CSR1000vでのパケットキャプチャ方法

概要

Cisco IOS-XEのEPC(Embedded Packet Capture)機能を使い、
CSR1000vのインタフェース上でパケットキャプチャを行う手順です。

環境

Platform: CSR1000v
IOS-XE Version: 03.13.00a.S

<br /> RouterB#show version<br /> Cisco IOS XE Software, Version 03.13.00a.S - Extended Support Release<br /> Cisco IOS Software, CSR1000V Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S0a, RELEASE SOFTWARE (fc2)<br />

手順
## 1. キャプチャの設定投入

初期状態ではキャプチャが何も稼働していないことを確認。

<br /> RouterB#show monitor capture<br /> RouterB#<br />

例として、以下の設定でキャプチャ定義を作成
– キャプチャ: cap1
– インタフェース : GigabitEthernet 2
– 方向: 入出力の双方向でキャプチャ(both)
– IPv4のすべてのTCPパケットを対象

<br /> RouterB#monitor capture cap1 interface GigabitEthernet 2 both<br /> RouterB#monitor capture cap1 match ipv4 protocol tcp any any<br />

キャプチャのフィルタは上記のようにmonitorコマンドにIn-lineで書くパターンの他に、
別途名前付きACLを定義しておいて、紐付けるパターンもあります。

たとえば、以下のように使い分けるとよいかもしれません。
– キャプチャ条件がシンプルで、キャプチャ作業も1回こっきり
– 機器の既存コンフィグを汚したくない
→→キャプチャ対象ををインラインで定義

  • キャプチャ条件が複雑で、後から修正・追加が発生しそうな気がする
    – キャプチャ作業自体が定常的に発生する
    →→名前付きACLでキャプチャ対象を定義


名前付きACLを定義
RouterB#conf t
RouterB(config)#ip access-list extended LDP
RouterB(config-ext-nacl)#permit tcp any any eq 646
RouterB(config-ext-nacl)#end

キャプチャ定義「cap2」に紐付け<br /> RouterB#monitor capture cap2 access-list LDP interface GigabitEthernet 2 both<br />

2. キャプチャの開始

startオプションで定義済みキャプチャを開始します。

<br /> RouterB#monitor capture cap1 start<br />

正しく開始されたか、show monitor captureコマンドで状況確認します。
Status欄が”Active”であればキャプチャが開始されています。


RouterB#show monitor capture

Status Information for Capture cap1<br /> Target Type:<br /> Interface: GigabitEthernet2, Direction: both<br /> Status : Active<br /> Filter Details:<br /> IPv4<br /> Source IP: any<br /> Destination IP: any<br /> Protocol: tcp<br /> Buffer Details:<br /> Buffer Type: LINEAR (default)<br /> Buffer Size (in MB): 10<br /> Limit Details:<br /> Number of Packets to capture: 0 (no limit)<br /> Packet Capture duration: 0 (no limit)<br /> Packet Size to capture: 0 (no limit)<br /> Maximum number of packets to capture per second: 1000<br /> Packet sampling rate: 0 (no sampling)<br />

3. キャプチャの停止

<br /> RouterB#monitor capture cap1 stop<br />

4. キャプチャBufferの確認

showコマンドでBufferに格納されているキャプチャ済みのパケットを確認します。

簡易表示(brief)

<br /> RouterB#show monitor capture cap1 buffer brief<br /> -------------------------------------------------------------<br /> # size timestamp source destination protocol<br /> -------------------------------------------------------------<br /> 0 72 0.000000 1.1.1.1 -&gt; 194.1.1.1 TCP<br /> 1 54 0.200002 194.1.1.1 -&gt; 1.1.1.1 TCP<br /> 2 54 10.534036 4.4.4.4 -&gt; 1.1.1.1 TCP<br /> 3 73 13.114008 4.4.4.4 -&gt; 1.1.1.1 TCP<br />

詳細表示(detailed)


RouterB#show monitor capture cap1 buffer detailed
-------------------------------------------------------------
# size timestamp source destination protocol
-------------------------------------------------------------
0 72 0.000000 1.1.1.1 -> 194.1.1.1 TCP
0000: 005056B6 919A0050 56B61657 080045C0 .PV....PV..W..E.
0010: 003A2F1C 0000FF06 C6DD0101 0101C201 .:/.............
0020: 01010286 455692FE 0C0B1124 BA595010 ....EV.....$.YP.
0030: 0EA6DE63 00000001 000E0101 01010000 ...c............

