<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Verdana;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
span.EmailStyle19
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle20
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle21
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='color:#1F497D'>Blast from the past!<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>I have tried to follow something very similar to this (didn’t use an access-list) on some Adtrans I have in the field. Some are 908Es, some Netvantas 6300. When I do this, I can certainly see tons of data, can convert it with text2pcap but not much I could identify as SIP when I know there is SIP running through the box. Am using the Adtrans SIP proxy – not sure if this has anything to do with it? <o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Anyone seen anything similar? <o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> voiceops-bounces@voiceops.org [mailto:voiceops-bounces@voiceops.org] <b>On Behalf Of </b>Brad Anouar<br><b>Sent:</b> Thursday, September 22, 2011 6:54 PM<br><b>To:</b> 'Zak Rupas'; voiceops@voiceops.org<br><b>Subject:</b> Re: [VoiceOps] TCPDump on an Adtran TA908E<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span style='color:#1F497D'>Hi Zak,<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>The following is the whole procedure on how to obtain and convert a packet capture to a pcap file.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>From the command line, we have the ability to look at every packet coming in and out of the router, along with the ability to limit that debug with an access-list. This is best done from a telnet or SSH session, as the console can drop some of the output due to a limited buffer size.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>It is preferable to not have any other messages pop up that may interfere with the capture text. The events and any other debugs should be turned off before performing this debug. This can be done with the following commands:<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Router# no events<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Router# undebug all<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>The general command is:<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><> = optional<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Router# debug ip packet <access-list name> <detail / dump><o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>NOTE: It is not recommended to run this command without referencing an access-list.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>---------------------------------------------------<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>To limit the traffic to and from a particular peer:<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>ip access-list extended test<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>  permit ip any host <IP in question><o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>  permit ip host <IP in question> any<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>For example:<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>ip access-list extended test<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>  permit udp host 192.168.40.22  any eq 5060<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>debug ip packet test detail<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>debug ip packet test dump<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>---------------------------------------------------<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>If you desire to see more than what 'detail' provides, choosing 'dump' will output the entire packet in text form. This can be copied to a text document and converted to an actual packet capture.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>The program Wireshark (</span><a href="http://www.wireshark.org">www.wireshark.org</a><span style='color:#1F497D'>) comes with a utility known as Text2Pcap. Copy (text2pcap.exe) from the Wireshark folder to a root drive, as well as the text file. Run the following command from a DOS prompt:<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>text2pcap.exe -e 0x800 <Text Filename> <Capture Filename to Create (extension .pcap)><o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>The capture file can then be opened in Wireshark. If the unit is running a firewall, you will probably see every packet twice (once entering the firewall & once leaving, depending on the ACL you are using); the second may be after a NAT process if NAT is enabled.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>If the traffic is across a VPN, the second packet will not be seen since it enters/leaves the router encapsulated in VPN.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'> <o:p></o:p></span></p><div><div><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Verdana","sans-serif";color:#314B98'>Brad Anouar</span></b><b><span style='font-family:"Verdana","sans-serif";color:#314B98'> </span></b><b><span style='font-size:8.0pt;font-family:"Verdana","sans-serif";color:#454545'> </span></b><span style='font-size:8.0pt;font-family:"Verdana","sans-serif";color:#454545'>| Anywhere (310) 360-2028 | Corporate (800) 942-4700 | </span><a href="http://www.broadcore.com/"><span style='font-size:8.0pt;font-family:"Verdana","sans-serif";color:#454545'>www.broadcore.com</span></a><span style='color:#1F497D'><o:p></o:p></span></p></div></div><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> voiceops-bounces@voiceops.org [mailto:voiceops-bounces@voiceops.org] <b>On Behalf Of </b>Zak Rupas<br><b>Sent:</b> Thursday, September 22, 2011 3:24 PM<br><b>To:</b> voiceops@voiceops.org<br><b>Subject:</b> [VoiceOps] TCPDump on an Adtran TA908E<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Does anyone know the TCP Dump commands for the Adtran TA908e CLI?<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal><b>Thanks-</b><o:p></o:p></p><p class=MsoNormal>Zak Rupas<o:p></o:p></p><p class=MsoNormal>Tier 3 Engineer<o:p></o:p></p><p class=MsoNormal>Support: 303-242-8606 option 1<o:p></o:p></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:#7F7F7F'> </span><span style='color:#1F497D'>Like SimpleSignal on </span><a href="http://www.facebook.com/SimpleSignal"><b>Facebook</b></a><b><span style='color:#1F497D'> !</span></b><o:p></o:p></p><p class=MsoNormal><span style='color:#1F497D'>SimpleSignal Inc.</span><o:p></o:p></p><p class=MsoNormal><span style='color:#1F497D'>3600 S. Yosemite Street</span><o:p></o:p></p><p class=MsoNormal><span style='color:#1F497D'>Suite 150</span><o:p></o:p></p><p class=MsoNormal><span style='color:#1F497D'>Denver, CO  80237</span><o:p></o:p></p><p class=MsoNormal><span style='color:#1F497D'><img border=0 width=320 height=101 id="Picture_x0020_1" src="cid:image001.png@01CDBE93.66116B60" alt="Description: Description: Description: cid:image001.png@01CBDE2D.5E1CC730"></span><o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p></div></body></html>