Este documento muestra el procedimiento para tomar capturas de paquetes en el Cisco Unified Communications Manager (CUCM). Esta forma de tomar capturas o también llamado sniffers, se utiliza para tomar los paquetes que salen y entran a la interfaz de red del CUCM.
1. Iniciar la captura
Para iniciar la captura, se necesita iniciar una sesión de SSH al servidor de CUCM, y utilizar el usuario de administración de la plataforma:
1a. Comando de inicio de captura:
El comando para iniciar la captura es "utils network capture":
Syntax:
utils network capture [options]
options optional
page,numeric,file fname,count num,size bytes,src addr,dest addr,port
num,host protocol addroptions are:
page
- pause output
numeric - show hosts as dotted IP
addresses
file fname - output the information to a file
Note: The file will be saved in platform/cli/fname.cap
fname should not contain the "." character
count num - a
count of the number of packets to capture
Note: The maximum count
for the screen is 1000, for a file is 100000
size bytes -
the number of bytes of the packet to capture
Note: The maximum
number of bytes for the screen is 128
For a file it can be
any number or ALL
src addr - the source address of the
packet as a host name or IPV4 address
dest addr - the
destination address of the packet as a host name or IPV4 address
port
num - the port number of the packet (either src or dest)
host
protocol addr - the protocol should be one of the following:
ip/arp/rarp/all. The host address of the packet as a host name or IPV4
address. This option will display all packets to and fro that address.
Note: If "host" is provided, do not provide "src" or "dest"
1b. Capturar el trafico
Por lo general, se necesitan capturar todos los paquetes, para todos los tamaños de paquetes, e incluyendo todas las direcciones IP en la captura. Esta captura se guarda en un archivo llamado "packets.cap". Para realizar esto, se puede utilizar el comando:
utils network capture eth0 file packets count 100000 size all
1c. Captura basa en numero de puerto
Si se desea realizar la captura en un puerto especifico, se puede usar el siguiente ejemplo. En este ejemplo, se realiza la captura en el puerto 8500 usando la opción de "port":
1d. Capturas basadas en direcciones IP especificas
Para realizar la captura de paquetes desde y hacia una dirección IP en especifico, se necesita utilizar la opción de "host" para filtrar los paquetes que contengan esa dirección IP como fuente o destino de los paquetes:
2. Reproducir el problema, síntoma o condición:
Una vez que se inicia la captura, se debe reproducir el problema en el que se esta trabajando. Cuando se trabaja con problemas intermitentes, es muy frecuente que se necesite dejar la captura corriendo durante lapsos de tiempo extendidos. Cuando se deja la captura corriendo durante un lapso extendido de tiempo, la captura se detiene automáticamente cuando el buffer se llena. En este punto lo que se debe de hacer es volver a iniciar la captura, y cuando se reinicia la captura, el sistema automáticamente le cambia el nombre a la captura anterior y le agrega un identificador numérico al final del nombre. Si se desea capturar paquetes sin estar reiniciando la captura, se debe de hacer por otros medios, como una captura utilizando una sesión de "monitor" (SPAN/RSPAN) en un switch.
3. Detener la captura
Para detener la captura, se debe presionar Ctrl + C. Esta secuencia va a detener la captura de paquetes y va a agregar lo que se haya capturado al archivo de captura.
Una vez que esto esta completo, la captura se va a guardar en el servidor donde se realizo la captura en la ubicación "activelog platform/cli/"
4. Como recolectar la captura del servidor
El ultimo paso es la de recolección de la captura. Los archivos con las capturas se guardan en la ubicación "activelog platform/cli/". Los archivos se pueden descargar del servidor por medio de CLI hacia un servidor de SFTP o también a una PC utilizando la herramienta de Real Time Monitoring Tool (RTMT).
4a. Transferir los archivos utilizando un servidor de SFTP
Se utiliza el comando "file get activelog platform/cli/packets.cap" para enviar las capturas al servidor.
De forma alternativa, se pueden transferir todos los archivos .cap guardados en el servidor utilizando el comando:
file get activelog platform/cli/*.cap
Luego de esto, se debe de introducir la información del servidor donde se desea enviar la captura:
Luego de esto, se va a ver una confirmación en la pantalla si la transferencia fue exitosa.
4b. Transferir la captura a una PC utilizando el Real Time Monitoring Tool (RTMT)
Esta opción no esta disponible versiones de CUCM 5.x anteriores a la 5.1(1), o en versiones 6.x anteriores a la 6.1(2). Para mas detalles de esta limitación, se puede ver los defectos CSCsg13820 y CSCsm76349.
Ejecutar el RTMT. Esta herramienta se puede descargar desde la pagina de administracion de CUCM en el menu Applications->Plugins.
En el RTMT, haga click sobre "System", luego en "Trace & Log Central", luego doble-click en "Collect Files". Haga click en "Next" en el primer menu.
En el segundo menú, seleccione la casilla "Packet Capture Logs" en el servidor donde se realizo la captura, luego haga click en "Next".
Finalmente, seleccione un rango de tiempo que contenga el tiempo en el que se realizo la captura y un directorio destino donde se guardarán los archivos a descargar:
Esta ventana se va a cerrar automáticamente y va a proceder con la recolección de la captura realizada.
Fuente: