Для исследования проблемы в связи между клиентом и сервером мне необходимо захватить пакеты для анализа. Однако не разрешается устанавливать анализатор пакетов, такой как Wireshark или tcpdump, на клиенте или сервере. Клиент подключен к Catalyst 3560, а сервер - к коммутатору Catalyst 3750.
Могу ли я подключить свой ноутбук к порту коммутатора для перехвата трафика с помощью анализатора пакетов и как это сделать?
Можно контролировать клиентский коммутационный порт или серверный коммутационный порт. Третий коммутационный порт может быть настроен как зеркальный порт. Это означает, что этот зеркальный порт будет получать копии всех пакетов на соответствующем оригинальном порту, в то время как оригинальный трафик не будет затронут.
Например, на Catalyst 3560:
Войдите в режим конфигурации:
conf t
Определите источник и задайте номер сеанса:
monitor session 1 source interface fa 0/24
Здесь номер сессии может быть от 1 до 66, также можно указать VLAN или канал ethernet. Также возможны диапазоны интерфейсов, например fa 0/25 - 26
, и список интерфейсов, например fa 0/24,fa 0/26
, если вы хотите контролировать несколько клиентов одновременно. Также, повторив команду, вы можете добавить порты или удалить с помощью no
. Смешивание портов и VLAN не возможно в одной сессии, еще одним ограничением является то, что вы не можете использовать порт назначения в качестве порта источника.
Определите порт назначения:
monitor session 1 destination interface gi 0/1
Вы можете использовать обычный порт, но не VLAN. Как и выше, порт назначения не может быть портом источника: порт, используемый здесь, может быть либо портом источника, либо портом назначения, и только для одной сессии. Опять же, вы можете указать несколько портов, как указано выше.
Вы можете выйти из режима конфигурирования и сохранить конфигурацию.
Вы можете посмотреть на свою определенную сессию - здесь несколько портов, пробовали как описано выше:
#show monitor session 1
Сессия 1
---------
Тип : Локальная сессия
Порты источника:
Оба : Fa0/24,Fa0/25-26
Порты назначения : Fa0/48, Gi0/1
Инкапсуляция : Native
Ingress : Disabled
Здесь вы можете увидеть инкапсуляцию - опционально вы можете установить ее на replicate
для повторения метода инкапсуляции интерфейса источника, например, добавив encapsulation replicate
после интерфейса источника. Кроме того, вы можете указать направление (tx
, rx
, both
), фильтровать VLAN и многое другое. Строка `Ingress: Disabled" означает, что коммутатор не будет принимать кадры, переданные ему вашим устройством захвата на порт назначения. Для получения более подробной информации о дополнительных ограничениях и настройках по умолчанию обратитесь к справочнику команд версии IOS вашего коммутатора.
После того как вы настроили порт источника и порт назначения, вы можете захватить трафик с помощью ноутбука, подключенного к порту назначения, например, с помощью Wireshark.
Количество сеансов источника может быть ограничено, например, 3560 поддерживает максимум 2.
После захвата не забудьте удалить конфигурацию сессии.
Если ваш трафик проходил через маршрутизатор под управлением Cisco IOS 12.4(20)T или выше, можно воспользоваться функцией Embedded Packet Capture.
Эта функция НЕ доступна на платформах коммутаторов, таких как 3560 или 3750.
Эта функция позволяет захватить и сохранить небольшой PCAP-файл на маршрутизаторе, который можно загрузить и проанализировать с помощью Wireshark.
Я задал несколько похожих вопросов на serverfault, и ответы могут быть полезны здесь.