https://www.opennet.me/openforum/vsluhforumID3/39106.html 1. Cisco PIX/ASA<br><br>ciscoasa(config)#access-list inside_test permit icmp any host 192.168.1.1<br>ciscoasa(config)#capture inside_interface access-list inside_test interface inside<br> The user pings the inside interface of the ASA (ping 192.168.1.1). This output is displayed.<br>ciscoasa#show capture inside_interface<br> 1: 13:04:06.284897 192.168.1.50 &gt; 192.168.1.1: icmp: echo request<br><br><br>2. Cisco router<br><br>Создаем ip access-list которым будем "ловить" интересующий нас трафик.<br><br> routerA(conf)# access-list 111 permit ip 10.10.10.0 0.0.0.255 10.10.15.0 0.0.0.255<br> routerA(conf)# access-list 111 permit ip 10.10.15.0 0.0.0.255 10.10.10.0 0.0.0.255<br><br>Запускаем команду на выполнение и смотрим результат:<br><br> routerA# debug ip packet 111 detail<br><br> IP packet debugging is on (detailed) for access list 111<br><br> Mar 1 00:10:32.975: IP: tableid=0, s=10.10.10.5 (FastEthernet0/0), d=10.10.15.1 (Serial2/0), routed via FIB<br><br>Это решение не работает с fast-switching (ip route-cache). <br><br><br>URL: http://techoover https://www.opennet.me/openforum/vsluhforumID3/39106.html#10 Fri, 12 Feb 2010 08:01:00 GMT no logging console крайне желательно сначала<br><br>debug ip packet 111 dump (скрытая команда)<br>подобно tcpdump -XX в линукс<br> https://www.opennet.me/openforum/vsluhforumID3/39106.html#9 Thu, 15 Oct 2009 06:44:46 GMT Потому что в консоль пишет. <br><br>terminal monitor поможет.<br> https://www.opennet.me/openforum/vsluhforumID3/39106.html#8 Thu, 08 Oct 2009 12:39:18 GMT Попробовал на Cisco 851 (по ssh) - получил сообщение IP packet debugging is on, но самих пакетов не увидел. При этом циска стала вести себя задумчивей, чем обычно - очевидно, куда-то она эти пакеты все-таки записывает.<br><br>Вопрос: что не так и как посмотреть информацию о пакетах?<br> https://www.opennet.me/openforum/vsluhforumID3/39106.html#7 Sun, 09 Dec 2007 16:54:13 GMT а реально на cisco сделать аналог arping ?<br> https://www.opennet.me/openforum/vsluhforumID3/39106.html#6 Mon, 03 Dec 2007 14:11:43 GMT можно было бы сдлеать так:<br>access-list 111 permit ip 10.10.15.0 0.0.0.255 10.10.10.0 0.0.0.255 log<br><br> https://www.opennet.me/openforum/vsluhforumID3/39106.html#5 Mon, 03 Dec 2007 09:25:54 GMT &gt;мне показалось что вы советуете создавать специальный acl для этого. <br><br>) нет, тот аcl который указывается в комманде dump он никак на трафик не влияет, этот acl только указывает для какиех пакетов выводить информацию на экран<br> https://www.opennet.me/openforum/vsluhforumID3/39106.html#4 Mon, 03 Dec 2007 07:12:33 GMT мне показалось что вы советуете создавать специальный acl для этого.<br> https://www.opennet.me/openforum/vsluhforumID3/39106.html#3 Mon, 03 Dec 2007 06:31:22 GMT &gt;при этом циска перестанет работать как файрвол... <br><br>а можете более подробно пояснить?<br><br>R1---R2--R3<br><br>с R1 пингуем R3<br><br>до применения ACL<br><br>Rack1R1#ping 149.1.123.2<br><br>Type escape sequence to abort.<br>Sending 5, 100-byte ICMP Echos to 149.1.123.2, timeout is 2 seconds:<br>!!!!!<br>Success rate is 100 percent (5/5), round-trip min/avg/max = 20/36/60 ms <br><br>после ACL<br><br>Rack1R1#ping 149.1.123.2<br><br>Type escape sequence to abort.<br>Sending 5, 100-byte ICMP Echos to 149.1.123.2, timeout is 2 seconds:<br>U.U.U<br>Success rate is 0 percent (0/5) <br><br><br>Включил дапм на R2<br><br>Rack1R1#ping 149.1.123.2<br><br>Type escape sequence to abort.<br>Sending 5, 100-byte ICMP Echos to 149.1.123.2, timeout is 2 seconds:<br>U.U.U<br>Success rate is 0 percent (0/5) <br><br> https://www.opennet.me/openforum/vsluhforumID3/39106.html#2 Mon, 03 Dec 2007 05:47:59 GMT при этом циска перестанет работать как файрвол...<br>