在遙測代理節點中執行資料包捕獲
簡介
本檔案介紹如何在思科遙測代理(CTB)代理節點中執行封包擷取。
必要條件
需求
思科建議您瞭解以下主題:
- 基本Linux管理
- 基本思科遙測代理架構
- SSH基礎知識
- 執行封包擷取時需要使用
admin命令root行介面(CLI)存取許可權。
採用元件
本文檔中的資訊基於運行版本2.0.1的CTB代理節點。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
CTB代理節點有一個名為ctb-pcap的工具,用於從Broker節點的遙測介面執行網路捕獲。請注意,此工具在CTB管理器節點上不可用。
使用命令ctb-pcap,之前,請確保首先使用命令root切換到使用者sudo su。此工具僅對使用者可用root。
要檢視此工具的可用選項,請在ctb-pcap --helpBroker節點的CLI上運行命令。此圖顯示了選項的完整清單:
CTB資料包捕獲工具的所有可用選項
如輸出所示,需要捕獲的資料包數、持續時間(秒)和資料包捕獲輸出檔名。此外,必須在命令中指定資料包型別,即已接收、已傳送或已丟棄的資料包。
您可以使用下一個語法作為packet capture命令的基礎,該命令已指定捕獲的資料包數量、資料包捕獲的持續時間和檔名,以及詳細選項和資料包型別:
ctb-pcap -V -n [number_pkts] -t [duration] -o [filename] [rx/tx/drop]
驗證
例如,您可以使用冗餘選項100個資料包(30秒)執行資料包捕獲,按接收資料包的源10.10.10.10進行過濾,然後使用名稱儲存輸received_packets.pcap出。
執行此類資料包捕獲的命令為:
ctb-pcap -V -n 100 -t 120 -s 10.10.10.10 -o received_packets.pcap rx
在Broker節點的CLI中輸入命令,資料包捕獲即開始。資料包捕獲完成後,檔案將自動儲存到目/var/lib/titan/pcap/錄。
以下是packet capture命令詳細輸出的範例:
示例命令的詳細輸出
請注意,對於資料包選項的持續時間和數量,第一個選項會停止資料包捕獲。(例如,即使尚未完成三十個持續時間,仍捕獲了總共100個資料包,則資料包捕獲將停止。在此範例中,首先到達三十秒的持續時間,因此只擷取66個封包。)
生成資料包捕獲後,使用SCP或SFTP將檔案傳輸到本地電腦。如果使用SFTP,請輸入管理員憑據以連線到裝置。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
06-Feb-2024 |
初始版本 |
意見