9 de marzo de 2019

Captura de tráfico en IOS-XE

La captura de tráfico es una herramienta de diagnóstico de suma importancia.
Para esta tarea se puede utilizar una herramienta de software dedicada como un analizador de tráfico. Para esto hay algunas aplicaciones disponibles, entre ellas Wireshark (free) u Omnipeek (licenciada, ofrece una demo gratuita por tiempo limitado).
Estas herramientas pueden montarse en una terminal desde la cual se realiza la captura de tráfico. 
Pero esta metodología tiene la limitación de que a la herramienta llega solamente el tráfico que arriba a la placa de red de la terminal, y ese tráfico no siempre es representativo de los flujos de tráfico que se desea analizar.

Para realizar análisis del tráfico que atraviesa las interfaces de los dispositivos de infraestructura de la red, algunos dispositivos (IOS, IOS XE, ASA) permiten realizar la captura de tráfico en la interfaz misma del dispositivo.
Esto es posible en routers y firewalls de Cisco.
La herramienta para esto en IOS e IOS XE es Embedded Packet Capture (EPC).

Dado el contexto de transición de IOS a IOS XE en el que nos encontramos, la revisión de comandos la haré directamente sobre IOS XE

Embedded Packet Capture
La herramienta captura los paquetes que se envían y reciben en el dispositivo.
Los paquetes se almacenan inicialmente en un buffer de memoria RAM.
Una vez que los datos son capturados pueden ser examinados en modo sintético o detallado en el mismo dispositivo.
Adicionalmente, los datos pueden ser exportados como archivo PCAP para ser examinados posteriormente con un analizador de tráfico.

Está diseñada como una herramienta de uso temporal para asistir en un proceso de diagnóstico, no como un feature permanente. Por este motivo la configuración se realiza en modo privilegiado (no en modo configuración) y no se almacena con el archivo de configuración del dispositivo por lo que no persiste luego de un reinicio.

Para facilitar la configuración en IOS, IOS XE y ASA Cisco pone disponible en línea una herramienta: Packet Capture Config Generator and Analyzer

Ejemplo de configuración en IOS XE
La captura de tráfico se introdujo en IOS XE 3.7 - 15.2(4)S.
Es diferente a la configuración en IOS.

Router# monitor capture CAP1 interface Gi0/0 both
  • Define la interfaz en la que se ha de realizar la captura de tráfico (la identifica con un nombre, en este caso CAP1) y define el sentido en el que se realiza la captura (en este caso se captura tráfico entrante y saliente).
  • Puede realizarse captura de tráfico en interfaces físicas, interfaces de túnel y sub interfaces.
Router# monitor capture CAP1 match ipv4 protocol tcp any any
  • Asocia a la captura (CAP1) un filtro de tráfico para seleccionar los paquetes que se desea capturar. en este caso se capturará tráfico TCP IPv4.
    También se puede asociar una lista de acceso o un class-map.
  • Con esto se completa la definición de la captura de tráfico.
Router# monitor capture CAP1 start
  • Arranca el proceso de captura identificado como CAP1.
    A partir de este momento se inicia la captura de tráfico en la interfaz.
  • La captura se mantendrá hasta tanto se concluya la captura de tráfico.
Router# monitor capture CAP1 stop
  • Detiene la captura.
    A partir de este punto no se captura más tráfico en la interfaz.
La captura realizada puede ser revisada en la línea de comando del router mismo, o exportarse para luego ser revisada utilizando un analizador de tráfico.

Router# show monitor capture CAP1 buffer brief
  • Permite una visión sintética de la captura realizada.
Router# show monitor capture CAP1 buffer detailed
  • Da una visión detallada de la captura de tráfico.
Router# monitor capture CAP1 export ftp://198.168.10.10/CAP1.pcap
  • Exporta la captura de tráfico en un archivo .pcap utilizando FTP.
  • El archivo puede ser luego revisado importándolo en un analizador de tráfico como Wireshark.

El siguiente es un ejemplo de captura filtrada utilizando una ACL:

Router# configure terminal
Router(config)# ip access-list extended FILTRO
Router(config-ext-nacl)# permit ip 192.168.1.0 0.0.0.255 any
Router(config-ext-nacl)# permit ip 192.168.2.0 0.0.0.255 any
Router(config-ext-nacl)# end
Router# monitor capture CAP2 access-list FILTRO interface Gi0/1 both





Podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

O seguir las principales novedades en el grupo de Telegram:

https://t.me/LibrosNetworking


Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.



2 comentarios:

  1. Buenas Noches Oscar. Queria consultar si existe forma de respaldar el IOS XE de un Catalyst 3650 a un TFTP? Cuando ejecuto Sh Flash, me devuelve multiples archivos pero no un archivo unico *.bin como el que aparecia en IOS. Gracias

    ResponderBorrar
    Respuestas
    1. Juan
      IOS XE es una arquitectura de sistema operativo completamente diferente. En primer lugar es un sistema operativo modular, no monolítico como era IOS, de ahí que la estructura de archivos que encontrás en la memoria flash es diferente.
      Pero también hay que considerar que hay diferentes modos de operación que dan lugar a diferentes estructura de archivo, dependiendo de la versión de IOS XE y la plataforma.
      Sugiero que revises la documentación en Cisco dependiendo de la versión con la que estés trabajando.

      Borrar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.