আমি কীভাবে সিসকো আইওএস সুইচে ট্র্যাফিক ক্যাপচার করব?


23

ক্লায়েন্ট থেকে সার্ভার যোগাযোগে কোনও সমস্যা তদন্তের জন্য, বিশ্লেষণের জন্য আমার প্যাকেটগুলি ক্যাপচার করা দরকার। তবে এটি ক্লায়েন্ট বা সার্ভারে প্যাকেট বিশ্লেষক, যেমন ওয়্যারশার্ক বা টিসিপিডাম্প ইনস্টল করার অনুমতি নেই। তারা ক্লায়েন্ট একটি অনুঘটক 3560 এবং সার্ভারকে অনুঘটক 3750 স্যুইচে সংযুক্ত রয়েছে connected

আমি আমার ল্যাপটপের প্যাকেট বিশ্লেষক দিয়ে ট্র্যাফিক ক্যাপচারের জন্য আমার ল্যাপটপটি একটি সুইচপোর্টে প্লাগইন করতে পারি এবং কীভাবে?


আমি এখানে ব্রোকেডের জন্য একই স্ব-উত্তর দেওয়ার প্রশ্নটি করেছি: নেটওয়ার্কেনজেনারিং.স্ট্যাকেক্সেঞ্জার / প্রশ্নস / 267২/… কিন্ডা অদ্ভুত লাগছে ... :)
বেনজামিন এ।

@BenjaminA। গ্রেট! ব্রোকেডের সমাধানের জন্য এবং এখানে লিঙ্কটি যুক্ত করার জন্য ধন্যবাদ!
স্টিফান

সেশনে এমন কোনও কনফিগারেশন রয়েছে যা ক্যাপচারিং পিসি / সার্ভারকে এখনও ডিএইচসিপি থেকে আইপি খুলতে দেয়?
mickeyHR

কোন উত্তর কি আপনাকে সাহায্য করেছে? যদি তা হয় তবে আপনার উত্তরটি গ্রহণ করা উচিত যাতে উত্তরটি সন্ধান চিরকালের জন্য পপিং না হয়ে থাকে। বিকল্পভাবে, আপনি নিজের উত্তর সরবরাহ করতে এবং গ্রহণ করতে পারেন।
রন মাউপিন

উত্তর:


34

ক্লায়েন্ট সুইচপোর্ট বা সার্ভার সুইচপোর্ট পর্যবেক্ষণ করা যেতে পারে। তৃতীয় একটি সুইচপোর্ট মিরর পোর্ট হিসাবে কনফিগার করা যায় । এর অর্থ হ'ল এই আয়না বন্দরটি সংশ্লিষ্ট পোর্টের সমস্ত প্যাকেটের অনুলিপি গ্রহণ করবে, তবে মূল ট্র্যাফিক ক্ষতিগ্রস্থ হবে না।

উদাহরণস্বরূপ, অনুঘটক 3560 এ:

  1. কনফিগারেশন মোড প্রবেশ করুন:

    conf t
    
  2. উত্সটি সংজ্ঞায়িত করুন এবং সেশন নম্বরটি সেট করুন:

    monitor session 1 source interface fa 0/24
    

    এখানে, সেশন নম্বরটি 1 থেকে 66 পর্যন্ত হতে পারে, আপনি কোনও ভিএলএএন বা ইথারনেট চ্যানেলও নির্দিষ্ট করতে পারেন। এছাড়াও, ইন্টারফেসের ব্যাপ্তি যেমন fa 0/25 - 26সম্ভব হয় এবং ইন্টারফেসের তালিকা যেমন fa 0/24,fa 0/26আপনি একই সাথে বেশ কয়েকটি ক্লায়েন্টকে নিরীক্ষণ করতে চান তবে। কমান্ডটি পুনরাবৃত্তি করে আপনি পোর্টগুলি যুক্ত করতে বা ব্যবহার করে মুছে ফেলতে পারেন no। একই সেশনে পোর্ট এবং ভিএলএএন মিশ্রণ সম্ভব নয়, আরেকটি বিধিনিষেধ হ'ল আপনি গন্তব্য বন্দরটি উত্স বন্দর হিসাবে ব্যবহার করতে পারবেন না।

