SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

CREATE AN ACCOUNT FORGOT YOUR PASSWORD?

FORGOT YOUR DETAILS?

AAH, WAIT, I REMEMBER NOW!

CREATE ACCOUNT

ALREADY HAVE AN ACCOUNT?
GET SOCIAL
  • BLOG
  • SECURITY ALERTS
  • CONTATO
  • PRIVACIDADE
  • SOBRE
  • LOGIN

Brainwork

  • Certificação
  • Cisco
  • Informação
  • Linux
  • Microsoft
  • Network
  • Security
  • UC
  • Virtualização
  • Wireless
  • Home
  • Cisco
  • Cisco IOS-XE Packet Capture (TCPDump em switches e roteadores)
12/08/2022

Cisco IOS-XE Packet Capture (TCPDump em switches e roteadores)

Cisco IOS-XE Packet Capture (TCPDump em switches e roteadores)

by André Ortega / sexta-feira, 17 maio 2019 / Published in Cisco, Network

Uma funcionalidade que gosto bastante no IOS-XE (também disponível nos IOSs mais novos) é o Embedded Packet Capture.

Com esta funcionalidade podemos fazer a captura de pacotes que passam por uma determinada interface , semelhante ao TCPDump.

Os pacotes capturados são armazenados na DRAM do equipamento (ou seja, não ficam salvos após o reload), e podemos vê-los diretamente na CLI do roteador.

Outra opção é salvar os pacotes em um arquivo .PCAP, transferir para o computador e então abri-lo. Neste caso, salvando o arquivo na flash, ele ficará armazenado mesmo após o reload.

Wireshark

Usando Packet Capture no IOS-XE

Basta informarmos um nome para a captura, a interface que desejamos monitorar, e então iniciamos a coleta. Depois de um tempo, quando achar que já pegou os pacotes que queria, a captura pode ser interrompida.

BrainGW01#monitor capture cap1 interface g3/0/4 both match any
BrainGW01#show monitor capture cap1 parameter
    monitor capture cap1 interface GigabitEthernet3/0/4 BOTH
    monitor capture cap1 match any
    monitor capture cap1 buffer size 10
    monitor capture cap1 limit pps 1000
BrainGW01#monitor capture cap1 start
Started capture point : cap1
BrainGW01#monitor capture cap1 stop
Stopped capture point : cap1
BrainGW01#

Para visualizar um sumário do que foi capturado, basta usar o comando abaixo.

BRDC1IWANHUB_01#show monitor capture cap1 buffer brief
  ----------------------------------------------------------------------------
  #   size   timestamp     source             destination      dscp    protocol
  ----------------------------------------------------------------------------
    0  251    0.000000   10.45.41.22      ->  10.40.16.165     34 AF41 UDP
    1  279    0.000000   10.40.16.165     ->  10.45.41.22      0  BE   ICMP
    2  279    0.000000   10.40.16.165     ->  10.45.41.22      0  BE   ICMP
    3   66    0.000000   10.45.40.18      ->  10.40.16.165     0  BE   TCP
    4  279    0.000992   10.40.16.165     ->  10.45.41.22      0  BE   ICMP
    5  129    0.001999   10.40.16.156     ->  10.41.114.22     0  BE   TCP
    6   77    0.001999   10.40.16.156     ->  10.41.114.22     0  BE   TCP
    7   68    0.001999   10.40.16.156     ->  10.41.114.11     0  BE   TCP
    8 1078    0.001999   10.47.58.101     ->  10.47.81.80      0  BE   TCP
    9   54    0.003998   10.43.52.25      ->  10.40.16.131     0  BE   TCP
   10 1414    0.003998   10.40.16.131     ->  10.43.52.25      0  BE   TCP
   11 1414    0.003998   10.40.16.131     ->  10.43.52.25      0  BE   TCP

A opção show monitor capture cap1 buffer detailed mostra mais informações dos pacotes capturados. E podemos usar os filtros de output (include, exclude, section,…) como em outros comandos.

Caso necessário podemos salvar a captura em um arquivo e copiar para o computador.

BrainGW01#monitor capture cap1 export location flash:/teste.pcap
BrainGW01#copy flash:/cap1.pcap tftp://10.100.0.3/cap1.pcap

Teoricamente podemos exportar da DRAM diretamente para o TFTP, mas já tive problemas ao fazer isso (o arquivo não era copiado).

