SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

CREATE AN ACCOUNT FORGOT YOUR PASSWORD?

FORGOT YOUR DETAILS?

AAH, WAIT, I REMEMBER NOW!

CREATE ACCOUNT

ALREADY HAVE AN ACCOUNT?

Brainwork

  • LOGIN
  • BLOG
  • CONTATO
 25/01/2021

Cisco IOS-XE Packet Capture (TCPDump em switches e roteadores)

Cisco IOS-XE Packet Capture (TCPDump em switches e roteadores)

by André Ortega / sexta-feira, 17 maio 2019 / Published in Cisco, Configuração, Dicas, Routers, Switches, Uteis

Uma funcionalidade que gosto bastante no IOS-XE (também disponível nos IOSs mais novos) é o Embedded Packet Capture.

Com esta funcionalidade podemos fazer a captura de pacotes que passam por uma determinada interface , semelhante ao TCPDump.

Os pacotes capturados são armazenados na DRAM do equipamento (ou seja, não ficam salvos após o reload), e podemos vê-los diretamente na CLI do roteador.

Outra opção é salvar os pacotes em um arquivo .PCAP, transferir para o computador e então abri-lo. Neste caso, salvando o arquivo na flash, ele ficará armazenado mesmo após o reload.

Wireshark

Usando Packet Capture no IOS-XE

Basta informarmos um nome para a captura, a interface que desejamos monitorar, e então iniciamos a coleta. Depois de um tempo, quando achar que já pegou os pacotes que queria, a captura pode ser interrompida.

BrainGW01#monitor capture cap1 interface g3/0/4 both match any
BrainGW01#show monitor capture cap1 parameter
    monitor capture cap1 interface GigabitEthernet3/0/4 BOTH
    monitor capture cap1 match any
    monitor capture cap1 buffer size 10
    monitor capture cap1 limit pps 1000
BrainGW01#monitor capture cap1 start
Started capture point : cap1
BrainGW01#monitor capture cap1 stop
Stopped capture point : cap1
BrainGW01#

Para visualizar um sumário do que foi capturado, basta usar o comando abaixo.

BRDC1IWANHUB_01#show monitor capture cap1 buffer brief
  ----------------------------------------------------------------------------
  #   size   timestamp     source             destination      dscp    protocol
  ----------------------------------------------------------------------------
    0  251    0.000000   10.45.41.22      ->  10.40.16.165     34 AF41 UDP
    1  279    0.000000   10.40.16.165     ->  10.45.41.22      0  BE   ICMP
    2  279    0.000000   10.40.16.165     ->  10.45.41.22      0  BE   ICMP
    3   66    0.000000   10.45.40.18      ->  10.40.16.165     0  BE   TCP
    4  279    0.000992   10.40.16.165     ->  10.45.41.22      0  BE   ICMP
    5  129    0.001999   10.40.16.156     ->  10.41.114.22     0  BE   TCP
    6   77    0.001999   10.40.16.156     ->  10.41.114.22     0  BE   TCP
    7   68    0.001999   10.40.16.156     ->  10.41.114.11     0  BE   TCP
    8 1078    0.001999   10.47.58.101     ->  10.47.81.80      0  BE   TCP
    9   54    0.003998   10.43.52.25      ->  10.40.16.131     0  BE   TCP
   10 1414    0.003998   10.40.16.131     ->  10.43.52.25      0  BE   TCP
   11 1414    0.003998   10.40.16.131     ->  10.43.52.25      0  BE   TCP

A opção show monitor capture cap1 buffer detailed mostra mais informações dos pacotes capturados. E podemos usar os filtros de output (include, exclude, section,…) como em outros comandos.

Caso necessário podemos salvar a captura em um arquivo e copiar para o computador.

BrainGW01#monitor capture cap1 export location flash:/teste.pcap
BrainGW01#copy flash:/cap1.pcap tftp://10.100.0.3/cap1.pcap

Teoricamente podemos exportar da DRAM diretamente para o TFTP, mas já tive problemas ao fazer isso (o arquivo não era copiado).

