介绍

C9800可以在GUI界面进行内嵌抓包，为避免抓包文件过大，通常需要过滤，按照Filter选择ipv4类型后，源目地址两个选项的位置是 ‘固定的’，按此过滤方式的抓包文件，会出现数据包只有单向的情况。

使用CLI可以避免此情况的发生。因为CLI的可以添加许多粒度的参数，GUI则主要满足日常使用。

C9800(config)#ip access-list extended apjoin<<<<<<定义需要抓取的流量，本例定义源&目地址
C9800(config-ext-nacl)#permit ip x.x.x.0 0.0.0.255 host y.y.y.y
C9800(config-ext-nacl)#permit ip host y.y.y.y x.x.x.0 0.0.0.255

C9800#monitor capture mycap control-plane both <<<<<<开启CPU抓包
C9800#monitor capture mycap interface gigabitEthernet 1/0/X both <<<<<<选取抓包接口
C9800#monitor capture mycap access-list apjoin<<<<<<挂ACL
C9800#monitor capture mycap buffer circular size 20 <<<<<<20MB的buffer空间
C9800#monitor capture mycap start
C9800#monitor capture mycap stop
C9800#monitor capture mycap export tftp://z.z.z.z/mycap.pcap <<<<<<将mycap.pcap导入tftp服务器，也可导入至flash或ftp等

C9800#show monitor capture mycap  <<<<<<后续两项可选
  buffer     Display captured buffer #观察抓包文件buffer使用情况
  parameter  Display commands used to create capture point #观察抓包文件使用的抓取参数

C9800#no monitor capture mycap <<<<<<关闭命令

如将mycap.pcap文件导入到flash，可dir查看是否生成pcap文件
C9800##dir *.pcap
Directory of bootflash:/*.pcap

Directory of bootflash:/

   38  -rw-      230847   Apr 7 2023 09:27:31 +00:00  mycap.pcap