ソフトウェアでの組み込みパケットの設定およびキャプチャ

はじめに

このドキュメントでは、Cisco IOS^{® ソフトウェアの組み込みパケット キャプチャ（EPC）の機能について説明します。} 

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Cisco IOS Release 12.4(20)T 以降
• Cisco IOS XEリリース15.2(4)S:3.7.0以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

有効にすると、ルータは送受信されたパケットをキャプチャします。 パケットはDRAMのバッファに保存され、リロード後は保持されません。 データがキャプチャされると、そのデータはルータの要約ビューまたは詳細ビューで調べることができます。

また、データは、さらに調べることができようにパケット キャプチャ（PCAP）ファイルとしてエクスポートできます。 ツールは EXEC モードで設定され、一時支援ツールと見なされます。 その結果、ツールの設定はルータの設定には保存されず、システムのリロード後もツールの設定は残りません。

パケットキャプチャの設定、キャプチャ、および抽出を支援するパケットキャプチャ設定ジェネレータおよびアナライザツールをシスコのお客様が利用できます。

Cisco IOS の設定例

基本 EPC 設定

1. キャプチャバッファを定義します。これは、キャプチャされたパケットが保存される一時的なバッファです。
2. バッファを定義する際には、サイズ、最大パケットサイズ、循環/線形など、さまざまなオプションを選択できます。
   
   

   monitor capture buffer BUF size 2048 max-size 1518 linear

3. フィルタを適用して、キャプチャを目的のトラフィックに制限できます。コンフィギュレーション モード内でアクセス コントロール リスト（ACL）を定義し、バッファに対するフィルタを適用します。
   
   

   ip access-list extended BUF-FILTER
       permit ip host 192.168.1.1 host 172.16.1.1
       permit ip host 172.16.1.1 host 192.168.1.1

   monitor capture buffer BUF filter access-list BUF-FILTER

4. キャプチャが発生する場所を定義するキャプチャポイントを定義します。
5. キャプチャ ポイントは、IPv4 または IPv6 のいずれに対してキャプチャが発生するか、またどのスイッチング パス（プロセス vs CEF）でキャプチャが発生するかも定義します。
   
   

   monitor capture point ip cef POINT fastEthernet 0 both

6. キャプチャ ポイントにバッファを接続します。
   
   

   monitor capture point associate POINT BUF

7. キャプチャを開始します。
   
   

   monitor capture point start POINT

8. これでキャプチャがアクティブになりました。必要なデータのコレクションを許可します。
   
   
9. キャプチャを停止します。
   
   

   monitor capture point stop POINT

10. 装置でバッファを確認します。
    
    

    show monitor capture buffer BUF dump

    注：この出力には、パケットキャプチャの16進数ダンプのみが表示されます。人間が読める形式で表示するには、2つの方法があります。

    さらに分析するためにルータからバッファをエクスポートします。
    
    

    monitor capture buffer BUF export tftp://10.1.1.1/BUF.pcap

    ルータへのT/FTPアクセスが必要になるため、上記の方法は常に実用的とは限りません。このような場合は、16進数ダンプのコピーを取り、オンラインの16進数pcapコンバータを使用してファイルを表示します。
11. 必要なデータが収集されたら、キャプチャポイントとキャプチャバッファを削除します。

    no monitor capture point ip cef POINT fastEthernet 0 both
    no monitor capture buffer BUF

その他のCisco IOS設定情報

• Cisco IOS Release 15.0(1)M より前のリリースでは、バッファ サイズは 512 K に限定されていました。
• Cisco IOS Release 15.0(1)M より前のリリースでは、キャプチャ パケット サイズは 1024 バイトに限定されていました。
• パケットバッファはDRAMに保存され、リロード後は保持されません。
• キャプチャ設定はNVRAMに保存されず、リロード後は保持されません。
• CEF またはプロセス スイッチング パスでキャプチャするためにキャプチャ ポイントを定義できます。
• キャプチャ ポイントは、1 つのインターフェイスのみをキャプチャするようにも、全体をキャプチャするようにも定義できます。
• キャプチャ バッファを PCAP 形式でエクスポートする場合は、L2 情報（イーサネットのカプセル化など）は維持されません。
• この項で使用されているコマンドの詳細については、「検索コマンドのベストプラクティス」を参照してください。

