Packet Capture auf IOS XE (Embedded Packet Capture): Expert-Workflow

Embedded Packet Capture (EPC) auf IOS XE ist ein leistungsfähiges Troubleshooting-Tool, um Traffic direkt auf dem Router mitzuschneiden – ohne externen Tap oder SPAN am Switch. Der Vorteil: Du kannst präzise am relevanten Punkt (Ingress/Egress, Tunnel, Subinterface) sehen, ob Pakete ankommen, wie sie aussehen (Header/Flags) und ob sie den Router überhaupt verlassen. Der Schlüssel zu einem „Expert-Workflow“ ist Disziplin: eng filtern, kurz capturen, Ressourcen schützen und sauber exportieren (PCAP) für Wireshark.

Wann EPC besser ist als „debug“

Debug-Ausgaben sind textbasiert, oft laut und können CPU belasten. EPC zeigt echte Pakete und ist dadurch häufig die schnellste Wahrheit – besonders bei NAT, MTU, VPN, TCP-Handshake und asymmetrischen Problemen.

• TCP-Handshake-Probleme (SYN/SYN-ACK fehlt)
• NAT/Port-Forwarding (Inside vs. Outside Sicht)
• IPsec/GRE/DMVPN (Encapsulation sichtbar)
• MTU/Fragmentierung/PMTUD (DF, ICMP Frag Needed)
• Routing/Policy: „kommt rein, geht nicht raus“

Safety First: Capture ohne Netz-Ausfall

EPC ist sicherer als viele Debugs, aber nicht „kostenlos“. Du begrenzt daher immer Umfang, Dauer und Speicher. Standardregel: Filter zuerst, dann capture, dann sofort stoppen und exportieren.

• Immer mit ACL filtern (nur relevante 5-Tuple)
• Begrenze Paketanzahl und Paketlänge
• Begrenze Capture-Dauer (manuell oder kurz testen)
• Capture danach entfernen (keine „vergessenen“ Captures)

Expert-Workflow: 7 Schritte von „Problem“ zu PCAP

Dieser Ablauf ist praxiserprobt und minimiert Risiko: du baust Filter, definierst Capture-Punkte, startest kurz, validierst, exportierst und räumst auf.

• Scope definieren: Quelle/Ziel/Port/Interface, Ingress/Egress
• ACL-Filter erstellen (so eng wie möglich)
• Capture Buffer definieren (size, circular)
• Capture Point anlegen (Interface + direction)
• Capture starten, reproduzieren, stoppen
• Capture prüfen (Stats/Peek) und als PCAP exportieren
• Cleanup: Capture Points/Buffer löschen

Step 1: Filter-ACL erstellen (präzise statt „any any“)

Ein guter Filter ist die halbe Diagnose. Für TCP nimmst du typischerweise Source/Destination + Port. Für UDP/VPN passt du entsprechend an. Nutze eine eigene ACL nur für EPC, damit du sie sauber entfernen kannst.

Beispiel: TCP 443 von Client 192.168.10.10 zu Server 203.0.113.10

ip access-list extended EPC_FILTER_HTTPS
 permit tcp host 192.168.10.10 host 203.0.113.10 eq 443
 permit tcp host 203.0.113.10 eq 443 host 192.168.10.10

Beispiel: IKE/IPsec (UDP 500/4500 + ESP) zu Peer

ip access-list extended EPC_FILTER_IPSEC
 permit udp host 198.51.100.2 host 203.0.113.2 eq 500
 permit udp host 198.51.100.2 host 203.0.113.2 eq 4500
 permit esp host 198.51.100.2 host 203.0.113.2

Step 2: Buffer definieren (Ressourcen kontrollieren)

Mit einem Circular Buffer verhinderst du, dass der Router endlos speichert. Begrenze außerdem die Paketgröße, wenn du nur Header brauchst (z. B. 256–512 Byte).

Beispiel: Buffer 10 MB, circular

monitor capture buffer EPC_BUF size 10 circular

Optional: Paketlänge begrenzen (Header-Fokus)

monitor capture buffer EPC_BUF size 10 circular max-size 512

Step 3: Capture Point anlegen (Interface + Richtung)

Der wichtigste Profi-Trick ist „zwei Punkte“: einen inbound und einen outbound Capture Point. So siehst du sofort, ob der Router forwardet oder intern droppt/policed. Wähle das Interface, an dem du die Wahrheit brauchst (WAN, LAN, Tunnel, Subinterface).

Beispiel: Ingress am LAN, Egress am WAN

monitor capture point ip cef EPC_IN gigabitEthernet0/0 both
monitor capture point ip cef EPC_OUT gigabitEthernet0/1 both

Hinweis zur Richtung

• in: Pakete kommen am Interface an
• out: Pakete verlassen das Interface
• both: hilfreich für schnelle Korrelation, aber mehr Daten

Step 4: Capture Point mit Buffer verknüpfen

Jetzt bindest du den Buffer an den Capture Point und hängst den ACL-Filter dran. Ohne Filter riskierst du unnötig viel Daten/Last.

