嵌入式資料包捕獲
嵌入式資料包擷取的功能歷史記錄
此表提供有關本節中說明的功能的版本和相關資訊。除非另有說明,此功能在引入該功能的版本之後的所有版本中也可用。
表 1:嵌入式資料包擷取的功能歷史記錄
| 發布 | 特徵 | 功能信息 |
| 思科 IOS XE 都柏林 17.12.1 |
嵌入資料包 捕獲 |
嵌入式封包擷取功能增強,可支援增加緩衝區大小、連續擷取以及在一個嵌入式封包中過濾多個 MAC 位址 資料包擷取 (EPC) 會話。 |
有關嵌入式資料包捕獲的信息
嵌入式資料包擷取功能有助於追蹤資料包並排除故障。控制器上的嵌入式封包擷取用於解決多個問題,例如RADIUS 驗證問題、AP 加入或斷開連接、用戶端轉發、斷開連接和漫遊,以及其他特定功能,例如多播、mDNS、傘、移動性和等等。此功能可讓網路管理員擷取流經、傳入和傳出 Cisco 設備的資料包。在對 AP 加入或用戶端加入問題進行故障排除時,如果您無法在問題發生後立即停止捕獲,則可能會遺失重要資訊。在大多數情況下,100 MB 的緩衝區不足以擷取資料。此外,現有的嵌入式抓包功能僅支援對一個內部MAC位址進行過濾,從而捕捉特定用戶端的流量。有時,很難確定哪個無線客戶端面臨問題。
從 Cisco IOS XE Dublin 17.12.1 開始,嵌入式封包擷取功能支援在一個嵌入式封包擷取工作階段中增加緩衝區大小、連續擷取和過濾多個 MAC 位址。沒有 GUI 步驟來配置嵌入式封包擷取增強功能。
配置嵌入式資料包擷取 (CLI)
透過嵌入式資料包擷取功能增強,緩衝區大小從 100 MB 增加到 500 MB。
筆記
Buffer是記憶體類型。您可以維護記憶體緩衝區或複製記憶體緩衝區中存在的記憶體緩衝區 file 以儲存更多資訊。
程式
| 命令或行動 | 目的 | |
| 步驟1 | Examp樂: 使能夠 設備>啟用 |
啟用特權 EXEC 模式。 如果有提示,請輸入密碼。 |
| 步驟2 | 監控捕獲 epc-session-name 介面 千兆乙太網路介面編號 {均位於 出去} Examp樂: 設備# 監視器擷取 epc-session1 介面 GigabitEthernet 0/0/1 兩者 |
設定千兆位元乙太網路介面用於入站、出站或同時入站和出站 出站資料包。 千兆位元用於 Cisco 9800-CL 控制器,例如ample、Gi1、Gi2 或 Gi3。對於實體控制器,您必須指定連接埠通道(如果已配置)。前任amp實體介面文件 是 Te 或 Tw。 筆記 您也可以執行 control-plane 命令來擷取傳送到 CPU 的封包。 |
| 步驟3 | (可選)監控擷取 epc-session-name 限制持續時間 限制持續時間 Examp樂: 設備# 監視器捕獲 epc-session1 限制持續時間 3600 |
配置監視器捕獲限制(以秒為單位)。 |
| 步驟4 | (可選)監控擷取 epc-session-name 緩衝循環 file 沒有-files file-尺寸每-file-尺寸 Examp樂: 設備# 監視器捕獲 epc-session1 緩衝區循環 file 4 file-尺碼 20 |
配置 file 在循環緩衝區中。 (緩衝區可以是圓形的或線性的)。 當配置循環時, files 作為環形緩衝區工作。數字的取值範圍 of files 的配置範圍是 2 到 5。 file 大小從 1 MB 到 500 MB。緩衝區命令有各種可用的關鍵字,例如,circular, file、和尺寸。這裡,循環命令是可選的。 筆記 連續捕獲需要循環緩衝區。 此步驟產生交換 files 在控制器中。交換 files 不是封包擷取 (PCAP) files,因此無法進行分析。 執行導出命令時,交換 files 被組合併導出為一個 PCAP file. |
