はじめに
ISRには、EPC(Embedded Packet Capture)というパケットキャプチャ機能が搭載されています。ISRをconnectorとしてCWSを利用している場合、ISRのWAN側、LAN側の両方でキャプチャを取得しトラブルシューティングを行います。
キャプチャ設定方法
ISRに多くの通信が流れている環境では、access-listで取得対象の通信を予め制限してキャプチャを行います。
LAN側では、特定のClientとの通信のみをキャプチャします。
(config)# ip access-list extended CLIENT
(config-ext-nacl)# permit tcp host 192.168.40.7 any
(config-ext-nacl)# permit tcp any host 192.168.40.7
192.168.40.7は、実際のClientのip addressに置き換えます。
WAN側では、CWS Towerとの通信のみをキャプチャします。
(config)# ip access-list extended TOWER
(config-ext-nacl)# permit tcp any host access160x.cws.sco.cisco.com
(config-ext-nacl)# permit tcp host access160x.cws.sco.cisco.com any
access160x.cws.sco.cisco.com は、利用しているTowerのFQDNに置き換えます。
bufferサイズ、packetサイズを設定します。
# monitor capture buffer LANBUFF size 40960 max-size 2048
# monitor capture buffer WANBUFF size 40960 max-size 2048
bufferとaccess-listを紐付けます。
# monitor capture buffer LANBUFF filter access-list CLIENT
# monitor capture buffer WANBUFF filter access-list TOWER
LAN側とWAN側のinterfaceをcapture pointとして設定します。
# monitor capture point ip cef ISRLAN vlan1 both
# monitor capture point ip cef ISRWAN GigabitEthernet0 both
vlan1、 GigabitEthernet0は、実際のinterfaceに置き換えます。
bufferとcapture pointを紐付けます。
# Monitor capture point associate ISRLAN LANBUFF
# Monitor capture point associate ISRWAN WANBUFF
キャプチャ取得方法
キャプチャの開始
monitor capture point start all
<この間に事象を発生させます>
キャプチャの停止
monitor capture point stop all
キャプチャ状況の確認
# show monitor capture buffer all parameters
出力例
# show monitor capture buffer all parameters
Capture buffer LANBUFF (linear buffer)
Buffer Size : 41943040 bytes, Max Element Size : 2048 bytes, Packets : 1119
Allow-nth-pak : 0, Duration : 0 (seconds), Max packets : 0, pps : 0
Associated Capture Points:
Name : ISRLAN, Status : Active
Configuration:
monitor capture buffer LANBUFF size 40960 max-size 2048
monitor capture point associate ISRLAN LANBUFF
monitor capture buffer LANBUFF filter access-list CLIENT
Capture buffer WANBUFF (linear buffer)
Buffer Size : 41943040 bytes, Max Element Size : 2048 bytes, Packets : 1416
Allow-nth-pak : 0, Duration : 0 (seconds), Max packets : 0, pps : 0
Associated Capture Points:
Name : ISRWAN, Status : Active
Configuration:
monitor capture buffer WANBUFF size 40960 max-size 2048
monitor capture point associate ISRWAN WANBUFF
monitor capture buffer WANBUFF filter access-list TOWER
Packets : 1119、Packets : 1416 とキャプチャされたパケット数がカウントアップしています。
パケットをtftp serverにエクスポート
# monitor capture buffer LANBUFF export tftp://192.168.40.7/isrlan.pcap
# monitor capture buffer WANBUFF export tftp://192.168.40.7/isrwan.pcap
192.168.40.7は、実際のtftp serverのaddressに置き換えます。
再度キャプチャを取得する必要がある場合は、以下のコマンドでbufferを一旦clearして、上記の手順を繰り返します。
# monitor capture buffer LANBUFF clear
# monitor capture buffer WANBUFF clear
終了後は設定を削除します
# no monitor capture buffer LANBUFF
# no monitor capture buffer WANBUFF
# no monitor capture point ip cef ISRLAN vlan1 both
# no monitor capture point ip cef ISRWAN GigabitEthernet0 both
(config)# no ip access-list extended CLIENT
(config)# no ip access-list extended TOWER
参考文献
Embedded Packet Capture Configuration Guide, Cisco IOS Release 15M&T
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/epc/configuration/15-mt/epc-15-mt-book/nm-packet-capture.html
EPC(Embedded Packet Capture)を使ったパケットキャプチャ
https://supportforums.cisco.com/ja/document/50281