注意：本記事では EEM の使用方法をご案内しておりますが、EEM の作成、動作に関しては Japan TAC ではサポートを提供しておらず、Global TAC (英語）でもサポートの提供内容を制限しております。EEM の設定、動作検証などはお客様ご自身の責任において実施いただけますようお願いいたします。

初めに：

Cisco Catalyst 9800のSSOは17.1.1から、コントローラーのRMIより、 default gateway checkを有効にすることができるようになりました

Default gatewayが不通の場合、【 Active lost GW】が原因のSwitchoverが発生します。

Switchover発生時、通常の手段でWLC側のPacket Captureを取得することはできません。

そのため、本ドキュメントではEEMでPacket Captureを取得する方法を案内します。

条件：

下記のDebugを有効します。

17.6.1以前：

・debug ewlc-gateway error

・debug ewlc-gateway info

・debug ewlc-gateway packet

17.6.1以降：

・debug ewlc-rmi all

上記Debugを有効にすると、事象発生時に、Debugログより以下のログが出力されます。

RMI-RIF-LIPC: Send GW updown count to RIF manager 1

手順：

1．WLCとスイッチが接続するPortをMonitorして、Capture NameにTestと入力します。

現時点ではまだスタートしないでください。

 下記は弊社の設定例です。

2．Active WLCのCliよりEEMを入力します：

event manager applet export-capture

event syslog pattern "RMI-RIF-LIPC: Send GW updown count to RIF manager 1"

action 0.0 cli command "ena"

action 0.1 cli command "monitor capture test start"

action 0.2 wait 5

action 0.3 cli command "monitor capture test stop"

action 0.4 cli command "monitor capture test export flash:HAtest.pcap"

※sh run | sec event で該当EEMを確認します

ーーー弊社の出力例ーーーー

WLC#sh run | sec event 

event manager applet export-capture
event syslog pattern "RMI-RIF-LIPC: Send GW updown count to RIF manager 1"
action 0.0 cli command "ena"
action 0.1 cli command "monitor capture test start"
action 0.2 wait 5
action 0.3 cli command "monitor capture test stop"
action 0.4 cli command "monitor capture test export flash:HAtest.pcap"

 ーーーーーーーーーーーーー 

3.事象発生後に、事象発生する前のActive WLC（現時点でStandby WLC）より、

コマンドでTFTPサーバー、USBなどに転送することはできます。

例として、TFTPサーバーへ転送する場合、下記のコマンドを使用します。

WLC-stby#copy flash:HAtest.pcap tftp://＜サーバーのIP Address＞/HAtest.pcap

以上