Capturas de tráfico con la nueva Cisco IOS 12.4(20)T

A la hora de resolver problemas de red muchas veces es preciso realizar una captura de tráfico para ver qué es lo que está pasando. Para ello disponemos de herramientas como tcpdump, windump o Wireshark (antes Ethereal), pero no siempre es posible o práctico desplegar un portátil con estas herramientas en los entornos problemáticos, sobre todo cuando estamos resolviendo el problema "a distancia", que es lo más frecuente, aparte del engorro que supone pinchar una red conmutada.

Hasta ahora en los routers Cisco podíamos recurrir al debug ip packet pero, como pasa con muchos debugs de IOS, ahí te juegas el dejar colgado el router ya que los debug en general (y este en concreto) cargan mucho la CPU del router, y ya no digo nada si le metes un "detail"...

Router# debug ip packet detail 
IP packet debugging is on (detailed)
001556: 19:59:30: CEF: Try to CEF switch 10.4.9.151 from FastEthernet0/0
001557: 19:59:30: IP: s=10.4.9.6 (FastEthernet0/0), d=10.4.9.151 (FastEthernet03
001558: 19:59:30:     TCP src=179, dst=11001, seq=3736598846, ack=2885081910, wH
001559: 20:00:09: CEF: Try to CEF switch 10.4.9.151 from FastEthernet0/0
001560: 20:00:09: IP: s=10.4.9.4 (FastEthernet0/0), d=10.4.9.151 (FastEthernet03
001561: 20:00:09:     TCP src=179, dst=11000, seq=163035693, ack=2948141027, wiH
001562: 20:00:14: CEF: Try to CEF switch 10.4.9.151 from FastEthernet0/0
001563: 20:00:14: IP: s=10.4.9.6 (FastEthernet0/0), d=10.4.9.151 (FastEthernet03
001564: 20:00:14:     ICMP type=8, code=0
001565: 20:00:14: IP: s=10.4.9.151 (local), d=10.4.9.6 (FastEthernet0/0), len 1g
001566: 20:00:14:     ICMP type=0, code=0

... o un "dump". Niños, no hagais esto en casa. Creedme, es muy, muy fácil tostar un router con este comando (ah, para quitarlo, unde all, si es preciso meterlo a ciegas. Yo no quiero saber nada :-)

Router# debug ip packet dump
IP packet debugging is on (detailed) (dump)
21:02:42: IP: s=10.4.9.6 (FastEthernet0/0), d=10.4.9.4 (FastEthernet0/0), len 13
07003A00:                       0005 00509C08            ...P..
07003A10: 0007855B 4DC00800 45000064 001E0000  ...[M@..E..d....
07003A20: FE019669 0A040906 0A040904 0800CF7C  ~..i..........O|
07003A30: 0D052678 00000000 0A0B7145 ABCDABCD  ..&x......qE+M+M
07003A40: ABCDABCD ABCDABCD ABCDABCD ABCDABCD  +M+M+M+M+M+M+M+M
07003A50: ABCDABCD ABCDABCD ABCDABCD ABCDABCD  +M+M+M+M+M+M+M+M
07003A60: ABCDABCD ABCDABCD ABCDABCD ABCDABCD  +M+M+M+M+M+M+M+M
07003A70: ABCDABCD ABCDABCD ABCDABCD           +M+M+M+M+M+M

Pues bien, Cisco ha liberado recientemente la versión IOS 12.4(20)T con muchas características nuevas, y entre ellas destaca la capacidad de realizar capturas de tráfico como la que ya existe para los PIX/ASA. El uso es como sigue: primero se define un buffer de captura (tamaño, tipo) ...
Router# monitor capture buffer mycapture size 128 max-size 128 circular

... luego un punto de captura ...
Router# monitor capture point ip cef mipuntodecaptura fastEthernet 0/1 both

... se asocian entre sí buffer y punto de captura ...
Router# monitor cap point associate mipuntodecaptura micaptura

.. y se puede ver la captura bien por consola ...
Router# show monitor capture buffer micaptura dump

... o exportarla en formato PCAP vía ftp, scp, http, https ó rcp
Router# monitor capture buffer micaptura export [location]

Otras novedades de la 12.4(20)T son el agrupamiento de objetos (Object Grouping), que permiten crear objetos con atributos como la IP y el puerto para usarlos en listas de acceso, haciendolas más legibles y facilitando la abstracción, el filtrado de contenidos a nivel IOS (Embedded Content Filtering) que ofrece protección nativa contra ataques URL, spyware, malware y phishing usando la base de datos de Trend Micro, mejoras de la Inspección SIP que previene el secuestro de llamadas VoIP así como ciertos tipos de ataques DoS y muchas otras nuevas características.

Fuente: NetworkWorld y Cisco vía Netcordia. Quiero apuntarme a este blog. (¿RSS?).