IPS では、packet コマンドで sensing/management interface でパケットキャプチャーを

する事が可能です。構築の際、 IPS の sensing interface 上でパケットがきているか確認

するときに便利かと思います。このコマンドは、実環境で使用する場合には以下の3点に

注意が必要です。必ず運用フェーズに入る前にどのようになるかご確認ください。

---

・ このコマンドにより、パフォーマンスが著しく低下する事がございます。

・ 機種やバージョンにより inline mode から promiscuous mode に一時的に降格します。

・ 機種やバージョンにより bypass モードに以降します。

sensor# packet display gigabitEthernet0/1

Warning: This command will cause significant performance degradation

tcpdump: WARNING: ge0_1: no IPv4 address assigned

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on ge0_1, link-type EN10MB (Ethernet), capture size 65535 bytes

02:48:55.700704 IP 192.168.0.99 > 192.168.1.101: ICMP echo request, id 50222, seq 1, length 64

02:48:55.702724 IP 192.168.0.99 > 192.168.1.101: ICMP echo request, id 50222, seq 1, length 64

02:48:55.703803 IP 192.168.1.101 > 192.168.0.99: ICMP echo reply, id 50222, seq 1, length 64

02:48:55.704464 IP 192.168.1.101 > 192.168.0.99: ICMP echo reply, id 50222, seq 1, length 64

sensor#  show event(実際にpakectコマンドを実施した際にインタフェースがどうなっているか確認します。)

evStatus: eventId=1307673935148345049 vendor=Cisco

  originator:

    hostId: sensor

    appName: kernel

    appInstanceId:

  time: 2011/06/10 02:47:56 2011/06/10 02:47:56 UTC

  syslogMessage:

    description: device ge0_1 entered promiscuous mode  <---- capture コマンド実施時に promiscuous mode に移項しているのが確認できます。

evStatus: eventId=1307673935148345052 vendor=Cisco

  originator:

    hostId: sensor

    appName: kernel

    appInstanceId:

  time: 2011/06/10 02:49:12 2011/06/10 02:49:12 UTC

  syslogMessage:

    description: device ge0_1 left promiscuous mode <---- コマンド終了の際 inline mode に戻る事が確認できます。

<参考URL>

Capturing and Displaying Live Traffic on an Interface

http://www.cisco.com/en/US/docs/security/ips/6.0/configuration/guide/cli/cliPack.pdf