簡介
本檔案介紹如何在Cisco SD-WAN vManage上執行封包擷取。
必要條件
需求
思科建議您瞭解以下主題:
採用元件
本檔案是根據以下軟體和硬體版本所編制:
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
背景資訊包含有關vManage上什麼是封包擷取功能、使用此工具的優勢以及可用來篩選相關流量的通訊協定數目的說明。
vManage上的資料包捕獲允許捕獲和分析SD-WAN網路上的資料包流量。使用此工具可以獲得以下重要優勢:
問題診斷:資料包捕獲是排除網路問題的重要工具。這可用於分析資料包並確定效能、延遲或資料包丟失問題的原因。
過濾和選擇性捕獲:vManage允許您將過濾器配置為僅捕獲相關流量,從而降低網路負載並更輕鬆地分析特定資料包。
安全性:此功能可用於識別網路上的惡意流量模式或可疑活動。
十進位 |
縮寫 |
通訊協定 |
RFC |
1 |
ICMP |
Internet控制消息協定 |
RFC 792 |
2 |
IGMP |
Internet組管理協定 |
RFC 1112 |
4 |
IP |
IP en IP(封裝) |
RFC 2003 |
6 |
TCP |
傳輸控制通訊協定 |
RFC 793 |
8 |
EGP |
外部網關協定 |
RFC 888 |
9 |
IGP |
內部網關協定 |
|
17 |
UDP |
使用者資料包通訊協定 |
RFC 768 |
41 |
IPv6 |
封裝IPv6 |
RFC 2460 |
47 |
GRE |
通用路由封裝 |
|
50 |
ESP |
封裝安全性裝載 |
RFC 2406 |
88 |
EIGRP |
EIGRP |
|
89 |
OSPF |
開放最短路徑優先 |
RFC 1583 |
112 |
VRRP |
虛擬路由器備援協定 |
RFC 3768 |
程式
步驟 1.導覽至Monitor > Devices。
步驟 2.過濾裝置並按一下藍色字母。
附註:
對於20.8.x和更舊版本,不存在雙向選項。因此,有兩種情況可使用封包擷取功能:
單向:如果過濾了源IP、目的IP或兩者都有,則僅在一個方向(從源到目標)捕獲資料包。
雙向:如果未使用任何流量過濾器選項,則會在兩個方向捕獲資料包。
對於20.9.x及更高版本:這些版本中存在Bidirectional選項。因此,如果過濾了源IP、目的IP或同時過濾兩者,則可以選擇單向或雙向方向。
步驟 3.導覽至安全監控>疑難排解。
步驟 4.如果您沒有看到Packet Capture選項,則需要從管理>設定>資料流>按一下鉛筆>啟用>系統>儲存啟用資料流功能。
注意:在Administration > Settings > Data Stream > the options Transport, Management and System中,您還可以啟用它們,請注意,對於Transport VPN,您需要使用VPN 0 IP地址和Management VPNa VPN 512 IP地址。
步驟 5.現在,您可以在Traffic部分看到Packet Capture選項,按一下它。
步驟 6.選擇需要執行捕獲的值,如下圖所示。
VPN:從執行捕獲的VPN中選擇
Interface:選擇此VPN內部的介面
流量過濾器:在此您可以選擇不同的選項來過濾來自該介面和VPN的流量,例如:
- 源IP:源IP地址
- 源埠:源埠
- 通訊協定:例如UDP、TCP、ICMP等。
- 目標IP:目標IP
- 目的地連線埠:目的地連線埠
註:對於本文選擇了協定17(UDP),但您可以使用所需的協定,為此,請參閱本文檔中最重要的協定清單。
步驟 7.獲得執行捕獲所需的所有值後,按一下開始。
步驟 8.然後vManage開始使用指定的過濾器捕獲資料包,您可在收到足夠的資料包後立即停止該過程。
步驟 9.等待vManage準備要下載的檔案。
步驟 10.然後下載資料包捕獲檔案。
步驟 11.捕獲現在位於您的檔案上,使用作為Wireshark的資料包分析器將其開啟。
您可以看到,捕獲可以提供許多有用的資訊,這裡可以按預期捕獲UDP資料包。
開啟UDP資料包時,可以看到其中包含的資訊。
在幀資訊上,您可以看到到達時間、著色規則名稱、著色規則字串等資訊。
您還可以看到源IP地址和目標IP地址,如之前設定的源和目標埠。
相關資訊
適用於Cisco IOS XE SD-WAN裝置的Cisco vManage How-Tos