基本的なIPトラフィックエクスポート設定

IPトラフィックエクスポートは、複数の同時WANまたはLANインターフェイスで受信されるIPパケットをエクスポートする別の方法です。

1. コンフィギュレーションモードで、IPトラフィックエクスポートプロファイルを定義します。

Device(config)# ip traffic-export profile mypcap mode capture

2. プロファイルで双方向トラフィックを設定します。

Device(config-rite)# bidirectional

3. 終了します。

4. エクスポートされたトラフィックのインターフェイスを指定します。

Device(config-if)# interface GigabitEthernet 0/1

5. インターフェイスでIPトラフィックエクスポートを有効にします。

Device(config-if)# ip traffic-export apply mypcap size 10000000

6. 終了

7. キャプチャを開始します。これでキャプチャがアクティブになりました。必要なデータのコレクションを許可します。

Device# traffic-export interface GigabitEthernet 0/1 start

8. キャプチャを停止します。

Device# traffic-export interface GigabitEthernet 0/1 stop

9. キャプチャを外部TFTPサーバにエクスポートします。

Device# traffic-export interface GigabitEthernet 0/1 copy tftp://<TFTP_Address>/mypcap.pcap

10. 必要なデータが収集されたら、プロファイルを削除します。

Device(config)# no ip traffic-export profile mypcap

IPトラフィックエクスポートの欠点

IPトラフィックエクスポートには、EPC方式と比較して次の短所があります。

Cisco IOS XEの設定例

組み込みパケットキャプチャ機能は、Cisco IOS XEリリース3.7 - 15.2(4)Sで導入されました。 キャプチャの設定は、機能が追加されるため、Cisco IOSとは異なります。

基本 EPC 設定

1. キャプチャが発生する場所を定義します。
   
   

   monitor capture CAP interface GigabitEthernet0/0/1 both

2. フィルタを関連付けます。フィルタはインラインで指定するか、ACLまたはクラスマップを参照できます。
   
   

   monitor capture CAP match ipv4 protocol tcp any any limit pps 1000000 

3. キャプチャを開始します。
   
   

   monitor capture CAP start

4. これでキャプチャがアクティブになりました。必要なデータの収集を許可します。
   
   
5. キャプチャを停止します。
   
   

   monitor capture CAP stop

6. サマリー ビューでキャプチャを調べます。
   
   

   show monitor capture CAP buffer brief

7. 詳細ビューでキャプチャを調べます。
   
   

   show monitor capture CAP buffer detailed 

8. また、さらに分析するために PCAP 形式でキャプチャをエクスポートします。
   
   

   monitor capture CAP export tftp://10.0.0.1/CAP.pcap

9. 必要なデータが収集されたら、キャプチャを削除します。
   
   

   no monitor capture CAP

追加情報

• キャプチャは、物理インターフェイス、サブインターフェイス、トンネルインターフェイスで実行されます。
• Network Based Application Recognition(NBAR)ベースのフィルタ(クラスマップの下のmatch protocolコマンドを使用するフィルタ)は、現在サポートされていません。
• この項で使用されているコマンドの詳細については、『検索コマンドのベストプラクティス』を参照してください。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシュート

Cisco IOS XE®で実行されるEPCの場合、EPCが正しく設定されていることを確認するには、次のdebugコマンドを使用します。

debug epc provision
debug epc capture-point

関連情報

• 組み込みパケットキャプチャ設定ガイド、Cisco IOS XEリリース3S、保存
• Cisco IOSネットワーク管理設定ガイド
• シスコのテクニカルサポートとダウンロード