Use o comando no monitor capture cap1 para remover a captura do equipamento.

Este é o exemplo mais simples, mas podemos escolher se capturamos os pacotes de entrada e/ou saída da interface, o protocolo (IPv4, IPv6), ou ainda usar uma ACL para ser mais específico.

No IOS os comandos são um pouco diferentes, mas temos o mesmo resultado.

Mais informações sobre o EPC, e exemplo de uso no IOS, neste link.

Até a próxima.

  • Tweet
Tagged under: Captura de Pacotes, CiscoChampion, EPC, Packet Capture, TCPDump

About André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Quinze anos de experiência na área.

What you can read next

Combatendo o Phishing
Cisco no CES 2009
Quebrar a senha de roteadores

1 Comment to “ Cisco IOS-XE Packet Capture (TCPDump em switches e roteadores)”

  1. Maicon says :Responder
    28/11/2019 at 20:11

    Bom demais. Ajudou muito

Deixe uma resposta Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Tags

IOS Catalyst DHCP Windows WLAN Controller CCNA SDWAN Vulnerabilidade IPSec Login CCIE switch autenticação NAT WIFI IPv6 ACL policy-map Acesso Certification IPS senha Cisco WLC Access-list licença DNS enable Access-point certificação Switches Roteador Backup VMware Configuração FirePower VPN QoS ISE aniversário Wireless PIX Nexus Vulnerabilidades class-map evento ASA Upgrade Anyconnect Remote Access VoIP CiscoChampion Firewall Segurança EEM LAB FTD PING Brainwork Meraki

Arquivo

Login

  • Cadastre-se
  • Acessar
  • Feed de posts
  • Feed de comentários
  • WordPress.org

Acesse Também

  • Blog CCNA
  • Blog LabCisco
  • Café com Redes
  • Cisco IOS hints and tricks
  • Cisco Redes
  • Cisco Support Community
  • Coruja de TI
  • Estude CCNA
  • Homelaber Brasil
  • Internetwork Expert´s
  • Netfinders Brasil
  • Rota Default
  • TechRebels
  • The Cisco Learning Network

Comentários

  • André Ortega em Configurando MPLS L3VPN (OSPF + LDP + VRF + BGP)
  • Alexandre Nano em Configurando MPLS L3VPN (OSPF + LDP + VRF + BGP)
  • André Ortega em Firepower2100 e Firepower1000–Reimage FTD para ASA
  • Gustavo em Firepower2100 e Firepower1000–Reimage FTD para ASA
  • André Ortega em Cisco SD-Access: O novo conceito de rede intuitiva

Tweets

Blog: Instalando FTD no Firepower 4100 #4100 #CISCOCHAMPION #FIREPOWER #FIREWALL #FTD brainwork.com.br/2018/12/05/i…

Cerca 2 dias atrás from Brainwork's Twitter via Twitter Lite

Alo blogueiros brasileiros, bora virar Cisco Champion!! @BlogCiscoRedes @netfinders @RotaDefault @estudeccna twitter.com/CiscoChampion/…

Mês passado from Brainwork's Twitter via Twitter Lite

Blog: Cisco Champion 2019 brainwork.com.br/2018/11/07/c… #Cisco_Champion

Cerca de um mês atrás from Brainwork's Twitter via brainworkblog

Atenção blogueiros brasileiros, estão abertas as inscrições para ser Cisco Champion 2019. twitter.com/CiscoChampion/…

Cerca de um mês atrás from Brainwork's Twitter via Twitter for Android

It is here!! Thank you so much @hfpreston #DevNet #CiscoChampion pic.twitter.com/6BVKRWz2vC

Cerca 2 meses atraz from Brainwork's Twitter via Twitter for Android

Seguir @brainworkblog

Facebook

  • GET SOCIAL
Brainwork

© 2017 Brainwork. Todos os direitos reservados.
Customização e hospedagem da página por Brainwork.

TOP