通过Jerold天鹅，足球竞猜app软件 |

当有疑问时，抓包

新的嵌入式抓包功能

虽然NetFlow(我上三篇文章的主题)是我经常使用的一个工具，用于查看网络流量，但有时您需要查看完整的数据包内容。我在工作中有个说法:“有疑问时，就抓包。”在最初的几次(或几十次)中，您通过使用原始数据包捕获来排除问题，这将是令人困惑和耗时的。但是，随着您学习和更好地理解网络基础知识，它最终将成为您最喜欢的工具之一，并且您将能够快速地排除那些可能会让您挠头并随机重新启动的疯狂问题。在网络故障排除中使用原始数据包捕获的第一步是了解基本的网络:OSI模型、以太网、ARP、IP、TCP/UDP等。思科的CCENT和CCNA课程在这方面有一些很好的基础材料。我也推荐两本这方面的经典著作:与TCP / IP网络互连和TCP/IP插图卷1。虽然已经过时了，但我还是觉得是查尔斯·司布真的以太网:最终指南是一个很好的参考。作者维护一个列表以太网的引用在线。在学习理论的同时，你需要动手阅读数据包。现在的标准工具是Wireshark是免费的。我建议你买一本劳拉·查佩尔的新书Wireshark的书随波逐流——这会帮你节省很多时间和挫败感。最后，您需要能够从您的网络实际获取原始包捕获。大多数人都熟悉端口镜像的概念，或者思科术语中的“SPAN”:一个交换机端口上的流量被复制到另一个交换机端口上，该端口上驻留着一个包捕获设备(如运行Wireshark、IDS、取证设备等的PC)。SPAN特性有几个变体:您不仅可以复制源端口，还可以复制源VLAN;您可以使用远程捕获设备(称为RSPAN)将流量复制到目标VLAN，或者在某些平台上，您甚至可以跨第三层边界(ERSPAN)隧道镜像流量。SPAN对于任何网络工程师来说都是一个必不可少的工具，但是它也有它的缺点:1)您可以很容易地订阅目标端口并丢弃数据包，2)一些配置会导致捕获重复的数据包，这可能会造成混乱，3)通过更改管理过程快速获得SPAN配置更改可能是一个挑战。出于这个原因，许多设计师更喜欢使用网络开关或专门的矩阵开关来方便捕捉。此外，SPAN特性集通常仅在交换硬件平台或IOS路由器的交换模块上可用。出于这个原因，我很高兴看到嵌入式包捕获功能在IOS 12.4(20)T和以后。有了这个特性，您可以直接从路由器获取数据包捕获，并使用ACL对其进行预过滤，以得到您想要的结果。 While this isn't particularly valuable for full-time capture requirements like we find in the security world, it's extremely valuable for network troubleshooting where we just need a bit of extra visibility into what's happening at the packet level.The feature is somewhat complex, with many tuning options. We'll take a look at a basic example here. The two major configuration objects that you need to set up are the capture buffer and the capture point. The capture buffer holds the captured packets. You need to configure a name, packet size, buffer size, and typically an access-list to select only the packets that interest you. The capture point specifies the interface on which the packets will be captured, and whether they'll be captured out of the CEF path or the process-switched path. For normal data plane packets, use the CEF path. For packets that are destined to the router itself, use the process-switched path.Here's an example of a EPC configuration that will give us some routing protocol packets. This example was taken from a router running IOS 15.0(1)M. First we define the buffer:TEST#monitor capture buffer TEST_BUFFER max-size 1600The "max-size" parameter defines the number of packet bytes to be captured. For some reason, the default is 68 bytes--so unless you want just the packet headers, you'll want to set this to something at least as big as the MTU of your interface. The "size" parameter defines the size of the capture buffer itself, in kilobytes. The default in this image is 1024K; I set it to 512K here just to show an example. Finally, the "filter access-list" parameter filters the buffer based on an ACL of your choice. The next command defines the switching path, interface, and direction of the capture as a named capture point. Here's an example of what it would look like for the process-switched path:TEST#monitor capture point ip process-switched PROC_CP bothand here's an example of a CEF path capture in both directions on Fa0/0:TEST#monitor capture point ip cef CEF_CP Fa0/0 bothNext, we associate the capture point with the buffer and start the capture:TEST#monitor capture point associate PROC_CP TEST_BUFFERAfter a while we can view statistics about the buffer:TEST#sh monitor capture buffer all parametersWhen we think we have the traffic we need, we stop the capture and export the buffer as a .pcap file, for viewing inWireshark：测试＃监视器捕获点停止allun概要，目前没有办法解码CLI的数据包内容。您所能做的就是通过“Show Monitor Capture Buffer”命令获得一些基本信息，或者您可以使用“转储”参数获得原始的十六进制转储：18：03：05.339 UTC 2010 2010：IPv4 Les CEF：FA0 /0没有人数18：03：03：09.355 UTC 2010年4月26日：IPv4 LES CEF：FA0 / 0 NARER4＃SH监视器Capture Buffer Test_Buffer Dump494EA8F0：01005E00 ..在理论上，我认为应该可以编写TCL脚本来解析内容捕获缓冲区进入更多人类可读的东西，但这是我的脚本技能水平。也许我们在观众中有一些进取的程序员？尽管要求导出捕获缓冲区以进行脱机查看，但我已经发现这是一个非常短的时间，它可以在它的相对较短的时间内成为一个宝贵的工具。我期待着所有生产路由器正在运行具有EPC功能集的代码的日期。

TEST_BUFFER大小为512

监视捕获缓冲区过滤器访问列表MY_SPECIAL_TRAFFIC

测试#监视器捕获点启动PROC_CP

捕获缓冲区TEST_BUFFER(线性缓冲区)

缓冲区大小:524288字节，最大元素大小:1024字节，数据包:218

Allow-nth-pak: 0, Duration: 0 (seconds)， Max packets: 0, pps: 0