www.xiahuhu.cn
关注网络安全

思科Cisco ISR4431 抓包配置总结

前言:

今天遇到一个问题,两台服务器可以相互ping通,但是ssh不通,开始的时候怀疑是路由器的acl有问题,acl如下:

ip access-list ex a-b
170 permit ip object-group TEM-XS-ADD2 any 


ip access-list ex b-a
170 permit ip  any object-group TEM-XS-ADD2

源地址为:10.50.28.155(在a方向)  目标地址为:172.22.21.53(在b方向)

object-group中包含了10.50.528.155

Network object group TEM-XS-ADD2
 host 10.50.28.155

由于不知道在那个环节被拦截掉了,所以需要在路由器上抓包排查,以下是排查过程。


1、抓取接口特定数据包

WXIDC-ROUTE-CM#monitor capture b interface g0/0/0 both match ipv4 host 10.50.28.155 host 172.22.21.53 limit packets 20
##抓取来自10.50.28.155,经过g0/0/0接口出去的20个包

WXIDC-ROUTE-CM#monitor capture b start
##开始抓包

2、查看抓包结果

WXIDC-ROUTE-CM#show monitor capture b buffer brief 
##测试了10.50.28.155ping 172.22.21.53,发现已经抓到数据包了
 -------------------------------------------------------------
 #   size   timestamp     source	     destination   protocol
 -------------------------------------------------------------
   0  106    0.000000   10.50.28.155     ->  172.22.21.53     ICMP
   1  106    0.014999   10.50.28.155     ->  172.22.21.53     ICMP
   2  106    0.031005   10.50.28.155     ->  172.22.21.53     ICMP
   3  106    1.033003   10.50.28.155     ->  172.22.21.53     ICMP
   4  106    1.046995   10.50.28.155     ->  172.22.21.53     ICMP
   5  106    1.061994   10.50.28.155     ->  172.22.21.53     ICMP

但是测试10.50.28.155 telnet 172.22.21.53却抓不到tcp的包。

随后重现再写了一模一样的acl上去,保存发现可以通了,抓包显示如下:

WXIDC-ROUTE-CT#show monitor capture b buffer brief 
 -------------------------------------------------------------
 #   size   timestamp     source	     destination   protocol
 -------------------------------------------------------------
   0   66    0.000000   10.50.28.155     ->  172.22.21.53     TCP
   1   54    0.016006   10.50.28.155     ->  172.22.21.53     TCP
   2   66    0.257998   10.50.28.155     ->  172.22.21.53     TCP
   3   54  120.051008   10.50.28.155     ->  172.22.21.53     TCP
   4   54  120.051999   10.50.28.155     ->  172.22.21.53     TCP

还可以查看详细信息,包括包的源IP、目的IP、mac和端口号等。

WXIDC-ROUTE-CT#show monitor capture b buffer detailed
————————————————————-
# size timestamp source destination protocol
————————————————————-
0 66 0.000000 10.50.28.155 -> 172.22.21.53 TCP
0000: 0008E3FF FD90A023 9F7E3400 08004500 …….#.~4…E.
0010: 00341374 40007B06 04380A32 1C9BAC16 .4.t@.{..8.2….
0020: 1535D683 00168ADD DE880000 00008002 .5…………..
0030: 200026F8 00000204 05B40103 03080101 .&………….

1 54 0.016006 10.50.28.155 -> 172.22.21.53 TCP
0000: 0008E3FF FD90A023 9F7E3400 08004500 …….#.~4…E.
0010: 00281375 40007B06 04430A32 1C9BAC16 .(.u@.{..C.2….
0020: 1535D683 00168ADD DE89F0E6 F62F5010 .5………../P.
0030: 01009FA4 0000 ……

2 66 0.257998 10.50.28.155 -> 172.22.21.53 TCP
0000: 0008E3FF FD90A023 9F7E3400 08004500 …….#.~4…E.
0010: 0034137A 40007B06 04320A32 1C9BAC16 .4.z@.{..2.2….
0020: 1535D683 00168ADD DE89F0E6 F65A8010 .5………..Z..
0030: 01009B09 00000101 050AF0E6 F62FF0E6 …………./..

3 54 120.051008 10.50.28.155 -> 172.22.21.53 TCP
0000: 0008E3FF FD90A023 9F7E3400 08004500 …….#.~4…E.
0010: 00281760 40007B06 00580A32 1C9BAC16 .(.`@.{..X.2….
0020: 1535D683 00168ADD DE89F0E6 F65B5010 .5………..[P.
0030: 01009F78 0000 …x..

4 54 120.051999 10.50.28.155 -> 172.22.21.53 TCP
0000: 0008E3FF FD90A023 9F7E3400 08004500 …….#.~4…E.
0010: 00281761 40007B06 00570A32 1C9BAC16 .(.a@.{..W.2….
0020: 1535D683 00168ADD DE89F0E6 F65B5011 .5………..[P.
0030: 01009F77 0000 …w..


但是对于ssh,详细信息貌似没啥用。但是http可以查看返回值等信息。

3、进阶操作

R01#monitor capture A match ipv4 protocol tcp any any control-plane both limit packets 20 buffer size 5 circular interface GigabitEthernet 0/0/1

解释:配置EPC的名字为A,匹配ipv4的TCP协议,针对接口G0/0/1,源是any,目的也是any,抓取的是控制层面进出的报文,报文数量为20个,存储报文的的空间大小为5MB,采取当buffer满了时,丢掉旧报文的方式。

参考链接:http://blog.51cto.com/juispan/2328898

赞(4) 打赏
未经允许不得转载:花生米's Blog » 思科Cisco ISR4431 抓包配置总结
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