Cisco IOS: Embedded Packet Capture

routerViele Cisco-Geräte erlauben es, direkt auf der Netzwerk-Schnittstelle Pakete mitzuschneiden. Wie das mit der PIX/ASA geht habe ich schon vor längerer Zeit beschrieben.

Seit IOS 12.4(20)T geht das auch auf dem Router. Steffen Lehmann von Systema hat dazu eine kleine Einführung gerschrieben und sie mir zur Verfügung gestellt:


Ab 12.4(20)T kann ohne großen Aufwand ein Router Interface gespiegelt werden und per ftp/tftp der Output im Wireshark kompatiblen Format exportiert werden.

Dies funktioniert auch für SUB Interfaces auf einem 802.1q Trunk .

Die Konfguration

  1. Erstellen des Buffers
  2. Hier wird der das Puffer File definiert, welches für die „gedumpten“ Pakete verwendet wird.

    
    Router#monitor capture buffer >Buffer Filename<
    

    embedded-packet-capture_htm_4d612e2

  3. Erstellen des Capture Point
  4. Damit wird definiert, welche Source für eine bestimmte Session (Capture Point) genutzt wird.

    
    Router#monitor capture point ip cef >CapturePointNameIF NameRichtung<
    

    embedded-packet-capture_htm_m43ffb00a

  5. Zuordnung Buffer – Capture Point
  6. 
    Router#monitor capture point associate >CapturePointNameBuffer Filename<
    

    embedded-packet-capture_htm_efca750

  7. Start des Capture
  8. 
    Router#monitor capture point start >CapturePointName<
    

    embedded-packet-capture_htm_m69e287f3

  9. Monitoring
  10. Um festzustellen, wie viele Pakete schon gemonitort wurden, kann mit folgendem Kommando nachgesehen werden…

    
    Router#show monitor capture buffer > Buffer Filename<
    

    embedded-packet-capture_htm_m1a74612e

  11. Beenden des Capture
  12. 
    Router#monitor capture point stop >CapturePointName<
    
  13. Kopieren des Capture File auf externen Server
  14. 
    Router#monitor capture buffer >Buffer FilenameIPADRESSE>/>Dateiname<
    

    embedded-packet-capture_htm_43109f51

    Jetzt kann die Datei auf dem remote Rechner mit Wireshark geöffnet und analysiert werden.

Cisco IOS: Embedded Packet Capture

Cisco ASA: Neuerungen beim Capture

Über die Möglichkeit auf der PIX/ASA ala tcpdump Pakete mitzuschneiden habe ich schon geschrieben. Diese seit der Version 6.2 vorhandene Funktion wurde zwar schon mehrfach erweitert, die interessanteste Änderung ist jetzt aber in den zur Version 8 gehörenden ASDM eingebaut worden: Ein Capture-Wizard, mit dem diese Funktion extrem einfach benutzbar wird.

Dieser Wizard arbeitet in sechs einfachen Schritten: Continue reading “Cisco ASA: Neuerungen beim Capture”

Cisco ASA: Neuerungen beim Capture