Прослушивание сети с помощью коммутатора Cisco Catalyst 3560

На наших страницах неоднократно уже появлялись материалы о том, каким образом с помощью самого разнообразного сетевого оборудования можно перехватывать трафик в сети. Относительно недавно мы познакомили наших читателей со средствами перехвата, доступными пользователям коммутаторов Cisco Nexus. Однако сами коммутаторы Cisco Nexus совсем не относятся к категории бюджетных устройств. Поэтому сегодня мы обратим свой взор на совершенно другой сегмент рынка – небольшие компактные L3-коммутаторы Cisco Catalyst 3560. Описываемый в данной статье функционал может быть применим не ко всем коммутаторам Cisco Catalyst и, возможно, даже не ко всем устройствам в линейке Catalyst 3560, однако в нашей модели WS-C3560CG-8TC-S он, естественно, присутствует. Команды очень похожи на те, что мы уже недавно рассматривали в статье об EPC (Embedded Packet Capture) для маршрутизаторов Cisco ASR, однако некоторые отличия всё же наблюдаются.

Итак, весь процесс делится на три части, две из которых являются основными (создание буфера перехвата и самого перехвата) и одна вспомогательной. Вспомогательная часть – создание списка доступа, позволяющего отфильтровать лишние пакеты, не имеющие пользы, например, при выполнении диагностических задач. Допустим, мы хотим получить только лишь любые ICMP-сообщения. Поэтому список доступа будет выглядеть так.

switch3560(config)#ip access-list extended foxtest
switch3560(config-ext-nacl)#permit icmp any any
switch3560(config-ext-nacl)#^Z
switch3560#sho ip access-lists foxtest
Extended IP access list foxtest
10 permit icmp any any

Следующим шагом нужно создать буфер, в который будут помещаться перехваченные пакеты. При создании буфера можно изменить ряд параметров, отвечающих за его работу. Например, выбрать, будет ли данный буфер линейным или циклическим. Задать его размер и максимальный размер пакета, который можно будет в него поместить.

switch3560#monitor capture ?
buffer Control Capture Buffers
point Control Capture Points
switch3560#monitor capture buffer ?
WORD Name of the Capture Buffer
switch3560#monitor capture buffer foxtest ?
circular Circular Buffer
clear Clear contents of capture buffer
export Export in Pcap format
filter Configure filters
limit Limit the packets dumped to the buffer
linear Linear Buffer(Default)
max-size Maximum size of element in the buffer (in bytes)
size Packet Dump buffer size (in Kbytes)
<cr>
switch3560#monitor capture buffer foxtest size 2048 ?
circular Circular Buffer
linear Linear Buffer(Default)
max-size Maximum size of element in the buffer (in bytes)
<cr>
switch3560#monitor capture buffer foxtest size 2048 max-size ?
<68-9500> Element size in bytes : 9500 bytes or less (default is 68 bytes)
switch3560#monitor capture buffer foxtest size 2048 max-size 1500 ?
circular Circular Buffer
linear Linear Buffer(Default)
<cr>
switch3560#monitor capture buffer foxtest size 2048 max-size 1500 circular ?
<cr>
switch3560#monitor capture buffer foxtest size 2048 max-size 1500 circular

После создания буфера к нему можно привязать фильтр в виде созданного ранее списка доступа.

switch3560#monitor capture buffer foxtest filter ?
access-list Set access list
switch3560#monitor capture buffer foxtest filter access-list ?
<1-199> IP access list
<1300-2699> IP expanded access list
WORD Access-list name
switch3560#monitor capture buffer foxtest filter access-list foxtest ?
<cr>
switch3560#monitor capture buffer foxtest filter access-list foxtest
Filter Association succeeded

Выяснить параметры созданного буфера можно с помощью команды show monitor capture buffer name parameters.

switch3560#sho monitor capture buffer ?
WORD Name of the Capture Buffer
all All capture buffers
merged Merged View of Capture Buffers
switch3560#sho monitor capture buffer foxtest parameters
Capture buffer foxtest (circular buffer)
Buffer Size : 2097152 bytes, Max Element Size : 1500 bytes, Packets : 0
Allow-nth-pak : 0, Duration : 0 (seconds), Max packets : 0, pps : 0
Associated Capture Points:
Configuration:
monitor capture buffer foxtest size 2048 max-size 1500 circular
monitor capture buffer foxtest filter access-list foxtest

После того, как буфер создан, необходимо создать сам перехват. Команды коммутатора позволяют создавать перехваты для двух режимов пересылки трафика: CEF и process-switching. К сожалению, нам так и не удалось получить пакеты, обрабатываемые с помощью CEF (Cisco Express Forwarding), однако трафик, предназначенный самому коммутатору мы перехватили без каких-либо проблем.

switch3560#monitor capture ?
buffer Control Capture Buffers
point Control Capture Points
switch3560#monitor capture po
switch3560#monitor capture point ?
associate Associate capture point with capture buffer
disassociate Dis-associate capture point from capture buffer
ip IPv4
ipv6 IPv6
start Enable Capture Point
stop Disable Capture Point
switch3560#monitor capture point ip ?
cef IPv4 CEF
process-switched Process switched packets
switch3560#monitor capture point ip pr
switch3560#monitor capture point ip process-switched ?
WORD Name of the Capture Point
switch3560#monitor capture point ip process-switched foxtest ?
both Inbound and outbound and packets
from-us Packets originating locally
in Inbound packets
out Outbound packets
switch3560#monitor capture point ip process-switched foxtest bo
switch3560#monitor capture point ip process-switched foxtest both ?
<cr>
switch3560#monitor capture point ip process-switched foxtest both
switch3560#

