Bagaimana saya bisa menangkap lalu lintas pada switch Cisco IOS?
Untuk menyelidiki masalah dalam komunikasi klien ke server, saya perlu menangkap paket untuk analisis. Namun, tidak diperbolehkan memasang packet analyzer, seperti Wireshark atau tcpdump, pada klien atau server. Klien terhubung ke Catalyst 3560 dan server ke switch Catalyst 3750.
Dapatkah saya memasang laptop saya ke switchport untuk menangkap lalu lintas dengan packet analyzer laptop saya, dan bagaimana caranya?
Switchport klien atau switchport server dapat dipantau. Switchport ketiga bisa dikonfigurasi sebagai mirror port. Ini berarti bahwa mirror port ini akan menerima salinan semua paket pada port asli yang sesuai, sementara lalu lintas asli tidak akan terpengaruh.
Misalnya, pada Catalyst 3560:
-
Masuk ke mode konfigurasi:
conf t -
Tentukan sumber dan atur nomor sesi:
monitor sesi 1 antarmuka sumber fa 0/24Di sini, nomor sesi bisa dari 1 hingga 66, Anda juga bisa menentukan VLAN atau saluran ethernet. Juga, rentang antarmuka seperti
fa 0/25 - 26dimungkinkan, dan daftar antarmuka, sepertifa 0/24,fa 0/26, jika Anda ingin memantau beberapa klien pada saat yang sama. Juga dengan mengulangi perintah Anda dapat menambahkan port, atau menghapus menggunakanno. Mencampur port dan VLAN tidak dimungkinkan dalam sesi yang sama, pembatasan lainnya adalah Anda tidak dapat menggunakan port tujuan sebagai port sumber. -
Tentukan port tujuan:
monitor sesi 1 antarmuka tujuan gi 0/1Anda bisa menggunakan port normal, tetapi bukan VLAN. Sama halnya dengan di atas, port tujuan tidak bisa menjadi port sumber: port yang digunakan di sini bisa menjadi port sumber atau tujuan, dan hanya dari satu sesi. Sekali lagi, Anda dapat menentukan beberapa port seperti di atas.
-
Anda mungkin ingin
keluardari mode konfigurasi dan menyimpan konfigurasi. -
Anda dapat melihat sesi yang Anda tentukan - di sini beberapa port, dicoba seperti di atas:
#show monitor sesi 1 Sesi 1 --------- Jenis : Sesi Lokal Port Sumber: Keduanya: Fa0/24, Fa0/25-26 Port Tujuan: Fa0/48, Gi0/1 Enkapsulasi: Asli Ingress: DinonaktifkanAnda dapat melihat enkapsulasi di sini - secara opsional anda dapat mengaturnya ke
replicateuntuk mereplikasi metode enkapsulasi antarmuka sumber, seperti dengan menambahkanencapsulation replicatesetelah antarmuka sumber. Lebih jauh lagi, anda dapat menentukan arah (tx,rx,both), memfilter VLAN dan banyak lagi. BarisIngress: Baris Disabledberarti bahwa sakelar tidak akan menerima frame apa pun yang disajikan kepadanya oleh perangkat penangkapan Anda pada port tujuan. Untuk detail yang lebih baik dan untuk pembatasan lebih lanjut dan pengaturan default, lihat referensi perintah dari versi IOS switch Anda.
Setelah Anda mengkonfigurasi port sumber dan tujuan, Anda dapat menangkap lalu lintas menggunakan laptop Anda yang terhubung ke port tujuan, misalnya dengan Wireshark.
Jumlah sesi sumber dapat dibatasi, misalnya 3560 mendukung maksimal 2.
Setelah penangkapan, jangan lupa untuk menghapus konfigurasi sesi ini.
Jika lalu lintas Anda kebetulan melewati router yang menjalankan Cisco IOS 12.4(20)T atau lebih besar, kemungkinan lain adalah menggunakan fitur Embedded Packet Capture.
Fitur ini TIDAK tersedia pada platform switch seperti 3560 atau 3750.
Apa yang dilakukan fitur ini adalah menangkap dan menyimpan file PCAP kecil di router yang dapat Anda unduh dan analisis dengan Wireshark.
Saya telah mengajukan beberapa pertanyaan serupa di serverfault, dan jawabannya mungkin berguna di sini.