  3. গন্তব্য বন্দরটি সংজ্ঞায়িত করুন:

    monitor session 1 destination interface gi 0/1
    

    আপনি একটি সাধারণ বন্দর ব্যবহার করতে পারেন, তবে ভিএলএএন নয়। একইভাবে উপরের দিকে, গন্তব্য বন্দরটি কোনও উত্স বন্দর হতে পারে না: এখানে ব্যবহৃত একটি বন্দরটি উত্স বা গন্তব্য বন্দর হতে পারে, এবং কেবলমাত্র একটি সেশনের। আবার, আপনি উপরের মত একাধিক বন্দর নির্দিষ্ট করতে পারেন।

  4. আপনি exitকনফিগারেশন মোড এবং কনফিগারেশন সংরক্ষণ করতে চাইতে পারেন ।

  5. আপনার সংজ্ঞায়িত অধিবেশনটিতে আপনার নজর থাকতে পারে - এখানে একাধিক বন্দর, উপরে চেষ্টা করা হয়েছে:

    #show monitor session 1
    Session 1
    ---------
    Type                   : Local Session
    Source Ports           :
        Both               : Fa0/24,Fa0/25-26
    Destination Ports      : Fa0/48,Gi0/1
        Encapsulation      : Native
              Ingress      : Disabled
    

    আপনি এখানে একটি এনক্যাপসুলেশন দেখতে পাচ্ছেন - allyচ্ছিকভাবে আপনি replicateএটি উত্স ইন্টারফেসের এনক্যাপসুলেশন পদ্ধতির প্রতিরূপের জন্য সেট করতে পারেন , যেমন encapsulation replicateউত্স ইন্টারফেসের পরে যুক্ত করে। উপরন্তু, আপনি একটি দিক (নির্দিষ্ট করতে পারেন tx, rx, both), ফিল্টার VLANs এবং আরো। Ingress: Disabledলাইন মানে সুইচ একটি গন্তব্য পোর্টে আপনার ক্যাপচার ডিভাইস দ্বারা এটি উপস্থাপিত কোন ফ্রেম গ্রহণ করবে না যে। যেমন সূক্ষ্ম বিবরণ এবং আরও বিধিনিষেধের জন্য এবং ডিফল্ট সেটিংস আপনার স্যুইচ এর আইওএস সংস্করণ কমান্ড রেফারেন্স এক নজর আছে।

একবার আপনি উত্স এবং গন্তব্য বন্দরটি কনফিগার করার পরে, আপনি গন্তব্য বন্দরের সাথে সংযুক্ত আপনার ল্যাপটপটি ব্যবহার করে ট্র্যাফিক ক্যাপচার করতে পারেন, উদাহরণস্বরূপ ওয়্যারশার্ক দিয়ে।

উত্স সেশনের সংখ্যা সীমিত হতে পারে, উদাহরণস্বরূপ 3560 সর্বাধিক 2 সমর্থন করে।

ক্যাপচারের পরে, এই সেশনটির কনফিগারেশনটি সরাতে ভুলবেন না।


1
আপনি মনিটরের সেশনটি ঠিক জায়গায় রেখে দিতে এবং আপনার হোস্ট মনিটরের এনআইসির লিঙ্কটি অক্ষম করে দিতে পারেন। প্যাকেটগুলি ধরা হবে না এবং নীচে থাকা কোনও লিঙ্কটি প্রেরণ করা হবে না। একটি উইন্ডোজ সার্ভারে আমার স্প্যান নামক একটি দ্বৈত এনআইসি রয়েছে। যখন আমি সুইচটি ক্যাপচার ওভারহেডটি করতে চাই না, আমি কেবল নেটওয়ার্ক বৈশিষ্ট্যে চলে যাই এবং স্প্যান এনআইসি অক্ষম করে। (সাধারণত, উত্স বন্দরগুলি পরিবর্তন করা হয়, তবে গন্তব্য বন্দরটি একই থাকে, তাই আমি জানি ভবিষ্যতে আমি আবার একই গন্তব্য হোস্টে আয়নার কাজ করতে যাচ্ছি))
জেনারেট ওয়ার্কারআর

