Сниффер пакетов (debug ip packet ...)

Неотвеченый вопрос
дек 7th, 2015
User Badges:

Здравствуйте!

Пытаюсь отловить пакеты, проходящие через роутер (Catalyst 3560X-24T-S), для этого делаю следующее:

Отключаю логирование в консоль:

no logging console

Создаю access-list, по которому буду мониторить пакеты (хочу видеть пакеты icmp к/от хоста 10.21.0.8):

ip access-list extended 111
  10 permit icmp any host 10.21.0.8
  20 permit icmp host 10.21.0.8 any

Включаю высший уровень логирования в терминал, включаю вывод на терминал:

logging monitor 7
terminal monitor

Включаю отслеживание пакетов access-list'а 111:

debug ip packet 111 detail

После этого у меня в telnet'е должны быть видны icmp-пакеты, но никаких пакетов в telnet'е не видно.

UPD: через какое-то время (3-5 минут) в телнете всё же появились пакеты. Как сделать так, чтобы пакеты отображались в реальном времени?

UPD2: забыл указать, что отключаю fast-switching на интерфейсе, на котором я буду слушать трафик (не очень знаю зачем это делать, но везде пишут, что сделать это надо):

int vlan101
no ip route-cache
I have this problem too.
0 голоса
Loading.
Sergey Goffert вт, 12/08/2015 - 01:27
User Badges:
  • Silver, 250 points or more
  • Почетные Знаки Сообщества,

    Выбор участников, Ноябрь 2014

Добрый день!

1) Catalyst 3560X-24T-S - это не роутер. Это свитч.

2) На свитче лучше всего организовать SPAN-сессию (т.е. зеркалирование трафика) на отдельный порт, к которому подключен ПК с Wireshrak. Это будет намного удобнее чем разбирать вывод команды "debug ip packet".

3) debug ip packet  -  обрабатывает пакеты, которые устройство МАРШРУТИЗИРОВАЛО. У вас конечно свитч, а не марщрутизатор, но он L3 и маршрутизировать пакеты он в принципе может. Но был ли трафик, который вы хотели прослушать маршрутизируемым в даннном случае ? Если у вас источник и получаетль трафика находятся в одном VLAN, т. ваш свитч в этом случае не маршрутизировал этот трафик, а КОММУТИРОВАЛ, на то он и свитч, т.е. КОММУТАТОР. И соответсвенно на L3-интерфейс свитча, который у вас "int vlan 101" эти пакеты даже и не заглядывали, пролетая мимо. Так что даже странно, что они там таки появились.....


Вообщем мой вам совет, не заморачивайтесь с "debug ip packet", а настройте SPAN+Wireshark. Как-то так.

Действия

Информация о дискуссии