嵌入式数据包捕获
嵌入式数据包捕获的功能历史记录
此表提供有关本节中说明的功能的版本和相关信息。 除非另有说明,此功能在引入该功能的版本之后的所有版本中也可用。
表 1:嵌入式数据包捕获的功能历史记录
| 发布 | 特征 | 功能信息 |
| 思科 IOS XE 都柏林 17.12.1 |
嵌入数据包 捕获 |
嵌入式数据包捕获功能得到增强,可支持增加缓冲区大小、连续捕获以及在一个嵌入式数据包中过滤多个 MAC 地址 数据包捕获 (EPC) 会话。 |
有关嵌入式数据包捕获的信息
嵌入式数据包捕获功能有助于跟踪数据包并排除故障。 控制器上的嵌入式数据包捕获用于解决多个问题,例如 RADIUS 身份验证问题、AP 加入或断开连接、客户端转发、断开连接和漫游,以及其他特定功能,例如多播、mDNS、伞、移动性和等等。此功能允许网络管理员捕获流经、传入和传出 Cisco 设备的数据包。 在对 AP 加入或客户端加入问题进行故障排除时,如果您无法在问题发生后立即停止捕获,则可能会丢失重要信息。 在大多数情况下,100 MB 的缓冲区不足以捕获数据。 此外,现有的嵌入式抓包功能仅支持对一个内部MAC地址进行过滤,从而捕获特定客户端的流量。 有时,很难确定哪个无线客户端面临问题。
从 Cisco IOS XE Dublin 17.12.1 开始,嵌入式数据包捕获功能支持在一个嵌入式数据包捕获会话中增加缓冲区大小、连续捕获和过滤多个 MAC 地址。 没有 GUI 步骤来配置嵌入式数据包捕获增强功能。
配置嵌入式数据包捕获 (CLI)
通过嵌入式数据包捕获功能增强,缓冲区大小从 100 MB 增加到 500 MB。
笔记
Buffer是内存类型。 您可以维护内存缓冲区或复制内存缓冲区中存在的内存缓冲区 file 以存储更多信息。
程序
| 命令或行动 | 目的 | |
| 步骤 1 | Examp乐: 使能够 设备>启用 |
启用特权 EXEC 模式。 如果有提示,请输入密码。 |
| 步骤 2 | 监控捕获 epc-session-name 接口 千兆以太网接口号 {都在 出去} Examp乐: 设备#监视捕获 epc-session1 接口 GigabitEthernet 0/0/1 两者 |
配置千兆位以太网接口用于入站、出站或同时入站和出站 出站数据包。 千兆位用于 Cisco 9800-CL 控制器,例如ample、Gi1、Gi2 或 Gi3。 对于物理控制器,您必须指定端口通道(如果已配置)。 前任amp物理接口文件 是 Te 或 Tw。 笔记 您还可以运行 control-plane 命令来捕获发送到 CPU 的数据包。 |
| 步骤 3 | (可选)监控捕获 epc-session-name 限制持续时间 限制持续时间 Examp乐: 设备# 监视器捕获 epc-session1 限制持续时间 3600 |
配置监视器捕获限制(以秒为单位)。 |
| 步骤 4 | (可选)监控捕获 epc-session-name 缓冲循环 file 没有-files file-尺寸每-file-尺寸 Examp乐: Device# 监视器捕获 epc-session1 缓冲区循环 file 4 file-尺寸 20 |
配置 file 在循环缓冲区中。 (缓冲区可以是圆形的或线性的)。 当配置循环时, files 作为环形缓冲区工作。 数字的取值范围 of files可配置为2~5。取值范围 file 大小从 1 MB 到 500 MB。 缓冲区命令有各种可用的关键字,例如,circular, file和尺寸。 这里,循环命令是可选的。 笔记 连续捕获需要循环缓冲区。 此步骤生成交换 files 在控制器中。 交换 files 不是数据包捕获 (PCAP) files,因此无法进行分析。 运行导出命令时,交换 files 被组合并导出为一个 PCAP file. |
| 步骤 5 | 监视器捕获 epc-session-name 匹配 {any | ipv4 | IPv6 | 麦克 | pklen范围} Examp乐: 设备# 监视器捕获 epc-session1 匹配任何 |
配置在线过滤器。 笔记 您可以配置过滤器和 ACL。 |
| 步骤 6 | (可选)监控捕获 epc-session-name 访问列表访问列表名称 Examp乐: 设备# 监视器捕获 epc-session1 访问列表访问列表1 |
配置监视器捕获,指定访问列表作为数据包捕获的过滤器。 |
| 步骤 7 | (可选)监控捕获 epc-session-name 连续捕获 http:location/file姓名 Examp乐: 设备# 监视器捕获 epc-session1 连续捕获 https://www.cisco.com/epc1.pcap |
配置连续数据包捕获。 启用自动导出 files 到一个特定的 缓冲区被覆盖之前的位置。 笔记 • 连续捕获需要循环缓冲区。 • 配置 file带有 .pcap 扩展名的名称。 • 前任amp的乐 file用于生成的名称和术语 file名称如下: CONTINUOUS_CAP_20230601130203.pcap CONTINUOUS_CAP_20230601130240.pcap • 数据包自动导出后,缓冲区不会被清除,直到被新传入的捕获数据包覆盖,或者清除或删除命令。 |
| 步骤 8 | (可选)[no] 监视捕获 epc-session-name 内部 mac MAC1 [MAC2…MAC10]
Examp乐: 设备# 监视器捕获 epc-session1 内部mac 1.1.1 2.2.2 3.3.3 4.4.4 |
配置最多 10 个 MAC 地址作为内部 MAC 过滤器。 笔记 • 在捕获过程中您无法修改内部MAC。 • 您可以在单个命令中或使用多个命令行输入MAC 地址。 由于字符串限制,一次只能输入 XNUMX 个 MAC 地址 命令行。 您可以在下一个命令行中输入其余的 MAC 地址。 • 如果已配置的内部MAC 地址数量为10 个,则必须删除旧配置的内部MAC 地址后才能配置新的MAC 地址。 |
| 步骤 9 | 监控捕获 epc-session-name 启动 Examp乐: 设备# 无监视器捕获 epc-session1 启动 |
开始捕获数据包数据。 |
| 步骤 10 | 监视器捕获 epc-session-name 停止 Examp乐: 设备# 无监视器捕获 epc-session1 停止 |
停止捕获数据包数据。 |
| 步骤 11 | 监控捕获 epc-session-name 导出 file地点/file姓名 Examp乐: 设备# 监视器捕获 epc-session1 导出 https://www.cisco.com/ecap-file.pcap |
当未配置连续捕获时,导出捕获的数据以进行分析。 |
验证嵌入式数据包捕获
到 view 配置的 file 数量和每 file 大小,运行以下命令:
笔记
无论是否启用连续捕获,都会显示以下命令。 使用此命令还可以显示配置的内部 MAC 地址。
到 view 配置的嵌入式数据包捕获缓冲区 files,运行以下命令:
文件/资源
 |
CISCO 9800 系列 Catalyst 无线控制器嵌入式数据包捕获 [pdf] 用户指南 9800 系列 Catalyst 无线控制器嵌入式数据包捕获、9800 系列、Catalyst 无线控制器嵌入式数据包捕获、无线控制器嵌入式数据包捕获、控制器嵌入式数据包捕获、嵌入式数据包捕获、数据包捕获、捕获 |
 |
CISCO 9800 系列 Catalyst 无线控制器 [pdf] 用户指南 9800 系列 Catalyst 无线控制器、9800 系列、Catalyst 无线控制器、无线控制器、控制器 |
