Como realizar capturas de paquetes (Sniffer) en CUCM Appliance Model

Este documento muestra el procedimiento para tomar capturas de paquetes en el Cisco Unified Communications Manager (CUCM). Esta forma de tomar capturas o también llamado sniffers, se utiliza para tomar los paquetes que salen y entran a la interfaz de red del CUCM.

1.  Iniciar la captura

Para iniciar la captura, se necesita iniciar una sesión de SSH al servidor de CUCM, y utilizar el usuario de administración de la plataforma:

ssh.jpg

1a.  Comando de inicio de captura:

     El comando para iniciar la captura es "utils network capture":

Syntax:
utils network capture [options]
options  optional   
page,numeric,file fname,count num,size bytes,src addr,dest addr,port
num,host protocol addr

options are:
page                
- pause output
numeric               - show hosts as dotted IP
addresses
file fname            - output the information to a file
  
Note: The file will be saved in platform/cli/fname.cap
         
fname should not contain the "." character
count num             - a
count of the number of packets to capture
    Note: The maximum count
for the screen is 1000, for a file is 100000
size bytes            -
the number of bytes of the packet to capture
    Note: The maximum
number of bytes for the screen is 128
          For a file it can be
any number or ALL
src addr              - the source address of the
packet as a host name or IPV4 address
dest addr             - the
destination address of the packet as a host name or IPV4 address
port
num              - the port number of the packet (either src or dest)
host
protocol addr    - the protocol should be one of the following:
ip/arp/rarp/all. The host address of the packet as a host name or IPV4
address. This option  will display all packets to and fro that address.
  
Note: If "host" is provided, do not provide "src" or "dest"

1b.  Capturar el trafico

      Por lo general, se necesitan capturar todos los paquetes, para todos  los tamaños de paquetes, e incluyendo todas las direcciones IP en la  captura. Esta captura se guarda en un archivo llamado "packets.cap". Para realizar esto, se puede utilizar el comando:

utils network capture eth0  file packets count 100000 size all


capture-all.jpg

1c.  Captura basa en numero de puerto

Si  se desea realizar la captura en un puerto especifico, se puede usar el  siguiente ejemplo. En este ejemplo, se realiza la captura en el puerto  8500 usando la opción de "port":

capture-8500.jpg

1d.  Capturas basadas en direcciones IP especificas

     Para realizar la captura de paquetes desde y hacia una dirección IP en especifico, se necesita utilizar la opción de "host" para filtrar los paquetes que contengan esa dirección IP como fuente o destino de los paquetes:

capture-ip.jpg

2.  Reproducir el problema, síntoma o condición:

Una  vez que se inicia la captura, se debe reproducir el problema en el que  se esta trabajando. Cuando se trabaja con problemas intermitentes, es  muy frecuente que se necesite dejar la captura corriendo durante lapsos  de tiempo extendidos. Cuando se deja la captura corriendo durante un  lapso extendido de tiempo, la captura se detiene automáticamente cuando el buffer se llena. En este punto lo que se debe de hacer es volver a iniciar la captura, y cuando se reinicia la captura, el sistema automáticamente le cambia el nombre a la captura anterior y le agrega un identificador numérico  al final del nombre. Si se desea capturar paquetes sin estar  reiniciando la captura, se debe de hacer por otros medios, como una  captura utilizando una sesión de "monitor" (SPAN/RSPAN) en un switch.

3.  Detener la captura

Para detener la captura, se debe presionar Ctrl + C. Esta secuencia va a detener la captura de paquetes y va a agregar lo que se haya capturado al archivo de captura.

control-c.jpg

Una vez que esto esta completo, la captura se va a guardar en el servidor donde se realizo la captura en la ubicación "activelog platform/cli/"

4.  Como recolectar la captura del servidor

El ultimo paso es la de recolección de la captura. Los archivos con las capturas se guardan en la ubicación "activelog platform/cli/". Los archivos se pueden descargar del servidor por medio de CLI hacia un servidor de SFTP o también a una PC utilizando la herramienta de Real Time Monitoring Tool (RTMT).

4a.  Transferir los archivos utilizando un servidor de SFTP

          Se utiliza el comando "file get activelog platform/cli/packets.cap" para enviar las capturas al servidor.

     De forma alternativa, se pueden transferir todos los archivos .cap guardados en el servidor utilizando el comando:

     file get activelog platform/cli/*.cap

     Luego de esto, se debe de introducir la información del servidor donde se desea enviar la captura:

     sftp-cli.jpg

     Luego de esto, se va a ver una confirmación en la pantalla si la transferencia fue exitosa.

4b.  Transferir la captura a una PC utilizando el Real Time Monitoring Tool (RTMT)

            Esta opción no esta disponible versiones de CUCM 5.x anteriores a la 5.1(1), o en versiones 6.x anteriores a la 6.1(2). Para mas detalles de esta limitación, se puede ver los defectos CSCsg13820 y CSCsm76349.

           Ejecutar el RTMT. Esta herramienta se puede descargar desde la pagina  de administracion de CUCM en el menu Applications->Plugins.

     En el RTMT, haga click sobre "System", luego en "Trace & Log Central", luego doble-click en "Collect Files". Haga click en "Next" en el primer      menu.

     rtmt1.jpg


      En el segundo menú, seleccione la casilla "Packet Capture Logs" en el servidor donde se realizo la captura, luego haga click en "Next".

     rtmt2.jpg

      Finalmente, seleccione un rango de tiempo que contenga el tiempo en el  que se realizo la captura y un directorio destino donde se guardarán los       archivos a descargar:

     finalscreen.jpg


     Esta ventana se va a cerrar automáticamente y va a proceder con la recolección de la captura realizada.

Fuente:

https://supportforums.cisco.com/docs/DOC-1201

Historial de versiones
Revisión n.º
1 de 1
Última actualización:
‎11-29-2011 10:38 AM
Actualizado por:
 
Etiquetas (1)