একটি মনিটর সেশন ব্যবহারটি অক্ষম করতে# no monitor session 1
wimh

17

যদি আপনার ট্র্যাফিকটি সিস্কো আইওএস 12.4 (20) টি বা ততোধিক চলমান রাউটারের মধ্য দিয়ে চলেছে, তবে আর একটি সম্ভাবনা এম্বেডড প্যাকেট ক্যাপচার বৈশিষ্ট্যটি ব্যবহার করা।

এই বৈশিষ্ট্যটি 3560 বা 3750 এর মতো স্যুইচ প্ল্যাটফর্মগুলিতে উপলভ্য নয়।

এই বৈশিষ্ট্যটি যা করে তা হ'ল রাউটারে একটি ছোট পিসিএপি ফাইল ক্যাপচার এবং সেভ করা যা আপনি ওয়্যারশার্কের সাথে ডাউনলোড এবং বিশ্লেষণ করতে পারেন।

একটি কয়েক সংযোগগুলি সঙ্গে বিস্তারিত


7
... এবং এটি ঠিক কারণ কেন লোকেরা পোস্ট করার সময় ঠিক হয়, এবং তারপরে তাদের নিজস্ব প্রশ্নগুলির উত্তর দেয়: কারণ অন্য ব্যবহারকারীদের হ্যাপ করার এবং নতুন কিছু যুক্ত করার জন্য অনুরোধ করা হয়। মিষ্টি।
ক্রেগ কনস্ট্যানটাইন

আমরা যখন এটিতে থাকি তখন ক্যাপচার কমান্ডটি ব্যবহার করে এএসএর সবসময় এই বৈশিষ্ট্যটি ছিল । এটি পিআইএক্সের উত্তরাধিকার সূত্রে প্রাপ্ত, যা এটি 6.২ থেকে পরে ছিল।
জেমস স্নেরিংগার

5

আমি মিশ্রণে ইলাম যুক্ত করতে চাই। পিএফসি 3 (6500, 7600) এ এলএএম সমর্থিত।

আপনার 'পরিষেবা অভ্যন্তরীণ' সক্ষম হওয়া দরকার, তবে এটি চালানো বেশ নিরাপদ বৈশিষ্ট্য, আমি প্রোডাকশন নেটওয়ার্কগুলিতে এটি বেশ ভালভাবে চালিয়েছি এবং এখনও একবার নেতিবাচক প্রভাব ফেলিনি।

মূলত এলাম কী করে তা এটি আপনাকে দেখায় যে ডিবিএস (ডেটা বিএস) এর মাধ্যমে পিএফসি-তে প্রসেসিংয়ের জন্য প্রেরণে কী পাঠানো হয়েছিল এবং আরবিএস (রেজাল্ট বুস) এর ফলাফল হিসাবে পিএফসি কী দিয়েছে give

  1. প্ল্যাট ক্যাপ এলাম asic সুপারম্যান স্লট ডিএফসি / পিএফসি_স্লো_ওয়্যু_ওয়ানT_TO_LOOK দেখান
  2. আইপি_এসএ = 192.0.2.1 যদি প্ল্যাট ক্যাপ এলাম ট্রিগার ডিবিাস আইপিভি 4 দেখান
  3. প্ল্যাট ক্যাপ ইলাম শুরু করুন
  4. প্ল্যাট ক্যাপ ইলাম তথ্য প্রদর্শন করুন

