MiniProtocol Analyzer (MPA)
Mini Protocol Analyzer从SPAN(端口镜像)中抓取流量,并将抓取的数据包存储在本地的buffer中。
可以使用VLAN, ACL, MAC地址作为filter对抓取的数据包进行过滤.
抓取的数据包,可以直接在交换机上进行浏览, 也可以将抓包文件导出到PC上通过wireshark浏览.
默认, 数据包存储在buffer中为linear类型(当buffer填满了, 则停止抓包), 可以调整为circular 类型(当buffer填满了, 会覆盖掉早先的抓包结果,继续进行抓包.)默认, 只有数据包的前68 Byte会被抓取.(可以通过命令行调整)
每次抓包, 只能支持一个抓包的session. 通过命令行来开启和停止抓包.
支持MPA的IOS版本和硬件平台:Cat6K-Sup720 / VS-S720 è 12.2SXI
Cat6K-Sup2T è12.2SY / 15.0SY
Cisco 7600 series è 12.2 SRD / 12.2 SRE / 15.0S /15.1S / 15.2S
配置方法:
C6K#config t
C6K(config)#monitor session 1 type capture //配置SPAN时, type为capture
C6K(config-mon-capture)#sourcevlan 10, 12-13 //指定抓包源, 可以是物理口,port-channel, VLAN. 默认抓取双向流量
C6K(config-mon-capture)#filteraccess-group MYACL // 挂ACL,对数据包进行过滤
C6K(config-mon-capture)#end
C6K#
C6K#monitor capture buffer size 1000length 128 linear //指定buffer size, 抓取的包长度 和 填满buffer时的类型
C6K#monitor capture start for 10000packet //开始抓10000个包
C6K#monitor capture stop //手动停止抓包(如果需要)
C6K#show monitor capture buffer ?
<1-4294967295> start index
acl filter output ofcaptured Packets //在浏览buffer内数据包时,可以挂ACL进行过滤
brief Brief output ofcaptured Packets
detail Detailed output ofcaptured Packets
dump Hex Dump ofcaptured Packets
| Output modifiers
C6K# show monitor capture buffer brief //浏览buffer中数据包的简要信息
1 IP: s=10.0.10.72 , d=10.62.12.10, len 46
2 IP: s=10.0.10.72 , d=10.62.12.10, len 46
C6K# show monitor capture buffer detail //浏览buffer中数据包的详细信息
1 Arrival time : 14:19:04.520 UTC Mon Apr15 2013
PacketLength : 60 , Capture Length : 60
EthernetII : 0000.0c9f.f00a 0000.0000.000a 0800
IP:s=10.0.10.72 , d=10.62.12.10,len 46
TCPsrc=8963, dst=2000, seq=44303, ack=16301, win=0
C6K# monitor capture export bufferbootflash:my_capture.pcap //将buffer中的数据转换为pcap文件.
Copying capture buffer of session[1] to location bootflash:my_capture.pcap
CCCCCCCCCCCCCCCCC
========================
========================