Перехват и буфер также должны быть связаны.

switch3560#monitor capture point associate ?
WORD Name of the Capture Point
switch3560#monitor capture point associate foxtest ?
WORD Name of the Capture Buffer
switch3560#monitor capture point associate foxtest foxtest ?
<cr>
switch3560#monitor capture point associate foxtest foxtest

Просмотреть настройки перехвата можно с помощью команды show monitor capture point name.

switch3560#sho monitor capture point foxtest ?
| Output modifiers
<cr>
switch3560#sho monitor capture point foxtest
Status Information for Capture Point foxtest
IPv4 Process
Switch Path: IPv4 Process , Capture Buffer: foxtest
Status : Inactive
Configuration:
monitor capture point ip process-switched foxtest both

После того, как все подготовительные действия выполнены, можно приступать непосредственно к запуску перехвата.

switch3560#monitor capture point start ?
WORD Name of the Capture Point
all All Capture Points
switch3560#monitor capture point start foxtest ?
<cr>
switch3560#monitor capture point start foxtest
switch3560#sho moni cap poi foxtest
Status Information for Capture Point foxtest
IPv4 Process
Switch Path: IPv4 Process , Capture Buffer: foxtest
Status : Active
Configuration:
monitor capture point ip process-switched foxtest both

Остановка перехвата может быть произведена вручную, либо по наступлению определённого события, например, получения заранее заданного количества пакетов.

switch3560#monitor capture point stop foxtest

Статистические сведения о загрузке буфера можно получить из вывода команды show monitor capture buffer name parameters.

switch3560# show monitor capture buffer foxtest parameters
Capture buffer foxtest (circular buffer)
Buffer Size : 2097152 bytes, Max Element Size : 1500 bytes, Packets : 14
Allow-nth-pak : 0, Duration : 0 (seconds), Max packets : 0, pps : 0
Associated Capture Points:
Name : foxtest, Status : Inactive
Configuration:
monitor capture buffer foxtest size 2048 max-size 1500 circular
monitor capture point associate foxtest foxtest
monitor capture buffer foxtest filter access-list foxtest

Просмотреть же перехваченные данные можно в сокращённом и полном режимах.

switch3560#show monitor capture buffer foxtest
15:52:45.953 MSK Jan 11 2014 : IPv4 Process : Vl247 None
15:52:45.954 MSK Jan 11 2014 : IPv4 Process : None Vl247
switch3560#show monitor capture buffer foxtest dump
15:52:45.952 MSK Jan 11 2014 : IPv4 Process : Vl247 None
064AC930: 08CC68D1 32C23085 .LhQ2B0.
064AC940: A947DB99 08004500 003C7084 00008001 )G[...E..<p.....
064AC950: 46E9C0A8 0102C0A8 01010800 85410001 Fi@(..@(.....A..
064AC960: C8196162 63646566 6768696A 6B6C6D6E H.abcdefghijklmn
064AC970: 6F707172 73747576 77616263 64656667 opqrstuvwabcdefg
064AC980: 6869E6 hif
15:52:45.952 MSK Jan 11 2014 : IPv4 Process : None Vl247
064AC930: 3085A947 DB9908CC 0.)G[..L
064AC940: 68D132C2 08004500 003C7084 0000FF01 hQ2B..E..<p.....
064AC950: C7E8C0A8 0101C0A8 01020000 8D410001 Gh@(..@(.....A..
064AC960: C8196162 63646566 6768696A 6B6C6D6E H.abcdefghijklmn
064AC970: 6F707172 73747576 77616263 64656667 opqrstuvwabcdefg
064AC980: 6869E6 hif

Для более полного анализа перехваченные пакеты могут быть выгружены, например, на TFTP-сервер, либо сохранены на внутреннюю флеш-память.

switch3560# monitor capture buffer foxtest export ?
flash: Location to dump buffer
ftp: Location to dump buffer
http: Location to dump buffer
https: Location to dump buffer
rcp: Location to dump buffer
scp: Location to dump buffer
tftp: Location to dump buffer
switch3560# monitor capture buffer foxtest export tftp://192.168.1.2/foxtest.pcap
!!

Во время экспорта перехваченных данных создаётся файл в стандартном формате, понятном утилитам TCPdump и Wireshark.

На этом мы завершаем очень беглый обзор возможностей коммутатора Cisco Catalyst 3560CG-8TC-S, связанных с перехватом трафика. Более подробно описание данных функций можно найти на сайте производителя в материале, правда, больше относящемся к маршрутизаторам или большим L3-коммутаторам, типа Catalyst 6500. Справедливости ради стоит сказать, что в линейке коммутаторов Cisco Catalyst 3560 присутствуют и стандартные возможности по созданию SPAN-сессий.

switch3560#sho monitor session ?
<1-66> SPAN session number
all Show all SPAN sessions
erspan-destination Show only Destination ERSPAN sessions
erspan-source Show only Source ERSPAN sessions
local Show only Local SPAN sessions
range Show a range of SPAN sessions in the box
remote Show only Remote SPAN sessions

You have no rights to post comments

Если заметили ошибку, выделите фрагмент текста и нажмите Ctrl+Enter