例如:我想监视通过路由器的HTTP流量。 (或DNS,FTP,...)
#1 楼
您可以在路由器,Cisco IOS 12.4(20)T及更高版本上监视流量,该包具有数据包捕获功能,具有对接口名称和方向以及ACL。
设置访问列表以匹配流量
创建捕获缓冲区
monitor capture buffer holdpackets filter access-list <number>
定义捕获点
monitor capture point ...
可能带有接口名称,方向以及更多-使用内联帮助查看可能性让流量通过
查看捕获缓冲区:
show monitor capture buffer holdpackets dump
,使用export
而不是dump
获取用于Wireshark分析的PCAP文件不要忘记停止捕获,然后删除捕获点并随后删除捕获缓冲区。
有关详细信息和示例,请点击链接或查看Cisco故障排除手册。
路由器所连接的交换机端口,为此,您可以在交换机上设置一个镜像端口,并通过防火墙上的Wireshark
进行监视,流量在此通过> C isco ASA能够远程进行数据包捕获,并以PCAP文件的形式提供输出,您可以使用Wireshark在本地打开它。 ASDM为此提供了一个助手。您可以逐步指定源和目标接口,ACL或src / dest网络/主机以及要监视的协议。这就是为什么我喜欢到处都有ASA-使用路由器CLI似乎有点复杂。
#2 楼
在ISR G1 / G2路由器上,您可以使用数据包捕获功能,其中使用ACL匹配流量并将其在捕获过程中存储到内存中,如果需要脱机,则转储为.pcap兼容格式:https://supportforums.cisco.com/docs/DOC-5799
在带有较新Supervisor的Catalyst 4500上,您实际上可以运行wireshark。
#3 楼
最好的方法(在我看来)已经提到过,因此,如果您使用的设备没有这些很酷的功能,则后备选项是debug ip packet
,带有访问权限列表。#4 楼
Netflow是监视流量的另一种替代方法。如果您只想了解第3层和第4层的详细信息,则更好。该信息也可以在路由器上本地查看,而无需Wireshark。#5 楼
如果您的路由器上没有Embedded Packet Capture,则可以尝试使用RITE:http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_rawip.html