ルータ上でパケットキャプチャを取得する方法 (IP Traffic Export) を紹介します。取得したファイルは Wireshark などのツールで内容を確認できます。
スイッチで SPAN ができない場合などにご利用ください。
- Router IP Traffic Export Packet Capture Enhancements
環境によってルータに負荷がかかる場合があるため、事前に検証してご利用ください。
1. プロファイルを作成します。
Router(config)# ip traffic-export profile TAC mode capture
Router(conf-rite)# bidirectional
Router(conf-rite)# incoming access-list 1 (オプション)
Router(conf-rite)# outgoing access-list 1 (オプション)
2. キャプチャ対象のアクセスリストを作成します。作成しない場合は全てのパケットがキャプチャ対象となります。
(例:SIP:ポート5060 宛のトラフィック)
Router(config)# access-list 1 permit udp any any eq 5060
Router(config)# access-list 1 permit tcp any any eq 5060
3. 作成したプロファイルをインタフェースに適用します。デフォルトのメモリサイズは 5 M Bytes です。
Router(config)# interface g0/0
Router(config-if)# ip traffic-export apply TAC [size <bytes>]
4. キャプチャを開始します。
Router# traffic-export interface g0/0 clear
Router# traffic-export interface g0/0 start
5. Traffic Export の状況を確認します。Profile capture state が Active になっていればキャプチャ中です。
Router# show ip traffic-export
Router IP Traffic Export Parameters
Monitored Interface: GigabitEthernet0/0
Capture full packet length.
bi-directional traffic capture is on
Output IP Traffic Capture Information
Packets/Bytes Captured 6/294
Packets Dropped 0
Sampling Rate one-in-every 1 packets
Access List 1 [simple IP]
Input IP Traffic Capture Information
Packets/Bytes Captured 6/330
Packets Dropped 0
Sampling Rate one-in-every 1 packets
Access List 1 [simple IP]
IP Traffic Capture Buffer Information
Defined Buffer Size 10000000 bytes
Capture Buffer Size 10000000 bytes
Capture Buffer Used 840 bytes
Capture Buffer Free 9999160 bytes
Profile TAC capture state: Active
6. 試験を実施します。
7. キャプチャを停止します
Router# traffic-export interface g0/0 stop
8. Profile capture state が Inactive になって停止されていることを確認します。
Router# show ip traffic-export
Router IP Traffic Export Parameters
Monitored Interface: GigabitEthernet0/0
Capture full packet length.
bi-directional traffic capture is on
Output IP Traffic Capture Information
Packets/Bytes Captured 22/1082
Packets Dropped 0
Sampling Rate one-in-every 1 packets
Access List 1 [simple IP]
Input IP Traffic Capture Information
Packets/Bytes Captured 22/1302
Packets Dropped 0
Sampling Rate one-in-every 1 packets
Access List 1 [simple IP]
IP Traffic Capture Buffer Information
Defined Buffer Size 10000000 bytes
Capture Buffer Size 10000000 bytes
Capture Buffer Used 3112 bytes
Capture Buffer Free 9996888 bytes
Profile TAC capture state: Inactive
9. キャプチャファイルを生成し、ローカルもしくはリモートに保存します。
Router# traffic-export interface g0/0 copy tftp://x.x.x.x/capture.pcap
or
Router# traffic-export interface g0/0 copy flash:capture.pcap