Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Introducción a la captura de paquetes

 

La captura de paquetes es una herramienta que ayuda a analizar el tráfico de red y solucionar problemas de red. La herramienta de captura de paquetes captura paquetes de datos en tiempo real que viajan a través de la red para supervisión y registro.

Nota

La captura de paquetes se admite en interfaces físicas, interfaces de Reth e interfaces de túnel, como gr, IP, st0 y LSQ-/LS.

Los paquetes se capturan como datos binarios, sin modificación. Puede leer la información del paquete sin conexión con un analizador de paquetes, como Ethereal o tcpdump. Si necesita capturar rápidamente los paquetes destinados o originados desde, el motor de enrutamiento y analizarlos en línea, puede usar la herramienta de diagnóstico J-web Packet Capture Diagnostic.

Nota

La herramienta de captura de paquetes no admite la captura de paquetes IPv6.

Puede usar tanto el editor de configuración de J-web como el editor de configuración de la CLI para configurar capturas de paquetes.

Los administradores de red y los ingenieros de seguridad utilizan la captura de paquetes para llevar a cabo las tareas siguientes:

  • Supervisar el tráfico de red y analizar los patrones de tráfico.

  • Identificar y solucionar problemas de red.

  • Detectar infracciones de seguridad en la red, como intrusiones no autorizadas, actividades del software espía o análisis de ping.

La captura de paquetes funciona como la muestra de tráfico en el dispositivo, excepto que captura paquetes enteros que incluyen el encabezado de capa 2 y guarda el contenido en un archivo en formato libpcap. La captura de paquetes también captura fragmentos IP. No puede activar la captura de paquetes y la muestra de tráfico en el dispositivo al mismo tiempo. A diferencia del tráfico de muestreo, no hay operaciones de traza para la captura de paquetes.

Nota

Puede activar la captura de paquetes y el reflejo de puertos simultáneamente en un dispositivo.

Esta sección contiene los siguientes temas:

Captura de paquetes en interfaces de dispositivos

La captura de paquetes es compatible con las interfaces T1, T3, E1, E3, serial, Fast Ethernet, ADSL, G. SHDSL, PPPoE e ISDN (RDSI).

Para capturar paquetes en una interfaz ISDN (RDSI), configure captura de paquetes en la interfaz de marcador. Para capturar paquetes en una interfaz PPPoE, configure captura de paquetes en la interfaz lógicaPPPoE.

La captura de paquetes admite los encapsulamientos PPP, HDLC Cisco, Frame Relay y otras comparaciones ATM. La captura de paquetes también es compatible con PPP de multivínculo (MLPPP), encapsulación de trama multivínculo múltiple extremo a extremo (MLFR) y multivínculo multiframe Relay de uniNNI (MFR).

Puede capturar todos los paquetes IPv4 que fluyen en una interfaz en la dirección de entrada o salida. Sin embargo, en el tráfico que omite el módulo de software de flujo (paquetes de protocolos tales como ARP, OSPF y PIM), no se capturan los paquetes generados por el motor de enrutamiento a menos que haya configurado y aplicado un filtro de Firewall en la interfaz de la salida Dirección.

Las interfaces de túnel solo pueden admitir captura de paquetes en la dirección de salida.

Utilice el editor de configuración J-web o el editor de configuración de la CLI para especificar el tamaño máximo de paquete, el nombre de archivo que se utilizará para almacenar los paquetes capturados, el tamaño máximo de los archivos, el número máximo de archivos de captura de paquetes y los permisos de archivo.

Nota

Para paquetes capturados en las interfaces T1, T3, E1, E3, serial e ISDN (RDSI) en la dirección saliente (salida), el tamaño del paquete capturado puede ser un byte inferior al tamaño máximo de paquete configurado debido al bit de prioridad de pérdida de paquetes (PLP).

Para modificar la encapsulación en una interfaz que tiene configurada la captura de paquetes, primero debe deshabilitar la captura de paquetes.

Filtros de Firewall para capturas de paquetes

Cuando se habilita la captura de paquetes en un dispositivo, todos los paquetes que fluyen en la dirección especificada en configuración de captura de paquetes (entrante, saliente o ambos) se capturan y almacenan. La configuración de una interfaz para capturar todos los paquetes puede degradar el rendimiento del dispositivo. Puede controlar el número de paquetes capturados en una interfaz con filtros del cortafuegos y especificar varios criterios para capturar paquetes de flujos de tráfico específicos.

También debe configurar y aplicar los filtros de cortafuegos adecuados en la interfaz si necesita capturar los paquetes generados por el dispositivo host, ya que el muestreo de la interfaz no captura los paquetes que se originan en el dispositivo host.

Archivos de captura de paquetes

Cuando la captura de paquetes está habilitada en una interfaz, todo el paquete , incluido el encabezado de capa 2, se captura y almacena en un archivo. Puede especificar el tamaño máximo del paquete que se va a capturar, hasta 1500 bytes. La captura de paquetes crea un archivo por cada interfaz física. Puede especificar el nombre de archivo de destino, su tamaño máximo y el número máximo de archivos.

La creación y almacenamiento de archivos se realizan de la siguiente manera. Suponga que denomina el archivo de captura de paquetes pcap-file. La captura de paquetes crea varios archivos (uno por cada interfaz física), con un sufijo para cada archivo con el nombre de la interfaz física; por ejemplo, pcap-file.fe-0.0.1 para la interfaz Fast Ethernet fe-0.0.1. Cuando el archivo denominado pcap-file.fe-0.0.1 alcance el tamaño máximo, se cambiará el nombre del archivo pcap-file.fe-0.0.1.0. Cuando el archivo denominado pcap-file.fe-0.0.1 vuelve a alcanzar el tamaño máximo, el archivo denominado pcap-file.fe-0.0.1.0 se cambia de nombre pcap-file.fe-0.0.1.1 y pcap-file.fe-0.0.1 se cambia de nombre pcap-file.fe-0.0.1.0. Este proceso continúa hasta que se sobrepasa el número máximo de archivos y se sobrescribe el más antiguo. El servicio pcap-file.fe-0.0.1 archivo siempre es el archivo más reciente.

Los archivos de captura de paquetes no se quitan ni siquiera después de haber deshabilitado la captura de paquetes en una interfaz.

Análisis de los archivos de captura de paquetes

Los archivos de captura de paquetes se almacenan en /var/tmp formato libpcap en el directorio. Puede especificar privilegios de usuario o de administrador para los archivos.

Los archivos de captura de paquetes se pueden abrir y analizar sin conexión con tcpdump o cualquier analizador de paquetes que reconozca el formato libpcap. También puede usar FTP o el protocolo de control de sesión (SCP) para transferir los archivos de captura de paquetes a un dispositivo externo.

Nota

Deshabilite la captura de paquetes antes de abrir el archivo para analizar o transferir el archivo a un dispositivo externo con FTP o SCP. Al deshabilitar la captura de paquetes se garantiza que se vacía el búfer de archivos interno y que todos los paquetes capturados se escriben en el archivo.