1 54 0.200002 194.1.1.1 -> 1.1.1.1 TCP<br /> 0000: 005056B6 16570050 56B6919A 080045C0 .PV..W.PV.....E.<br /> 0010: 002863A2 0000FF06 9269C201 01010101 .(c......i......<br /> 0020: 01014556 02861124 BA5992FE 0C1D5010 ..EV...$.Y....P.<br /> 0030: 100E284D 0000 ..(M..

2 54 10.534036 4.4.4.4 -> 1.1.1.1 TCP<br /> 0000: 005056B6 16570050 56B6919A 080045C0 .PV..W.PV.....E.<br /> 0010: 0028AD70 4000FD06 C5950404 04040101 .(.p@...........<br /> 0020: 010100B3 6B08C52B 432C2492 D7D35010 ....k..+C,$...P.<br /> 0030: 3D2EF823 0000 =..#..

3 73 13.114008 4.4.4.4 -> 1.1.1.1 TCP<br /> 0000: 005056B6 16570050 56B6919A 080045C0 .PV..W.PV.....E.<br /> 0010: 003BAD71 4000FD06 C5810404 04040101 .;.q@...........<br /> 0020: 010100B3 6B08C52B 432C2492 D7D35018 ....k..+C,$...P.<br /> 0030: 3D2EF3F5 0000FFFF FFFFFFFF FFFFFFFF =...............

<pre><code><br />## 5. キャプチャBufferをファイル保存

exportでキャプチャを出力

<br /> 出力先の選択肢<br /> RouterB#monitor capture cap1 export ?<br /> bootflash: Location of the file<br /> flash: Location of the file<br /> ftp: Location of the file<br /> http: Location of the file<br /> https: Location of the file<br /> pram: Location of the file<br /> rcp: Location of the file<br /> scp: Location of the file<br /> tftp: Location of the file

FTPサーバに出力<br /> RouterB#monitor capture cap1 export ftp://192.168.1.99/cap1.pcap<br /> Writing cap1.pcap<br /> Exported Successfully<br />

FTPサーバ側に保存された.pcapファイルをWiresharkで開き、以下を確認します。<br /> - .pcapファイルを正しくオープンできるか<br /> - お目当てのパケットが含まれているか

## 6. キャプチャの削除

noコマンドでキャプチャの定義を削除

<br /> RouterB#no monitor capture cap1<br /> RouterB#<br /> RouterB#show monitor capture<br /> RouterB# (何も表示されないこと)<br />

キャプチャをstopさせていない状態で定義を削除(no monitor)しようとすると<br /> 「まだActiveだよ」と怒られます。

<br /> RouterA#no monitor capture cap1<br /> Capture is active<br />

「monitor capture」のコマンドはrunning-configに記録されないため、<br /> 機器を再起動すると消えてしまいます。

再起動前<br /> <br /> RouterA#show monitor capture

Status Information for Capture cap1<br /> Target Type:<br /> Interface: GigabitEthernet2, Direction: both<br /> Status : Inactive<br /> Filter Details:<br /> Access-list: BUF-FILTER<br /> Buffer Details:<br /> Buffer Type: LINEAR (default)<br /> Buffer Size (in MB): 10<br /> Limit Details:<br /> Number of Packets to capture: 0 (no limit)<br /> Packet Capture duration: 0 (no limit)<br /> Packet Size to capture: 0 (no limit)<br /> Maximum number of packets to capture per second: 1000<br /> Packet sampling rate: 0 (no sampling)

Status Information for Capture cap2<br /> Target Type:<br /> Interface: GigabitEthernet2, Direction: both<br /> Status : Inactive<br /> Filter Details:<br /> Access-list: LDP<br /> Buffer Details:<br /> Buffer Type: LINEAR (default)<br /> Buffer Size (in MB): 10<br /> Limit Details:<br /> Number of Packets to capture: 0 (no limit)<br /> Packet Capture duration: 0 (no limit)<br /> Packet Size to capture: 0 (no limit)<br /> Maximum number of packets to capture per second: 1000<br /> Packet sampling rate: 0 (no sampling)<br /> RouterA#<br /> RouterA#write mem # 無駄を承知でwrite mem<br /> Building configuration…<br /> [OK]<br /> RouterA#reload<br />

再起動完了後

<br /> RouterA#show monitor capture<br /> RouterA#

以上

コメントを残す

メールアドレスが公開されることはありません。

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)