Мониторинг определенного типа трафика на маршрутизаторе Cisco

Можно ли отслеживать конкретный тип трафика, проходящий через маршрутизатор Cisco? (например, мониторинг через wireshark)

Пример: я хочу следить за трафиком http, который проходит через маршрутизатор. (или DNS, FTP, ...)

Вы можете контролировать трафик

• на маршрутизаторе Cisco IOS 12.4 (20) T и более поздних версиях имеется функция захвата пакетов с фильтрацией по имени и направлению интерфейса и списку ACL.

  • настроить список доступа для сопоставления трафика
  • создать буфер захвата monitor capture buffer holdpackets filter access-list <number>
  • определить точку захвата, monitor capture point ...возможно, с помощью имени интерфейса, направления и т. д. - используйте встроенную справку, чтобы увидеть возможности
  • пропустить движение
  • посмотрите на буфер захвата: show monitor capture buffer holdpackets dumpиспользуйте exportвместо того, dumpчтобы получить файл PCAP для анализа Wireshark
  • не забудьте прекратить захват, удалить точку захвата и впоследствии удалить буфер захвата

  Для получения подробной информации и примеров перейдите по ссылке или посмотрите руководство по устранению неполадок Cisco .

• на порту коммутатора , к которому подключен маршрутизатор, для этого вы можете настроить зеркальный порт на коммутаторе и отслеживать его через Wireshark

• на брандмауэре, где проходит трафик

  Cisco ASA способны удаленно выполнять захват пакетов и выводить их в виде файла PCAP, который можно открыть локально с помощью Wireshark. ASDM предоставляет помощника для этого. Шаг за шагом вы можете указать источник и интерфейс описания, ACL или src / dest networks / host, а также протокол, который вам нравится смотреть. Вот почему мне нравится везде устанавливать ASA - CLI маршрутизатора может показаться немного сложным.

На маршрутизаторах ISR G1 / G2 вы можете использовать функцию захвата пакетов, где вы используете ACL для сопоставления трафика и сохранения его в памяти во время захвата, а затем сохраните дамп в .pcap-совместимый формат, если он вам нужен в автономном режиме:

https://supportforums.cisco.com/docs/DOC-5799

На Catalyst 4500 с более новыми супервизорами вы можете запустить wireshark.

Лучшие методы (на мой взгляд) уже были упомянуты, так что просто если вы находитесь на устройстве без этих интересных функций, запасной вариант debug ip packetсо списком доступа.

Netflow - это еще один альтернативный метод мониторинга потоков трафика. Лучше, если вы хотите узнать подробности только на уровнях 3 и 4. Информацию также можно просматривать локально на маршрутизаторе без использования Wireshark.

Если встроенный захват пакетов недоступен на вашем маршрутизаторе, вы можете попробовать RITE: http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_rawip.html