dr Tr0jan Posted June 6, 2016 Есть задача сниффать траффик с Tunnel интерфейса на кошке ISR G1 (положим, 3845 на 12.4(24)T6). ISR SPAN с туннелей не умеет, посему решил попробовать относительно новую технологию Embedded Packet Capture. Установил точку захвата на туннеле в обе стороны: monitor capture point ip cef CAPTURE Tunnel0 both Установил аксесс-лист на буфер: ip access-list extended TMP-ACL permit ip any any monitor capture buffer BUFFER filter access-list TMP-ACL Связал буфер с точкой захвата и начал сниффать. Однако в дампе почему-то обнаруживаю только входящий траффик на интерфейсе. Исходящего траффика в дампе нет (хотя на самом деле он существует). Если вешаю мониторинг входящего траффика на противоположном интерфейсе маршрутизатора - то в дамп весь траффик попадает. Но мне необходимо сниффать весь траффик снаружи маршрутизатора (чтобы исключить влияние фаерволла). В чём может быть проблема? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VPN Posted June 6, 2016 А какой туннель используется? GRE или IP-IP? Там были какие-то проблемы с VTI туннелями, может уже и пофиксили, но надо будет смотреть уже release notes. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dr Tr0jan Posted June 6, 2016 (edited) VPN, просто GRE, не VTI. Хотя IPSec есть (transport mode), manual, без IKE. На противоположном интерфейсе (пусть будет GigabitEthernet0/0.148) сниффается тоже только входящий траффик. Edited June 7, 2016 by dr Tr0jan Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted June 8, 2016 попробуй снифать CPU Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