ট্রিগারগুলির জন্য অনলাইনে সহায়তা রয়েছে, আইপিএসএসএ == আইপি উত্স ঠিকানা, আইপি_ডিএ == আইপি গন্তব্য ঠিকানা, আরও অনেকগুলি উপলব্ধ। যদি আপনি যা যাচাই করতে চান তা যদি উপলভ্য না হয় তবে আপনি প্রথম 64 বি তে স্বেচ্ছাসেবী তথ্যের জন্য ডেটা + মাস্ক ম্যাচ করতে পারেন।
স্বেচ্ছাসেবক ট্রিগারটি কিছুটা বিশ্রী হলেও লাইফসফার হতে পারে, আপনি এটি এটি ব্যবহার করুন:

ডেটা = ডেটা 1 ডেটা 2 ডেটা [এমএএসকে 1 এমএএসকে 2 এমএসকেএন] প্ল্যাটফর্ম ক্যাপচার ইলাম ট্রিগার ডিবিস অন্যদের দেখান

ডেটা ডিএমএসি থেকে শুরু হয়। সুতরাং বলুন যে আমরা আগত এমপিএলএস স্ট্যাক [0 1951] ধরতে চাই, তবে আমরা ম্যাকের ঠিকানাগুলির যত্ন করি না, আমরা এটি করতে পারি:

প্ল্যাটফর্ম ক্যাপচার ইলাম ট্রিগার ডিবিাস অন্যদের দেখান যদি ডেটা = 0 0 0 0x88470000 0x00000079 0xF0000000 [0 0 0 0xffffffff 0xf000ffff 0xf0000000]


উদাহরণ আউটপুট হতে পারে:

7600#show platform capture elam data
DBUS data:
SEQ_NUM                          [5] = 0x1D
QOS                              [3] = 1
QOS_TYPE                         [1] = 0
TYPE                             [4] = 0 [ETHERNET]
STATUS_BPDU                      [1] = 0
IPO                              [1] = 1
NO_ESTBLS                        [1] = 0
RBH                              [3] = b000   ! port-channel hash
CR                               [1] = 1      ! recirculated
TRUSTED                          [1] = 1
NOTIFY_IL                        [1] = 0
NOTIFY_NL                        [1] = 0
DISABLE_NL                       [1] = 0
DISABLE_IL                       [1] = 0
DONT_FWD                         [1] = 0
INDEX_DIRECT                     [1] = 0
DONT_LEARN                       [1] = 0
COND_LEARN                       [1] = 0
BUNDLE_BYPASS                    [1] = 0
QOS_TIC                          [1] = 1
INBAND                           [1] = 0
IGNORE_QOSO                      [1] = 0
IGNORE_QOSI                      [1] = 0
IGNORE_ACLO                      [1] = 0
IGNORE_ACLI                      [1] = 0
PORT_QOS                         [1] = 0
CACHE_CNTRL                      [2] = 0 [NORMAL]
VLAN                             [12] = 4086
SRC_FLOOD                        [1] = 0
SRC_INDEX                        [19] = 0xC0          ! divmod64(0xc0) = 3,0, add 1 to each, 4/1 == our physical port
LEN                              [16] = 102
FORMAT                           [2] = 0 [IP]
MPLS_EXP                         [3] = 0x0
REC                              [1] = 0
NO_STATS                         [1] = 0
VPN_INDEX                        [10] = 0x7F
PACKET_TYPE                      [3] = 0 [ETHERNET]
L3_PROTOCOL                      [4] = 0 [IPV4]
L3_PT                            [8] = 1 [ICMP]
MPLS_TTL                         [8] = 0
SRC_XTAG                         [4] = 0xF
DEST_XTAG                        [4] = 0xA
FF                               [1] = 0
MN                               [1] = 0
RF                               [1] = 1
SC                               [1] = 0
CARD_TYPE                        [4] = 0x0
DMAC                             = 8843.e1de.22c0
SMAC                             = 0000.0000.0000
IPVER                            [1] = 0 [IPV4]
IP_DF                            [1] = 1
IP_MF                            [1] = 0
IP_HDR_LEN                       [4] = 5
IP_TOS                           [8] = 0x0
IP_LEN                           [16] = 84
IP_HDR_VALID                     [1] = 1
IP_CHKSUM_VALID                  [1] = 1
IP_L4HDR_VALID                   [1] = 1
IP_OFFSET                        [13] = 0
IP_TTL                           [8] = 63
IP_CHKSUM                        [16] = 0xBCF1
IP_SA                            = x.x.x       ! to protect the guilty
IP_DA                            = y.y.y.y     ! to protect the guilty
ICMP_TYPE                        [8] = 0x8
ICMP_CODE                        [8] = 0x0
ICMP_DATA [104]
0000:  A0 8B 18 A5 00 39 46 35 BF 51 00 6F 3C            ".....9F5.Q.o<"
CRC                              [16] = 0x71B3

