dr Tr0jan Posted June 6, 2016 · Report post Есть задача сниффать траффик с Tunnel интерфейса на кошке ISR G1 (положим, 3845 на 12.4(24)T6). ISR SPAN с туннелей не умеет, посему решил попробовать относительно новую технологию Embedded Packet Capture. Установил точку захвата на туннеле в обе стороны: monitor capture point ip cef CAPTURE Tunnel0 both Установил аксесс-лист на буфер: ip access-list extended TMP-ACL permit ip any any monitor capture buffer BUFFER filter access-list TMP-ACL Связал буфер с точкой захвата и начал сниффать. Однако в дампе почему-то обнаруживаю только входящий траффик на интерфейсе. Исходящего траффика в дампе нет (хотя на самом деле он существует). Если вешаю мониторинг входящего траффика на противоположном интерфейсе маршрутизатора - то в дамп весь траффик попадает. Но мне необходимо сниффать весь траффик снаружи маршрутизатора (чтобы исключить влияние фаерволла). В чём может быть проблема? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VPN Posted June 6, 2016 · Report post А какой туннель используется? GRE или IP-IP? Там были какие-то проблемы с VTI туннелями, может уже и пофиксили, но надо будет смотреть уже release notes. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dr Tr0jan Posted June 6, 2016 (edited) · Report post VPN, просто GRE, не VTI. Хотя IPSec есть (transport mode), manual, без IKE. На противоположном интерфейсе (пусть будет GigabitEthernet0/0.148) сниффается тоже только входящий траффик. Edited June 7, 2016 by dr Tr0jan Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted June 8, 2016 · Report post попробуй снифать CPU Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...