3
Sniffen auf Cisco Nexus 3000
Hallo,
meine Erfahrung was sniffen auf Cisco Geräten angeht ist leider enden wollend.
Bei meinem Versuch dies auf unseren Cisco Nexus (Nexus 3000 System Version 6.0 (2) U6 (8)) zu machen scheitere ich komplett.
Leider durchblicke ich die Infos welche in finde nicht komplett. Ich will z.B.: jeden Traffic anzeigen welche am Port Eth1/47 von 8.8.8.8 kommt.
Wenn ich versuche dies mittels ethanlyzer zu machen ist mein erstes Problem das ich nicht weiß was ich als Interface eingeben soll. inband habe ich leider nicht zur Auswahl:
Wenn ich als interface inbound-hi angebe scheint er auf eth4 zu hören
Inbound-low führ zu eth3 und mgmt zu eth0
Wenn ich versuche mittels ACL zu beschränken was gelogt wird ändert dies leider nichts.
Hat jemand eine Idee wo mein Fehler liegt und kann mir sagen wie ich es schaffe?
Auf ein port mirroring will ich eigentlich verzichten.
Besten Dank
lg
meine Erfahrung was sniffen auf Cisco Geräten angeht ist leider enden wollend.
Bei meinem Versuch dies auf unseren Cisco Nexus (Nexus 3000 System Version 6.0 (2) U6 (8)) zu machen scheitere ich komplett.
Leider durchblicke ich die Infos welche in finde nicht komplett. Ich will z.B.: jeden Traffic anzeigen welche am Port Eth1/47 von 8.8.8.8 kommt.
Wenn ich versuche dies mittels ethanlyzer zu machen ist mein erstes Problem das ich nicht weiß was ich als Interface eingeben soll. inband habe ich leider nicht zur Auswahl:
N3K-02# ethanalyzer local interface ?
inbound-hi Inbound(high priority) interface
inbound-low Inbound(low priority) interface
mgmt Management interfaceWenn ich als interface inbound-hi angebe scheint er auf eth4 zu hören
N3K-02# ethanalyzer local interface inbound-hi capture-filter "host 8.8.8.8"
Capturing on 'eth4' Inbound-low führ zu eth3 und mgmt zu eth0
Wenn ich versuche mittels ACL zu beschränken was gelogt wird ändert dies leider nichts.
ip access-list CAPTURE-1
10 permit ip 8.8.8.8/32 any log
20 permit ip any any
interface Vlan571
ip access-group CAPTURE-1 in
interface Ethernet1/47
description "****"
switchport access vlan 571Hat jemand eine Idee wo mein Fehler liegt und kann mir sagen wie ich es schaffe?
Auf ein port mirroring will ich eigentlich verzichten.
Besten Dank
lg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 335571
Url: https://administrator.de/contentid/335571
Ausgedruckt am: 23.11.2024 um 05:11 Uhr
3 Kommentare
Neuester Kommentar
Das hast du zu dem Thema gelesen ?
https://supportforums.cisco.com/document/132151/using-ethanalyzer-nexus- ...
Soweit sieht das ja alles richtig aus und sollte klappen. Hast du mal einen Kurzcapture versuchet direkt auf dem CLI mit:
ethanalyzer local interface inband brief capture-filter "google ip" limit-cap 10
Vermeide mal IP Adressen im Namen.
Ansonsten kannst du bei dir von einem Bug im NX-OS ausgehen und dann ist das ein Fall für das Cisco TAC.
https://supportforums.cisco.com/document/132151/using-ethanalyzer-nexus- ...
Soweit sieht das ja alles richtig aus und sollte klappen. Hast du mal einen Kurzcapture versuchet direkt auf dem CLI mit:
ethanalyzer local interface inband brief capture-filter "google ip" limit-cap 10
Vermeide mal IP Adressen im Namen.
Ansonsten kannst du bei dir von einem Bug im NX-OS ausgehen und dann ist das ein Fall für das Cisco TAC.
Danke erstmal
Klar
aber 100% schlau geworden bin ich dadurch auch nicht
Bei einem Access Port kann ich aber keine ACL zuweisen und wenn ich die ACL dem VLAN zuweise ändert dies an meinem Problem nichts
inband steht mir leider als Interface nicht zur Verfügung. (siehe Foto)
Cisco werde nich notfalls natürlich auch kontaktiren aber ich hoffe noch dass ich so unbürokratisch zu einer Lösung komme.
Klar
aber 100% schlau geworden bin ich dadurch auch nicht
Bei einem Access Port kann ich aber keine ACL zuweisen und wenn ich die ACL dem VLAN zuweise ändert dies an meinem Problem nichts
N3K-02(config)# interface Ethernet 1/47
N3K-02(config-if)# ip access-group CAPTURE-EGD in
ERROR: This access-list cannot be configured when the port is a switchport or a
port-channel member. For port-channel members please apply the access-list on
port-channel interface.inband steht mir leider als Interface nicht zur Verfügung. (siehe Foto)
Cisco werde nich notfalls natürlich auch kontaktiren aber ich hoffe noch dass ich so unbürokratisch zu einer Lösung komme.
Sollte auch inbound-hi sein.
Nur komisch das deine Interface Bezeichnung mit dem Manual da kollidiert. Nicht das das wieder eine der zusätzlichen Cisco Lizenzen ist die extra kosten
Nur komisch das deine Interface Bezeichnung mit dem Manual da kollidiert. Nicht das das wieder eine der zusätzlichen Cisco Lizenzen ist die extra kosten
