Capturas en IOS (Embedded Packet Capture)

1. Capturas en IOS(Embedded Packet Capture)

2. Configuración de Buffer • El primer pasoesreservarespacio en memoriaparaalmacenar la información. Cabeseñalarque la configuración se hacedesde el modoprivilegiado (enable): ROUTER# monitor capture buffer CAPBUFF size 512 max-size 1024 ? circular Circular Buffer linear Linear Buffer(Default) <cr> ROUTER# monitor capture buffer CAPBUFF size 512 max-size 1024 linear • “CAPBUFF” es el nombreasignado al espacio en memoria (buffer). • “size” es la cantidad de memoriareservadapara la captura (el default es 256 kB) • “max-size” es el número de bytes que se van a capturarporcadapaquete (el default es 68 bytes con un máximo de 1024 bytes) • “linear” es el tipo de buffer, cuando la memoriaasignada se hayautilizadoporcompleto la captura se detiene. • “circular” esotrotipo de buffer, cuando la memoriaasignada se hayautilizadoporcompleto el IOSempieza a sobreescribir la informaciónhastaque la captura sea detenidamanualmente.

3. Filtrado • Como la cantidad de memoriaque se puedeasignareslimitada, se tiene la opción de filtrarexactamente la informaciónque se requierepormedio de unalista de acceso. ROUTER# config t Enter configuration commands, one per line. End with CNTL/Z. ROUTER(config)# access-list 199 permit icmp any any ROUTER(config)# exit ROUTER# monitor capture buffer CAPBUFF filter access-list 199 Filter Association succeeded

4. Configuración del punto de captura • El elementoquerealiza la captura del tráficoes el punto de captura (“capture point”). Existen dos modos de configuración de esteelemento: • Process-switched: Es todo el tráficogeneradopor el ruteador o dirigido al mismo(pings, telnet, GRE, VPN, NETFLOW, etc.) ROUTER# monitor capture point ip process-switched CAPPOINT ? both Inbound and outbound and packets from-us Packets originating locally in Inbound packets out Outbound packets • “CAPPOINT” es el nombre del punto de captura • “both” captura los paquetes de entrada y salida • “from-us” captura solo los paquetes originados localmente • “in” captura únicamente los paquetes dirigidos al ruteador • “out” captura los paquetes de salida desde el ruteador

5. Punto de Captura(cont…) • CEF: Se refiere al tráficoquepasa a través del ruteador. Con estaopción se puedecapturar el tráficotransmitido, recibido o ambos en una sola interfaz (Ethernet, Serial, ATM, etc.) • Finalmente, se asocia el buffer con el punto de captura: ROUTER# monitor capture point ip cef CAPPOINT FastEthernet 0/1 ? both capture ingress and egress in capture on ingress out capture on egress ROUTER# monitor capture point ip cef CAPPOINT FastEthernet 0/1 both ROUTER# monitor capture point associate ? WORD Name of the Capture Point ROUTER# monitor capture point associate CAPPOINT ? WORD Name of the Capture Buffer ROUTER# monitor capture point associate CAPPOINT CAPBUFF

6. Verificación • Se puedeverificar la configuración de EPC con los siguientescomandos: ROUTER# show monitor capture buffer all parameter Capture buffer CAPBUFF (linear buffer) Buffer Size : 524288 bytes, Max Element Size : 1024 bytes, Packets : 0 Allow-nth-pak : 0, Duration : 0 (seconds), Max packets : 0, pps : 0 Associated Capture Points: Name : CAPPOINT, Status : Inactive Configuration: monitor capture buffer CAPBUFF size 512 max-size 1024 linear monitor capture point associate CAPPOINT CAPBUFF monitor capture buffer CAPBUFF filter access-list 199 ROUTER# show monitor capture point all Status Information for Capture Point CAPPOINT IPv4 CEF Switch Path: IPv4 CEF , Capture Buffer: CAPBUFF Status : Inactive Configuration: monitor capture point ip cef CAPPOINT FastEthernet0/1 both

7. Inicio de captura • Los siguientescomandosinician o detienen la captura. • Para confirmarque el tráfico ha sidocapturado se puedenusar los siguientescomandos: ROUTER# monitor capture point start CAPPOINT ROUTER# monitor capture point stop CAPPOINT ROUTER# show monitor capture buffer CAPBUFF 13:19:28.587 MEXICO Aug 20 2008 : IPv4 LES CEF : Fa0/1 None ROUTER# show monitor capture buffer CAPBUFF dump 13:19:28.587 MEXICO Aug 20 2008 : IPv4 LES CEF : Fa0/1 None 660DDED0: 00137F16 .... 660DDEE0: F1B5001C 232204D4 08004500 003C42AB q5..#".T..E..<B+ 660DDEF0: 00007F01 0556A16C D81EA16C D8C80800 .....V!lX.!lXH.. 660DDF00: 34590200 17036162 63646566 6768696A 4Y....abcdefghij

8. Exportando la captura • Se puedeexportar la información a un archivo *.cap a través de los siguientesmétodos: ROUTER# monitor capture buffer CAPBUFF export ? ftp: Location to dump buffer http: Location to dump buffer https: Location to dump buffer pram: Location to dump buffer rcp: Location to dump buffer scp: Location to dump buffer tftp: Location to dump buffer ROUTER# monitor capture buffer CAPBUFF export tftp://161.108.216.30/capture.cap ! ROUTER#

9. Archivo de captura

10. OtrosComandos • Para borrar el contenido de la captura: • Remover la configuración (primero se elimina el punto de captura y después el buffer). ROUTER# monitor capture buffer CAPBUFF clear ROUTER# no monitor capture point ip cef CAPPOINT FastEthernet 0/1 both ROUTER# no monitor capture buffer CAPBUFF Capture Buffer deleted

11. Referencias • http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6555/ps9913/datasheet_c78-502727.html • http://www.cisco.com/en/US/docs/ios/netmgmt/configuration/guide/nm_packet_capture_ps6441_TSD_Products_Configuration_Guide_Chapter.html