購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
634
閲覧回数
0
いいね!
6
返信

Catalyst 3560-CXでno switchport を実行した後のパケットキャプチャの方法

解決策を見る
si1
Level 1
Level 1

‎2024-06-21 10:48 AM

SwitchでHTTP通信のパケットキャプチャをしたいと考えています。

パケットキャプチャの起動はできたのですが、HTTP通信が記録されていませんでした。

原因や対処方法が分かる方いらっしゃれば、ご回答いただけますと幸いです。

 

設定した内容を示します。

まずはIPアドレスが欲しいので設定しました。あとでTFTPでpcapを送るためです。

enable
config ter 
ip routing # これでL3のルーティングをしてくれるようになる
service dhcp # DHCPサービスの開始
interface g0/8
  no switchport
  ip address 192.168.100.1 255.255.255.0
  exit
interface g0/6
  no switchport
  ip address 192.168.101.1 255.255.255.0
exit

 

次に以下のように設定してパケットキャプチャの設定をしました。

enable
conf term
ip access-list extended EPC
  permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 
  end
monitor capture buffer BUF size 2048 max-size 1518 linear
monitor capture buffer BUF filter access-list EPC
monitor capture point ip cef POINT g0/6 both
monitor capture point associate POINT BUF
monitor capture point start POINT

ここで、PCからHTTPサーバへ、Webブラウザでアクセスし、正常にアクセスできました。

monitor capture point stop POINT
monitor capture buffer BUF export tftp://192.168.100.2/BUF.pcap

しかし、BUF.pcapはwiresharkで開ける正常なものでしたが、パケットは記録されていませんでした。

 

また、monitor capture point のコマンドを以下のように書き換えた場合も実行しましたが、無関係のパケットのみが記録されていました。

monitor capture point ip process-switched both

 

どうすればHTTPを記録できるかご教示いただけないでしょうか。

よろしくお願いします。

 

ラベル:
ファイルをプレビュー
19 KB
0 いいね!
1 件の受理された解決策

受理された解決策

解決策を見る
cja56910tf
VIP
VIP
si1に対する応答

‎2024-06-29 07:06 PM

こんばんは。

最初の投稿に添付されていた構成図ではGi0/6とGi0/8でセグメントが異なっていたので、同じ環境でSVIを使うなら下記のようなコンフィグにしては如何でしょうか。また、PCからHTTPサーバにPingを打って応答があるかも確認した上でパケットキャプチャを試してみて下さい。


interface GigabitEthernet0/6
switchport access vlan 101
switchport mode access
!
interface GigabitEthernet0/8
switchport access vlan 102
switchport mode access
!
interface Vlan101
ip address 192.168.101.1 255.255.255.0
!
interface Vlan102
ip address 192.168.100.1 255.255.255.0
!

次に、組み込みWiresharkによるパケットキャプチャ機能の名称は「Embedded Packet Capture (EPC)」である認識ですが、show verに出力された機種・IOSから、Cisco Feature Navigatorで機能が対応しているかを確認しましたが、Catalyst 3560CXは非対応のようでした。IOSの版数としては対応しているようですが、機種としては非対応なのかもしれません。装置にWeb(HTTP)アクセスして管理GUI画面にパケットキャプチャの操作項目が表示されるかも確認してみて下さい。

また、もしCatalyst 9300/9200 や Cisco ISR 1100/4400/4300、Catalyst 8300/8200などのIOS-XEスイッチまたはルータが使用できるのであれば、同じ環境にして同じコンフィグを投入してみてパケットキャプチャが出来るかを試してみて下さい。もしキャプチャが出来れば作成されたコンフィグは適切であり、使用している機種が機能に非対応という事になります。

元の投稿で解決策を見る

0 いいね!
6件の返信6

解決策を見る
cja56910tf
VIP
VIP

‎2024-06-21 05:09 PM

こんにちは。

まず構成を拝見しましたが、わざわざEPCを使わずともPCをWebサーバと同じセグメントに配置して、C3560CXはL2として動作させてSPAN(ミラー)機能を用いてパケットを複製し、別装置で複製パケットを受信するという方法でも良いのでは?わざわざC3560CXをルータとして使用する理由は何だろうか?と思いました。

その上でEPCについてですが、まずAccess-Listを使わない場合では正常にキャプチャできるかを試してみてください。filter access-list EPC の引数は必須ではありません。

記載されているmonitor capture ~ コマンドは適切であるように見えますが、キャプチャしたファイル( .pcap)には全くパケットがキャプチャされていないのか、意図したパケットが見当たらないのかのどちらでしょうか?

もう少々追加で検証していただき、結果を記載いただけると他の有識者からの回答も得られやすいと思います。

0 いいね!

