Gavin's Linux學習手札
關於部落格
原本這個 Blog 是用來記錄研究 Linux 的學習過程, 後來變成記錄生活與工作, 這個 Blog 裡的文章已成為我不可缺少的回憶。
  • 522631

    累積人氣

  • 4

    今日人氣

    0

    訂閱人氣

在 Cisco Router 封包側錄

 LAB 環境:


介面 說明
Gi0/0 Wan,連接 Internet,對外服務
Gi0/1 Lan,連接內部 CoreSW
Gi0/2 側錄主機

目標:將 Wan 端 (Gi0/0) 所有進出流量 Mirror 一份至 Gi0/2 給 Wireshark 側錄封包。

1. 定義 Traffic export profile
# conf t
(config) # ip traffice-export profile <profilename> mode export
(config-rite) # bidirectional
(config-rite) # interface GigabitEthernet0/2
(config-rite) # mac-address 0011.2233.4455
(config-rite) # exit
  • <profilename>:自訂一個 Profile 名稱。
  • mode:有 export 與 capture 參數可選擇。
    export:匯出資料到 interface
    capture:截取資料到 memory
  • bidirectional:所有 incoming 及 outgoing 的流量都要 mirror,若沒有執行該指令,預設只 mirror incoming 流量。
  • interface:指定要 mirror 到哪個介面,就是收集封包的那端。
  • mac-address:指定接收封包的主機 MAC Address。

2. 套用到指定介面
(config) # interface GigabitEthernet 0/0
(config-if) # ip traffice-export apply <profilename>


3. 檢視 traffic export 狀態
# show ip traffic-export
Router IP Traffic Export Parameters
Monitored Interface             GigabitEthernet0/0
        Export Interface                GigabitEthernet0/2
        Destination MAC address 0011.2233.4455
        bi-directional traffic export is on
Output IP Traffic Export Information    Packets/Bytes Exported    14294/1954000
        Packets Dropped           0
        Sampling Rate             one-in-every 1 packets
        No Access List configured
Input IP Traffic Export Information     Packets/Bytes Exported    31886/4340111
        Packets Dropped           0
        Sampling Rate             one-in-every 1 packets
        No Access List configured
        Profile R1 is Active


限制:
  • 因為需指定接收主機的 MAC Address,故主機必須是與 Router 同網段 / VLAN,或直接連接的介面。
  • 指定收集封包的介面必須是 Ethernet (10/100/1000),被監控的那端可以是任何介面。


資料參考來源:
IP traffic export: how to mirror traffic on a router
利用路由器的流量导出功能部署IPS的配置方法

相簿設定
標籤設定
相簿狀態