らくがきちょう

なんとなく ~所属組織/団体とは無関係であり、個人の見解です~

IOS-XE の組み込み Wireshark で手軽にパケットキャプチャする

ちょっと、パケットキャプチャしたいじゃないですか。

IOS-XE では組み込み Wireshark を用いてパケットキャプチャを実施することが可能です。 本格的にパケットキャプチャしたい場合は SPAN を設定するケースが多いかもしれませんが、簡易にパケットをキャプチャしたい場合には Catalyst だけで完結できる為、組み込み Wireshark は非常に便利です。 …とは言え、使い方・構文を忘れてしまい、毎回同じことを調べている為、メモしておきます。

キャプチャ設定

コンフィギュレーションモードでは無く、特権モードで実行するのがポイントです (うろ覚えで操作していると毎回、configure terminal してから設定しようとし、時間を無駄にしがちです…)。 下記で mycap はキャプチャポイントの設定名です。

monitor capture mycap interface Vlan100 both
monitor capture mycap match ipv4 any any
monitor capture mycap file location flash:mycap.pcap buffer-size 100

設定オプションは豊富にあり、「容量の上限に達したらキャプチャ停止するリニア型」「容量上限に達した場合は "最も古いデータ" と "最も新しいデータ" で上書きします (でファルトでは「リニア」動作)。

キャプチャ開始

monitor capture mycap start

キャプチャ停止

monitor capture mycap stop

キャプチャ設定の確認

show monitor capture

キャプチャ設定の削除

no monitor capture mycap

キャプチャファイルを SCP アップロードする

copy flash:mycap.pcap scp: vrf Mgmt-vrf

参考