tcpdump в Cisco

Создать буфер:
my_router#monitor capture buffer Buf size 256 max-size 256 circular

где: Buf - название буфера;
     size и max-size - размер буфера и максимальный размер элемента в буфере, соответственно;
      circular или linear - тип буфера, будут ли старые элементы вытеснятся новыми или нет;

Можно применить ACL для конкретных IP:
my_router#monitor capture buffer Buf filter access-list (number, name)

Создать "точку ловли":

my_router#monitor capture point ip cef cappoint fa 0/0 both
где: ip cef - метод коммутации, мы используем cef
     cappoint - название точки, далее следует интерфейс на котором слушать и в каком направлении - в обоих

 После создания, появится следующее сообщение с логах.

%BUFCAP-6-CREATE: Capture Point cappoint created.

Ассоциация созданной точки с буфером:

Так как и точек и буферов может быть достаточно большое количество, это просто указывает в какой буфер складывать пакеты.

my_router#monitor capture point associate cappoint Buf

         

Поглядеть на конфигурацю:

my_router#show monitor capture point all

  Status Information for Capture Point cappoint

  IPv4 CEF

  Switch Path: IPv4 CEF, Capture Buffer: Buf

  Status : Inactive

  Configuration: monitor capture point ip cef cappoint FastEthernet0/0 both

Включить:

В данном случае all, но можно включить и отдельную "точку" по имени

 my_router#monitor capture point start all

Так как читать он-лайн нереально, то проще все экспортнуть

Экспорт буфера(tftp, ftp, scp):

my_router#monitor capture buffer Buf export (куда)