Bagaimana saya bisa menangkap lalu lintas pada switch Cisco IOS?

Untuk menyelidiki masalah dalam komunikasi klien ke server, saya perlu menangkap paket untuk analisis. Namun, tidak diperbolehkan memasang packet analyzer, seperti Wireshark atau tcpdump, pada klien atau server. Klien terhubung ke Catalyst 3560 dan server ke switch Catalyst 3750.

Dapatkah saya memasang laptop saya ke switchport untuk menangkap lalu lintas dengan packet analyzer laptop saya, dan bagaimana caranya?

Teknik Jaringan
cisco cisco-ios monitoring wireshark
20 Mei 2013 в 10:55
31 tayangan

Switchport klien atau switchport server dapat dipantau. Switchport ketiga bisa dikonfigurasi sebagai mirror port. Ini berarti bahwa mirror port ini akan menerima salinan semua paket pada port asli yang sesuai, sementara lalu lintas asli tidak akan terpengaruh.

Misalnya, pada Catalyst 3560:

  1. Masuk ke mode konfigurasi:

     conf t

  2. Tentukan sumber dan atur nomor sesi:

     monitor sesi 1 antarmuka sumber fa 0/24

    Di sini, nomor sesi bisa dari 1 hingga 66, Anda juga bisa menentukan VLAN atau saluran ethernet. Juga, rentang antarmuka seperti fa 0/25 - 26 dimungkinkan, dan daftar antarmuka, seperti fa 0/24,fa 0/26, jika Anda ingin memantau beberapa klien pada saat yang sama. Juga dengan mengulangi perintah Anda dapat menambahkan port, atau menghapus menggunakan no. Mencampur port dan VLAN tidak dimungkinkan dalam sesi yang sama, pembatasan lainnya adalah Anda tidak dapat menggunakan port tujuan sebagai port sumber.

  3. Tentukan port tujuan:

     monitor sesi 1 antarmuka tujuan gi 0/1

    Anda bisa menggunakan port normal, tetapi bukan VLAN. Sama halnya dengan di atas, port tujuan tidak bisa menjadi port sumber: port yang digunakan di sini bisa menjadi port sumber atau tujuan, dan hanya dari satu sesi. Sekali lagi, Anda dapat menentukan beberapa port seperti di atas.

  4. Anda mungkin ingin keluar dari mode konfigurasi dan menyimpan konfigurasi.

  5. Anda dapat melihat sesi yang Anda tentukan - di sini beberapa port, dicoba seperti di atas:

     #show monitor sesi 1
 Sesi 1
 ---------
 Jenis : Sesi Lokal
 Port Sumber:
     Keduanya: Fa0/24, Fa0/25-26
 Port Tujuan: Fa0/48, Gi0/1
     Enkapsulasi: Asli
           Ingress: Dinonaktifkan

    Anda dapat melihat enkapsulasi di sini - secara opsional anda dapat mengaturnya ke replicate untuk mereplikasi metode enkapsulasi antarmuka sumber, seperti dengan menambahkan encapsulation replicate setelah antarmuka sumber. Lebih jauh lagi, anda dapat menentukan arah (tx, rx, both), memfilter VLAN dan banyak lagi. Baris Ingress: Baris Disabled berarti bahwa sakelar tidak akan menerima frame apa pun yang disajikan kepadanya oleh perangkat penangkapan Anda pada port tujuan. Untuk detail yang lebih baik dan untuk pembatasan lebih lanjut dan pengaturan default, lihat referensi perintah dari versi IOS switch Anda.

Setelah Anda mengkonfigurasi port sumber dan tujuan, Anda dapat menangkap lalu lintas menggunakan laptop Anda yang terhubung ke port tujuan, misalnya dengan Wireshark.

Jumlah sesi sumber dapat dibatasi, misalnya 3560 mendukung maksimal 2.

Setelah penangkapan, jangan lupa untuk menghapus konfigurasi sesi ini.

neirbowj
Jawaban edit 20 Mei 2013 в 2:26
Komentar (2)

Jika lalu lintas Anda kebetulan melewati router yang menjalankan Cisco IOS 12.4(20)T atau lebih besar, kemungkinan lain adalah menggunakan fitur Embedded Packet Capture.

Fitur ini TIDAK tersedia pada platform switch seperti 3560 atau 3750.

Apa yang dilakukan fitur ini adalah menangkap dan menyimpan file PCAP kecil di router yang dapat Anda unduh dan analisis dengan Wireshark.

A beberapa tautan dengan detail.

Komentar (2)

Saya telah mengajukan beberapa pertanyaan serupa di serverfault, dan jawabannya mungkin berguna di sini.

Perintah debug Cisco IOS dan pemantauan paket

memecahkan masalah Ethernet (lapisan 2) tanpa lapisan 3

Community
Jawaban edit 13 April 2017 в 12:14
Komentar (0)