Upload
melvin-holman
View
39
Download
1
Embed Size (px)
DESCRIPTION
Capturas en IOS (Embedded Packet Capture). Configuraci ón de Buffer. El primer paso es reservar espacio en memoria para almacenar la información . Cabe señalar que la configuración se hace desde el modo privilegiado (enable):. - PowerPoint PPT Presentation
Citation preview
Capturas en IOSCapturas en IOS(Embedded (Embedded
Packet Capture)Packet Capture)
ConfiguraciConfiguración de ón de BufferBuffer El primer paso es reservar espacio en memoria para almacenar la El primer paso es reservar espacio en memoria para almacenar la
información. Cabe señalar que la configuración se hace desde el información. Cabe señalar que la configuración se hace desde el modo privilegiado (enable):modo privilegiado (enable):
ROUTER# monitor capture buffer CAPBUFF size 512 max-size 1024 ? circular Circular Buffer linear Linear Buffer(Default) <cr>
ROUTER# monitor capture buffer CAPBUFF size 512 max-size 1024 linear
““CAPBUFF” es el nombre asignado al espacio en memoria (buffer).CAPBUFF” es el nombre asignado al espacio en memoria (buffer). ““size” es la cantidad de memoria reservada para la captura (el default es size” es la cantidad de memoria reservada para la captura (el default es
256 kB)256 kB) ““max-size” es el número de bytes que se van a capturar por cada paquete max-size” es el número de bytes que se van a capturar por cada paquete
(el default es 68 bytes con un máximo de 1024 bytes)(el default es 68 bytes con un máximo de 1024 bytes) ““linear” es el tipo de buffer, cuando la memoria asignada se haya utilizado linear” es el tipo de buffer, cuando la memoria asignada se haya utilizado
por completo la captura se detiene.por completo la captura se detiene. “ “circular” es otro tipo de buffer, cuando la memoria asignada se haya circular” es otro tipo de buffer, cuando la memoria asignada se haya
utilizado por completo el IOS empieza a sobreescribir la información hasta utilizado por completo el IOS empieza a sobreescribir la información hasta que la captura sea detenida manualmente. que la captura sea detenida manualmente.
FiltradoFiltrado
Como la cantidad de memoria que se Como la cantidad de memoria que se puede asignar es limitada, se tiene la puede asignar es limitada, se tiene la opción de filtrar exactamente la opción de filtrar exactamente la información que se requiere por información que se requiere por medio de una lista de acceso.medio de una lista de acceso.
ROUTER# config t Enter configuration commands, one per line. End with CNTL/Z.ROUTER(config)# access-list 199 permit icmp any anyROUTER(config)# exit
ROUTER# monitor capture buffer CAPBUFF filter access-list 199Filter Association succeeded
Configuración del punto de Configuración del punto de capturacaptura
El elemento que realiza la captura El elemento que realiza la captura del tráfico es el punto de captura del tráfico es el punto de captura (“capture point”). Existen dos modos (“capture point”). Existen dos modos de configuración de este elemento:de configuración de este elemento:
Process-switched: Es todo el tráfico Process-switched: Es todo el tráfico generado por el ruteador o dirigido al generado por el ruteador o dirigido al mismo(pings, telnet, GRE, VPN, NETFLOW, mismo(pings, telnet, GRE, VPN, NETFLOW, etc.)etc.)
ROUTER# monitor capture point ip process-switched CAPPOINT ? both Inbound and outbound and packets from-us Packets originating locally in Inbound packets out Outbound packets
•“CAPPOINT” es el nombre del punto de captura•“both” captura los paquetes de entrada y salida•“from-us” captura solo los paquetes originados localmente•“in” captura únicamente los paquetes dirigidos al ruteador•“out” captura los paquetes de salida desde el ruteador
Punto de Captura(cont…)Punto de Captura(cont…)
CEF: Se refiere al tráfico que pasa a través CEF: Se refiere al tráfico que pasa a través del ruteador. Con esta opción se puede del ruteador. Con esta opción se puede capturar el tráfico transmitido, recibido o capturar el tráfico transmitido, recibido o ambos en una sola interfaz (Ethernet, ambos en una sola interfaz (Ethernet, Serial, ATM, etc.)Serial, ATM, etc.)
