是否可以监视通过Cisco路由器的特定流量类型? (例如,通过Wireshark进行监视)

例如:我想监视通过路由器的HTTP流量。 (或DNS,FTP,...)

#1 楼

您可以在路由器,Cisco IOS 12.4(20)T及更高版本上监视流量



,该包具有数据包捕获功能,具有对接口名称和方向以及ACL。


设置访问列表以匹配流量
创建捕获缓冲区monitor capture buffer holdpackets filter access-list <number>
定义捕获点monitor capture point ...可能带有接口名称,方向以及更多-使用内联帮助查看可能性
让流量通过
查看捕获缓冲区:show monitor capture buffer holdpackets dump,使用export而不是dump获取用于Wireshark分析的PCAP文件
不要忘记停止捕获,然后删除捕获点并随后删除捕获缓冲区。

有关详细信息和示例,请点击链接或查看Cisco故障排除手册。

路由器所连接的交换机端口,为此,您可以在交换机上设置一个镜像端口,并通过防火墙上的Wireshark

进行监视,流量在此通过> C isco ASA能够远程进行数据包捕获,并以PCAP文件的形式提供输出,您可以使用Wireshark在本地打开它。 ASDM为此提供了一个助手。您可以逐步指定源和目标接口,ACL或src / dest网络/主机以及要监视的协议。这就是为什么我喜欢到处都有ASA-使用路由器CLI似乎有点复杂。




#2 楼

在ISR G1 / G2路由器上,您可以使用数据包捕获功能,其中使用ACL匹配流量并将其在捕获过程中存储到内存中,如果需要脱机,则转储为.pcap兼容格式:

https://supportforums.cisco.com/docs/DOC-5799

在带有较新Supervisor的Catalyst 4500上,您实际上可以运行wireshark。

#3 楼

最好的方法(在我看来)已经提到过,因此,如果您使用的设备没有这些很酷的功能,则后备选项是debug ip packet,带有访问权限列表。

#4 楼

Netflow是监视流量的另一种替代方法。如果您只想了解第3层和第4层的详细信息,则更好。该信息也可以在路由器上本地查看,而无需Wireshark。

#5 楼

如果您的路由器上没有Embedded Packet Capture,则可以尝试使用RITE:
http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_rawip.html