प्रश्न पूछे हैं, और उत्तर यहां उपयोग के हो सकते हैं।

सिस्को IOS डिबग कमांड और पैकेट मॉनिटरिंग

3 परत के बिना ईथरनेट (परत 2) का समस्या निवारण करें

— टी। वेबस्टर
स्रोत