| 步驟5 | 監視器捕獲 epc-session-name 匹配 {any | ipv4 | IPv6 |麥克 | pklen範圍} Examp樂: 設備# 監視器捕獲 epc-session1 匹配任何 |
配置在線過濾器。 筆記 您可以設定過濾器和 ACL。 |
| 步驟6 | (可選)監控擷取 epc-session-name 存取清單存取清單名稱 Examp樂: 設備# 監視器捕獲 epc-session1 訪問列表訪問列表1 |
配置監視器捕獲,指定存取清單作為資料包捕獲的過濾器。 |
| 步驟7 | (可選)監控擷取 epc-session-name 連續捕獲 http:location/file姓名 Examp樂: 設備# 監視器捕獲 epc-session1 連續捕獲 https://www.cisco.com/epc1.pcap |
配置連續資料包擷取。啟用自動匯出 files 到一個特定的 緩衝區被覆蓋之前的位置。 筆記 • 連續捕獲需要循環緩衝區。 • 配置 file帶有 .pcap 副檔名的名稱。 • 前任amp的樂 file用於產生的名稱和術語 file名稱如下: CONTINUOUS_CAP_20230601130203.pcap CONTINUOUS_CAP_20230601130240.pcap • 封包自動匯出後,緩衝區不會被清除,直到被新傳入的擷取封包覆蓋,或清除或刪除指令。 |
| 步驟8 | (可選)[no] 監視捕捉 epc-session-name 內部 mac MAC1 [MAC2…MAC10]
Examp樂: 設備# 監視器捕獲 epc-session1 內部mac 1.1.1 2.2.2 3.3.3 4.4.4 |
配置最多 10 個 MAC 位址作為內部 MAC 過濾器。 筆記 • 在擷取過程中您無法修改內部MAC。 • 您可以在單一命令中或使用多個命令列輸入MAC 位址。 由於字串限制,一次只能輸入 5 個 MAC 位址 命令行。您可以在下一個命令列中輸入其餘的 MAC 位址。 • 如果已設定的內部MAC 位址數量為10 個,則必須刪除舊設定的內部MAC 位址後才能設定新的MAC 位址。 |
| 步驟9 | 監控擷取 epc-session-name 啟動 Examp樂: 設備# 無監視器捕獲 epc-session1 啟動 |
開始捕獲資料包資料。 |
| 步驟10 | 監視器捕獲 epc-session-name 停止 Examp樂: 設備# 無監視器捕獲 epc-session1 停止 |
停止捕獲資料包資料。 |
| 步驟11 | 監控捕獲 epc-session-name 匯出 file地點/file姓名 Examp樂: 設備# 監視器捕獲 epc-session1 導出 https://www.cisco.com/ecap-file.pcap |
當未配置連續捕獲時,匯出捕獲的資料以進行分析。 |
驗證嵌入式資料包捕獲
到 view 配置的 file 數量和每 file 大小,執行以下命令:
筆記
無論是否啟用連續捕獲,都會顯示以下命令。使用此命令還可以顯示已配置的內部 MAC 位址。
到 view 配置的嵌入式資料包擷取緩衝區 files,執行以下命令:
文件/資源
 |
CISCO 9800 系列 Catalyst 無線控制器嵌入式封包捕獲 [pdf] 使用者指南 9800 系列Catalyst 無線控制器嵌入式資料包擷取、9800 系列、Catalyst 無線控制器嵌入式資料包擷取、無線控制器嵌入式資料包擷取、控制器嵌入式資料包擷取、嵌入式資料包擷取、資料包捕獲、捕獲 |
 |
CISCO 9800 系列 Catalyst 無線控制器 [pdf] 使用者指南 9800 系列 Catalyst 無線控制器、9800 系列、Catalyst 無線控制器、無線控制器、控制器 |