Beispiel: Filter am Ingress und Egress aktivieren

monitor capture point associate EPC_IN EPC_BUF
monitor capture point associate EPC_OUT EPC_BUF
monitor capture point start EPC_IN
monitor capture point start EPC_OUT

ACL-Filter anwenden

monitor capture point ip cef EPC_IN gigabitEthernet0/0 both filter access-list EPC_FILTER_HTTPS
monitor capture point ip cef EPC_OUT gigabitEthernet0/1 both filter access-list EPC_FILTER_HTTPS

Step 5: Capture starten, reproduzieren, stoppen

Starte den Capture kurz, reproduziere das Problem (z. B. ein HTTP-Request, Ping, VPN-Rekey) und stoppe sofort. Das reduziert Datenmenge und macht die Analyse sauberer.

Start/Stop

monitor capture point start EPC_IN
monitor capture point start EPC_OUT
! Reproduktion (z. B. Client curl/ping)
monitor capture point stop EPC_IN
monitor capture point stop EPC_OUT

Step 6: Capture prüfen und exportieren (PCAP für Wireshark)

Bevor du exportierst, prüfe, ob Daten im Buffer sind und ob der Filter greift. Danach exportierst du als PCAP in den Flash und kopierst die Datei per SCP/TFTP ab.

Stats und Quick Peek

show monitor capture buffer EPC_BUF parameters
show monitor capture buffer EPC_BUF statistics
show monitor capture buffer EPC_BUF dump

Export als PCAP in Flash

monitor capture buffer EPC_BUF export flash:epc_capture.pcap

PCAP vom Router kopieren (SCP Beispiel)

copy flash:epc_capture.pcap scp:

Step 7: Cleanup (wichtig für Betrieb)

Vergessene Captures sind ein klassischer Betriebsfehler. Entferne Capture Points und Buffer, sobald du das PCAP hast.

no monitor capture point ip cef EPC_IN
no monitor capture point ip cef EPC_OUT
no monitor capture buffer EPC_BUF
no ip access-list extended EPC_FILTER_HTTPS

Profi-Patterns: So liest du das Ergebnis richtig

Die schnellste Diagnose ist der Vergleich zwischen Ingress und Egress. Daraus ergeben sich klare Schlussfolgerungen, bevor du tiefer in Wireshark gehst.

• Ingress ja, Egress nein: Router droppt/blocked (ACL/QoS/NAT/Route/CEF)
• Ingress nein: Problem liegt vor dem Router (Switch/Host/VLAN)
• Egress ja, Antwort fehlt: Rückweg/Firewall/Asymmetrie/Remote-Seite
• ICMP Frag Needed fehlt: PMTUD-Problem → MTU/MSS fix

Korrelations-Kommandos (wenn Ingress≠Egress)

show ip route <destination>
show ip cef <destination> detail
show ip access-lists
show policy-map interface <wan>
show ip nat translations

Typische Stolperfallen bei EPC

Die häufigsten Fehler sind zu breite Filter, falsches Interface oder falsche Richtung. Außerdem wird oft vergessen, dass VPN-Traffic je nach Capture-Punkt nur verschlüsselt sichtbar ist.

• Filter zu breit: Buffer läuft voll, Analyse wird unübersichtlich
• Falsches Interface: Capture am WAN, aber Problem ist im Tunnel
• Nur eine Richtung: du siehst nicht, ob der Router forwardet
• IPsec: am Outside siehst du ESP/UDP4500, nicht den Inner-Traffic

Quick-Template: EPC für TCP-Service (Copy & Paste)

Dieses Template ist ein sicherer Startpunkt für einen TCP-Diensttest mit zwei Interfaces. Ersetze IPs/Interfaces und Port.

ip access-list extended EPC_FILTER
 permit tcp host 192.168.10.10 host 203.0.113.10 eq 443
 permit tcp host 203.0.113.10 eq 443 host 192.168.10.10
monitor capture buffer EPC_BUF size 10 circular max-size 512
monitor capture point ip cef EPC_IN gigabitEthernet0/0 both filter access-list EPC_FILTER

monitor capture point ip cef EPC_OUT gigabitEthernet0/1 both filter access-list EPC_FILTER
monitor capture point associate EPC_IN EPC_BUF

monitor capture point associate EPC_OUT EPC_BUF
monitor capture point start EPC_IN

monitor capture point start EPC_OUT

! Reproduzieren

monitor capture point stop EPC_IN

monitor capture point stop EPC_OUT
monitor capture buffer EPC_BUF export flash:epc_capture.pcap

copy flash:epc_capture.pcap scp:
no monitor capture point ip cef EPC_IN

no monitor capture point ip cef EPC_OUT

no monitor capture buffer EPC_BUF

no ip access-list extended EPC_FILTER

Konfiguration speichern

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.