Finalmente, se asocia el buffer con Finalmente, se asocia el buffer con el punto de captura:el punto de captura:
ROUTER# monitor capture point ip cef CAPPOINT FastEthernet 0/1 ? both capture ingress and egress in capture on ingress out capture on egress
ROUTER# monitor capture point ip cef CAPPOINT FastEthernet 0/1 both
ROUTER# monitor capture point associate ? WORD Name of the Capture Point
ROUTER# monitor capture point associate CAPPOINT ? WORD Name of the Capture Buffer
ROUTER# monitor capture point associate CAPPOINT CAPBUFF
VerificaciónVerificación
Se puede verificar la configuración Se puede verificar la configuración de EPC con los siguientes comandos:de EPC con los siguientes comandos:
ROUTER# show monitor capture buffer all parameterCapture buffer CAPBUFF (linear buffer)Buffer Size : 524288 bytes, Max Element Size : 1024 bytes, Packets : 0Allow-nth-pak : 0, Duration : 0 (seconds), Max packets : 0, pps : 0Associated Capture Points:Name : CAPPOINT, Status : InactiveConfiguration:monitor capture buffer CAPBUFF size 512 max-size 1024 linear monitor capture point associate CAPPOINT CAPBUFFmonitor capture buffer CAPBUFF filter access-list 199
ROUTER# show monitor capture point allStatus Information for Capture Point CAPPOINTIPv4 CEFSwitch Path: IPv4 CEF , Capture Buffer: CAPBUFF Status : Inactive
Configuration:monitor capture point ip cef CAPPOINT FastEthernet0/1 both
Inicio de capturaInicio de captura
Los siguientes comandos inician o Los siguientes comandos inician o detienen la captura.detienen la captura.
Para confirmar que el tráfico ha sido Para confirmar que el tráfico ha sido capturado se pueden usar los capturado se pueden usar los siguientes comandos:siguientes comandos:
ROUTER# monitor capture point start CAPPOINT
ROUTER# monitor capture point stop CAPPOINT
ROUTER# show monitor capture buffer CAPBUFF13:19:28.587 MEXICO Aug 20 2008 : IPv4 LES CEF : Fa0/1 None
ROUTER# show monitor capture buffer CAPBUFF dump13:19:28.587 MEXICO Aug 20 2008 : IPv4 LES CEF : Fa0/1 None
660DDED0: 00137F16 ....660DDEE0: F1B5001C 232204D4 08004500 003C42AB q5..#".T..E..<B+660DDEF0: 00007F01 0556A16C D81EA16C D8C80800 .....V!lX.!lXH..660DDF00: 34590200 17036162 63646566 6768696A 4Y....abcdefghij
Exportando la capturaExportando la captura
Se puede exportar la información a Se puede exportar la información a un archivo *.cap a través de los un archivo *.cap a través de los siguientes métodos:siguientes métodos:ROUTER# monitor capture buffer CAPBUFF export ?
ftp: Location to dump buffer http: Location to dump buffer https: Location to dump buffer pram: Location to dump buffer rcp: Location to dump buffer scp: Location to dump buffer tftp: Location to dump buffer
ROUTER# monitor capture buffer CAPBUFF export tftp://161.108.216.30/capture.cap !ROUTER#
Archivo de capturaArchivo de captura
Otros ComandosOtros Comandos
Para borrar el contenido de la Para borrar el contenido de la captura:captura:
Remover la configuración (primero Remover la configuración (primero se elimina el punto de captura y se elimina el punto de captura y después el buffer).después el buffer).
ROUTER# monitor capture buffer CAPBUFF clear
ROUTER# no monitor capture point ip cef CAPPOINT FastEthernet 0/1 both
ROUTER# no monitor capture buffer CAPBUFF Capture Buffer deleted
ReferenciasReferencias
http://www.cisco.com/en/US/prod/http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6555/collateral/iosswrel/ps6537/ps6555/ps9913/datasheet_c78-502727.htmlps9913/datasheet_c78-502727.html
http://www.cisco.com/en/US/docs/http://www.cisco.com/en/US/docs/ios/netmgmt/configuration/guide/ios/netmgmt/configuration/guide/nm_packet_capture_ps6441_TSD_Prnm_packet_capture_ps6441_TSD_Products_Configuration_Guide_Chapteoducts_Configuration_Guide_Chapter.htmlr.html