dr Tr0jan Posted June 6, 2016 Posted June 6, 2016 Есть задача сниффать траффик с Tunnel интерфейса на кошке ISR G1 (положим, 3845 на 12.4(24)T6). ISR SPAN с туннелей не умеет, посему решил попробовать относительно новую технологию Embedded Packet Capture. Установил точку захвата на туннеле в обе стороны: monitor capture point ip cef CAPTURE Tunnel0 both Установил аксесс-лист на буфер: ip access-list extended TMP-ACL permit ip any any monitor capture buffer BUFFER filter access-list TMP-ACL Связал буфер с точкой захвата и начал сниффать. Однако в дампе почему-то обнаруживаю только входящий траффик на интерфейсе. Исходящего траффика в дампе нет (хотя на самом деле он существует). Если вешаю мониторинг входящего траффика на противоположном интерфейсе маршрутизатора - то в дамп весь траффик попадает. Но мне необходимо сниффать весь траффик снаружи маршрутизатора (чтобы исключить влияние фаерволла). В чём может быть проблема? Вставить ник Quote
VPN Posted June 6, 2016 Posted June 6, 2016 А какой туннель используется? GRE или IP-IP? Там были какие-то проблемы с VTI туннелями, может уже и пофиксили, но надо будет смотреть уже release notes. Вставить ник Quote
dr Tr0jan Posted June 6, 2016 Author Posted June 6, 2016 (edited) VPN, просто GRE, не VTI. Хотя IPSec есть (transport mode), manual, без IKE. На противоположном интерфейсе (пусть будет GigabitEthernet0/0.148) сниффается тоже только входящий траффик. Edited June 7, 2016 by dr Tr0jan Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.