Use o comando no monitor capture cap1 para remover a captura do equipamento.

Este é o exemplo mais simples, mas podemos escolher se capturamos os pacotes de entrada e/ou saída da interface, o protocolo (IPv4, IPv6), ou ainda usar uma ACL para ser mais específico.

No IOS os comandos são um pouco diferentes, mas temos o mesmo resultado.

Mais informações sobre o EPC, e exemplo de uso no IOS, neste link.

Até a próxima.

Relacionado

Tagged under: Captura de Pacotes, CiscoChampion, EPC, Packet Capture, TCPDump

About André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezessete anos de experiência com redes e segurança.

What you can read next

Cisco Cybersecurity Giveaway
Usando VLC para gerar tráfego Multicast
Configurando L2TP over IPSec em roteadores

1 Comment to “ Cisco IOS-XE Packet Capture (TCPDump em switches e roteadores)”

  1. Maicon says :Responder
    28/11/2019 at 20:11

    Bom demais. Ajudou muito

Deixe um comentário Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

POSTS RECENTES

  • Cisco invadida
    Cisco invadida
    11/08/2022
  • Cisco Secure Network Analytics (Stealthwatch)
    Cisco Secure Network Analytics (Stealthwatch)
    08/08/2022
  • Instalando certificado em roteador Cisco
    Instalando certificado em roteador Cisco
    07/07/2022
  • Meraki Internet Outages
    Meraki Internet Outages
    29/06/2022
  • Cisco Catalyst na dashboard Meraki
    Cisco Catalyst na dashboard Meraki
    15/06/2022

Tags

senha Wireless SDWAN IPv6 IOS WLC DHCP FMC WIFI LAB PIX Configuração CiscoChampion policy-map Roteador IPS Firewall Backup FTD Vulnerabilidade CCNA Upgrade Access-list Cisco certificação licença Brainwork VMware CCIE ACL QoS Segurança VoIP VPN Switches WLAN Controller switch ISE aniversário EEM Meraki Sorteio ASA Catalyst FirePower

Arquivo

Login

  • Cadastre-se
  • Acessar
  • Feed de posts
  • Feed de comentários
  • WordPress.org

Acesse Também

  • Blog LabCisco
  • Café com Redes
  • Cisco IOS hints and tricks
  • Cisco Redes
  • Cisco Support Community
  • Coruja de TI
  • Homelaber Brasil
  • Internetwork Expert´s
  • Netfinders Brasil
  • Rota Default
  • TechRebels
  • The Cisco Learning Network

Twitter

Blog: Cisco invadida brainwork.com.br/2022/08/11/c… #Ataque #Cisco_Invadida #Incidente

Blog: Cisco Secure Network Analytics (Stealthwatch) brainwork.com.br/2022/08/08/c… #Stealtwatch

Triste realidade... Que atenção você da para seu IPS e demais soluções de monitoramento de rede? #ips #siem #logs pic.twitter.com/pfaffolRP4

Blog: Instalando certificado em roteador Cisco brainwork.com.br/2022/07/07/i… #Certificado #CiscoChampion #Root

Blog: Meraki Internet Outages brainwork.com.br/2022/06/29/m… #CiscoChampion #Meraki #ThousandEyes

Seguir @brainworkblog
  1. André Ortega em Testando acesso com o Test-NetConnection (PowerShell)
  2. André Ortega em Alta utilização de CPU – Coletando logs com o Event Manager
  3. Jardel D'Oliveira em Alta utilização de CPU – Coletando logs com o Event Manager
  4. Bruno Veras em Testando acesso com o Test-NetConnection (PowerShell)
  5. André Ortega em Cisco Catalyst na dashboard Meraki
Follow @brainworkblog

Brainwork
@brainworkblog

  • Blog: Cisco invadida brainwork.com.br/2022/08/11/cis… #Ataque #Cisco_Invadida #Incidente
    about 15 horas ago
    Reply Retweet Favorite

Entre em contato:

  • Email: blog@brainwork.com.br
  • Web: www.brainwork.com.br
  • Facebook: fb.com/brainworkblog
  • Twitter: twitter.com/brainworkblog
  • Youtube: youtube.com/brainworkblog
  • Instagram: instagram.com/brainwork.blog
  • GET SOCIAL
Brainwork

© 2008 - 2022 Brainwork. Todos os direitos reservados.
Customização da página por Brainwork.

TOP