Cisco Nexusで簡単にパケットをキャプチャする方法

概要
bashの起動からtcpdumpによるキャプチャ
もっと簡単にパケットをキャプチャしたい場合
参考

概要

NexusはLinuxベースで出来ているためbashを起動することが可能です。つまり、tcmdumpを使用することができます。今回はその使い方などについて解説したいと思います。

bashの起動からtcpdumpによるキャプチャ

まずは、bashの機能を有効化する必要があります。下記のコマンドを投入してbashを使用可能にします。

conf t
feature bash-shell

次に下記のコマンドを投入してbashを起動します。

run bash

最後にtcpdumpを起動して任意のI/Fのパケットをキャプチャします。

sudo tcpdump -i Eth1-1 -w /bootflash/test.pcap

tcpdumpの使い方については下記の記事を参考にしてみてください。

https://webkaru.net/linux/tcpdump-command/
https://itc.tokyo/linux/tcpdump-command/

キャプチャしたファイルは、SCPコマンドやWINSCPで取り出してwiresharkがインストールされている端末で解析することができます。bootflash:はWINSCPでログインすると一番初めに表示されるファイルシステムとなります。SCPコマンドを使用する場合は特にこの配下にキャプチャファイルを保存すると良いでしょう。

もっと簡単にパケットをキャプチャしたい場合

Nexus9000 Series限定ではありますが、CPUをSPANの宛先にすることでパケットをキャプチャ、任意のファイルシステムに保存することが可能です。

詳しくは下記のドキュメントに載っています。

https://community.cisco.com/t5/tkb-%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB%E3%83%B3%E3%82%BF%E3%83%BC-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/cisco-nexus-9000-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-span-%E3%81%A8-ethanalyzer-%E3%82%92%E4%BD%B5%E7%94%A8%E3%81%97%E3%81%9F%E3%83%91%E3%82%B1%E3%83%83%E3%83%88%E3%82%AD%E3%83%A3%E3%83%97%E3%83%81%E3%83%A3%E3%83%BC/ta-p/4123375

注意点

CPUにパケットを送るということで、所謂CoPP(Control Plane Policing)が機能しない状態だからCPU負荷が高くなりダウンしてしまうのではないか？と危惧される方もいらっしゃるかと思います。大丈夫です。50Kbpsの受信レート制限が強制的にかけられているためです。見方を変えると、最大50kbpsのレートでしかパケットをキャプチャできないため、同じ送信元・宛先IPやプロトコルの通信フローを確認したい場合には全く向いていません。あくまでもどんな種類の通信が発生しているのかを確認する程度に留めておくのがよいでしょう。