はじめに
通信障害やパケットエラーが発生した際にNW機器でパケットキャプチャーを取得する場面が時々あります。
NW機器でパケットキャプチャーを取得する方法はいくつかありますが、ここではにCatalystスイッチにミラーリング機能を実装し、WIRESHARKを使ったパケットキャプチャーの方法について記載いたします。
※ミラーリング機能:特定のインターフェースのデータをコピーして、別のインターフェース(ミラーポート)に流す機能。
前提
・パケットキャプチャーの取得対象の機器はCISCO機を想定
・PCにWIRESHARKをインストール済みであること
・NW機器のミラーポートにPCが接続されていること
構成
やりたいこと
・Fa0/24のインターフェースのパケットをコピーしてFa0/12に流し、WIRESHARKが入っているPCでパケットキャプチャーする
※この構成の場合Fa0/12がミラーポートになります。
CISCO機側の設定
入力コマンド
Catalyst(config)# monitor session 1 source interface FastEthernet 0/24
Catalyst(config)# monitor session 1 destination interface FastEthernet 0/12
■コマンドの説明
monitor session 番号:この番号を合わせることでsourceインターフェースで受信したトラフィックデータをdestinationインターフェースにコピーして流すことができます。
source interface:トラフィックデータをコピーしたいインタフェース
destination interface:コピーしたトラフィックデータを送るインターフェース(WIRESHARKが入ったPCを接続するインターフェース)
※source interfaceとdestination interfaceの設定を逆にしてしまわないように注意してください。
設定完了後show monitorコマンドなどで設定を確認してください。
WIRESHARK側の設定
WIRESHARKを起動します
PC側の接続しているインターフェースを選択します
※インターフェースでトラフィックを受信できていると、インターフェースの右側に波形が出ます
対象のインターフェースをダブルクリックします。
するとそのインターフェースで受信しているトラフィックのパケットキャプチャー画面が出てきます
パケットキャプチャーを停止するには、メニューから停止を選択します。
パケットキャプチャーを再開するには、メニューから開始を選択します。
パケットキャプチャー再開時にそれまでキャプチャしたパケットを保存するか聞かれます。
保存してから再開することも、保存せずに再開することも可能です。
※初回起動時は時刻表示が最初に流れたパケットからの経過時間になっていますので
必要に応じて「日時」などの表示に変更してください。
メニューから、表示→時刻表示形式を選択して変更ができます
まとめ
WIRESHARKでのパケットキャプチャーの取得方法について簡単にまとめました。
この記事では対象のインターフェースの全てのトラフィックを取得していますが、monitor sessionコマンドのオプションで、TX(送信)のみ、RX(受信)のみなどの特定の方向のトラフィックだけを取得することも可能です。
WIRRESHARKでは取得したパケットキャプチャーログから特定のデータをフィルターする機能や、パケットの流れを表示するフローグラフの機能などもありますので、別の機会で記載したいと思います。