Wireshark で ciscodump を使うと何が起こるのかを見てみる。
Wireshark 2.2.0にて
The Windows and OS X installers now come with the "sshdump" and "ciscodump" extcap interfaces.
sshdumpとciscodumpというextcap interfaceが追加されました。
端的に言うと、リモートホストでpcap形式なキャプチャを取って、sshでリアルタイムに手元のWiresharkで表示させるという機能です。
せっかくなので使ってみたいですよね。
ということで設定するとどうなるのかを確認してみます。
準備 Cisco 機器 にてユーザを作成する。
RT(config)# username admin privilege 15 password 0 admin
RT(config)# line vty 0 4
RT(config-line)# login local
ciscodump では、enableパスワードとか今は無いので、privilege 15 なユーザが必要です。
Wiresharkでsshdumpを使う
キャプチャ選択画面で初めてciscodumpを選ぶと設定項目が出るので
Remote SSH server address <Cisco機器のIPアドレスもしくはホスト名>
Remote interface <GigabitEthernet1/0/1 みたいなキャプチャしたい機器のインターフェース名>
Packets to capture <キャプチャしたいパケット数>
Remote SSH server port <Cisco機器のSSH待ち受けポート(普通は22)>
Remote SSH server username <上記準備で設定したユーザ名(ここではadmin)>
Remote SSH server password <上記準備で設定したパスワード(ここではadmin)>
Path to SSH private key <SSHユーザに鍵を設定した場合、秘密鍵ファイルを選択する(実際に使う場合はパスワードよりはこちらを推奨)>
Remote capture filter <キャプチャするデータにフィルタかけたい場合はここに記載>
こんな感じで記載事項に記載します。
Remote capture filter は Cisco のACLに記載する内容を,で区切って記載します。
例えば
deny tcp any eq 22 any , deny tcp any any eq 22 , permit ip any any
でSSHを除外したり。
適切にフィルタ設定してあげないとそれなりに負荷がかかりそうなので、そこそこ慎重になったほうがいいかもしれません。(必要なものをpermitベースで考えるとか)
Cisco機器の設定を覗いてみる。
RT# show monitor capture point all
Status Information for Capture Point WIRESHARK_CAPTURE_POINT
IPv4 CEF
Switch Path: IPv4 CEF , Capture Buffer: WIRESHARK_CAPTURE_BU
Status : Active
Configuration:
monitor capture point ip cef WIRESHARK_CAPTURE_POINT <interface> both
RT# show monitor capture buffer all parameters
Capture buffer WIRESHARK_CAPTURE_BUFFER (linear buffer)
Buffer Size : 1048576 bytes, Max Element Size : 9500 bytes, Packets : 0
Allow-nth-pak : 0, Duration : 0 (seconds), Max packets : <count>, pps : 0
Associated Capture Points:
Name : WIRESHARK_CAPTURE_POINT, Status : Active
Configuration:
monitor capture buffer WIRESHARK_CAPTURE_BUFFER max-size 9500
monitor capture buffer WIRESHARK_CAPTURE_BUFFER limit packet-count <count>
monitor capture point associate WIRESHARK_CAPTURE_POINT WIRESHARK_CAPTURE_BUFFER
monitor capture buffer WIRESHARK_CAPTURE_BUFFER filter access-list WIRESHARK_CAPTURE_ACCESSLIST
RT#show running-config | section ip access-list
ip access-list extended WIRESHARK_CAPTURE_ACCESSLIST
deny tcp any any eq 22
deny tcp any eq 22 any
permit ip any any
Wireshark 側でキャプチャを終了する。
Wiresharkのストップボタンを押すだけです。
Cisco機器の設定を覗いてみる。
何やら設定が残っています……
終わりに
Wireshark 2.2.0 の機能である ciscodumpを使うと何が起こるのかを見てみました。
これをうまく使えば、Cisco機器で monitor capture して機器のFlashにいったん保存して、scp とかftpとかで手元の端末にキャプチャデータを転送するという手間が省けるのでは、という可能性を見ました。
ただ、終了の仕方によっては機器側に設定が残りっぱなしになってしまいます。
(Packets to captureで設定した分終わるまで待つ必要がある)
これは何とかならないとつらそうです。