解決策を見る
si1
Level 1
Level 1
cja56910tfに対する応答

‎2024-06-24 09:33 PM

 

ご回答いただきありがとうございます! 追加検証について説明します。

C3560CXはL2として動作させてSPAN(ミラー)機能を用いてパケットを複製し、別装置で複製パケットを受信するという方法でも良いのでは?

SPANについて知りませんでした。また、L2だけで2台構成で通信する検証にはまだ時間がかかりそうなので、いったん本スレッドの対象外とさせてください。

> その上でEPCについてですが、まずAccess-Listを使わない場合では正常にキャプチャできるかを試してみてください。filter access-list EPC の引数は必須ではありません。

 

filterを付けなかった場合も、pcapファイルの中身にパケットは1つも記録されていませんでした。

 

以下の設定をしたときは、pcapファイルをwiresharkで開けるものの、パケットは1つもない状態でした。

monitor capture point ip cef POINT g0/6 both

 

 

0 いいね!

解決策を見る
cja56910tf
VIP
VIP
si1に対する応答

‎2024-06-26 09:24 PM

こんばんは。

Catalyst 3560はルータではなくスイッチなので、試しにG0/6とG0/8をルーテッドポートではなくスイッチポートとして動作させた場合はどうなるでしょうか。no swithcportとせずに、アクセスvlan(switchport mode access)とし、SVI(interface vlan xx)を作成して割り当てて下さい。

また、下記サイトを参考にして、再度最初から設定しなおしてみて下さい。ルータでのEPCとは異なりスイッチではコマンドが若干異なるようにも思いますし、GUIで設定できるなら、設定後にshow run を実行して生成されているコマンドを確認するのも良いと思います。

https://qiita.com/kikuta2055/items/6eb75ebe71b5aae9aaf1

あと、IOSのバージョンや機能ライセンスの使用状況はどうなっていますでしょうか?show verやshow license summaryに加えて、show run の出力も掲載してもらえると解決につながるかもしれません。

0 いいね!

解決策を見る
si1
Level 1
Level 1
cja56910tfに対する応答

‎2024-06-28 09:00 PM

ご返信ありがとうございます!

製品を初期化したうえで、アクセスvlanとvlan101をg0/6,g0/8に設定してやってみました。

パケットが取れていなさそうでした。また送っていただいたリンク先のコマンドは使えませんでした。

versionはCisco IOS Software, C3560CX Software (C3560CX-UNIVERSALK9-M), Version 15.2(7)E4, RELEASE SOFTWARE (fc2)と表示されました。また、ライセンスはipbaseです。

show ver, show license, show runの結果、およびmonitor captureの試行錯誤の結果(?で使えるコマンドを表示させたテキスト)を添付ファイルとして送ります。show verだけシリアル番号など特定につながる情報を削除しております。(<delete>と書いております)

ファイルをプレビュー
2 KB
ファイルをプレビュー
2 KB
ファイルをプレビュー
6 KB
ファイルをプレビュー
3 KB
0 いいね!

解決策を見る
cja56910tf
VIP
VIP
si1に対する応答

‎2024-06-29 07:06 PM

こんばんは。

最初の投稿に添付されていた構成図ではGi0/6とGi0/8でセグメントが異なっていたので、同じ環境でSVIを使うなら下記のようなコンフィグにしては如何でしょうか。また、PCからHTTPサーバにPingを打って応答があるかも確認した上でパケットキャプチャを試してみて下さい。


interface GigabitEthernet0/6
switchport access vlan 101
switchport mode access
!
interface GigabitEthernet0/8
switchport access vlan 102
switchport mode access
!
interface Vlan101
ip address 192.168.101.1 255.255.255.0
!
interface Vlan102
ip address 192.168.100.1 255.255.255.0
!

次に、組み込みWiresharkによるパケットキャプチャ機能の名称は「Embedded Packet Capture (EPC)」である認識ですが、show verに出力された機種・IOSから、Cisco Feature Navigatorで機能が対応しているかを確認しましたが、Catalyst 3560CXは非対応のようでした。IOSの版数としては対応しているようですが、機種としては非対応なのかもしれません。装置にWeb(HTTP)アクセスして管理GUI画面にパケットキャプチャの操作項目が表示されるかも確認してみて下さい。

また、もしCatalyst 9300/9200 や Cisco ISR 1100/4400/4300、Catalyst 8300/8200などのIOS-XEスイッチまたはルータが使用できるのであれば、同じ環境にして同じコンフィグを投入してみてパケットキャプチャが出来るかを試してみて下さい。もしキャプチャが出来れば作成されたコンフィグは適切であり、使用している機種が機能に非対応という事になります。

0 いいね!

解決策を見る
si1
Level 1
Level 1
cja56910tfに対する応答

‎2024-07-13 07:34 PM

ありがとうございます。

他の機器でやってみたところうまくいったので、パケットキャプチャ非対応ということがわかりました。

0 いいね!
Customers Also Viewed These Support Documents