RBUS data:
SEQ_NUM                          [5] = 0x1D
CCC                              [3] = b100 [L3_RW]  ! normal L3_RW, we know it was not dropped, L2/mls policed etc
CAP1                             [1] = 0
CAP2                             [1] = 0
QOS                              [3] = 0
EGRESS                           [1] = 0
DT                               [1] = 0 [IP]
TL                               [1] = 0 [B32]
FLOOD                            [1] = 1
DEST_INDEX                       [19] = 0x3E8    ! same as VLAN, but not always    
VLAN                             [12] = 1000     ! you may need to check internal vlan     
RBH                              [3] = b111      ! again, port-channel hash
RDT                              [1] = 0
GENERIC                          [1] = 0
EXTRA_CICLE                      [1] = 0
FABRIC_PRIO                      [1] = 0
L2                               [1] = 0
FCS1                             [8] = 0x1
IP_TOS_VALID                     [1] = 1
IP_TOS_OFS                       [7] = 15
IP_TOS                           [8] = 0x0
IP_TTL_VALID                     [1] = 1
IP_TTL_OFS                       [7] = 22
IP_TTL                           [8] = 62
IP_CSUM_VALID                    [1] = 1
IP_CSUM_OFS                      [7] = 24
IP_CSUM                          [16] = 0xBDF1
DELTA_LEN                        [8] = 0
REWRITE_INFO
 i0  - replace bytes from ofs 0 to ofs 11 with seq 'D0 D0 FD 09 34 2D 88 43 E1 DE 22 C0'.   ! this is the actual L2 rewrite data, so you should obviously see DMAC and SMAC here 
FCS2                             [8] = 0x0
7600#

খুব সুন্দর সমস্ত বড় প্ল্যাটফর্মে ট্রানজিট প্যাকেটের জন্য এই ধরণের নিম্ন-স্তরের ক্যাপচার রয়েছে, যা আপনাকে এইচডাব্লু যাচাই করতে হবে যখন কনফিগারেশনটি যা যা করে তা যাচাই করা দরকার, কখনও কখনও সফ্টওয়্যার ত্রুটি থাকে এবং এটি প্রত্যাশার চেয়ে অন্য কিছু করে।
আমি জানি যে জিএসআর-তে আপনি স্মৃতিতে ট্রানজিট দেখতে পাবেন, জুনিপার ট্রায়োতেও এটির জন্য বেশ সুন্দর একটি সরঞ্জাম রয়েছে। ব্রোকেড এটি করতে পারে। এটি বেশ বিচলিত তারা ভেন্ডর পৃষ্ঠাগুলিতে নথিবদ্ধ নয়।


1

আমি সার্ভারফল্টে অনুরূপ কিছু প্রশ্ন জিজ্ঞাসা করেছি, এবং উত্তরগুলি এখানে ব্যবহারের হতে পারে।

সিসকো আইওএস ডিবাগ কমান্ড এবং প্যাকেট পর্যবেক্ষণ

স্তর 3 ছাড়াই ইথারনেট (স্তর 2) সমস্যা সমাধান করুন

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.