Коммутаторы SNR серий S2962, S2965, S2982G, S2985G, S2995G и S3850G поддерживают функцию захвата пакетов из CPU (Rx и Tx). Дамп записывается на Flash в формате .pcap и доступен для прочтения любой программой-анализатором на компьютере, например Wireshark.
Важно!
Захват пакетов для последующего анализа может значительно снизить время, затрачиваемое на поиск проблем с Control Plane, а также помочь с выявлением источников вредоносной активности, например, клиентов, отправляющих невалидные ARP или IGMP пакеты.
Для того, чтобы воспользоваться функционалом, достаточно в привилегированном (не конфигурационном) режиме применить команду:
capture match ipv4 <>
Рассмотрим несколько параметров:
Существует возможность указать количество пакетов:
capture match ipv4 count <>
После применения коммутатор захватит X пакетов в CPU (Rx+Tx) в файл default.pcap на Flash. Или размер файла в мегабайтах (S2995G и S3850G):
capture match ipv4 file-size <>
Можно добавить фильтр по MAC-адресу источника или назначения (если это ARP или RARP, их тоже можно добавить в фильтр):
capture match mac source <mac_addr> destination <mac_addr> {arp | rarp}
Или фильтр по IP-адресу/подсети источника и/или назначения, опционально указать протокол UDP или TCP и/или src/dst порт:
capture match ipv4 source net <ip_addr/mask> destination net <ip_addr/mask> {tcp | udp} {source-port | destination-port} <port_num>
Протоколы ICMP и IGMP можно добавить в фильтр отдельно, опционально указать IP-адрес или подсеть источника и/или назначения:
capture match {icmp | igmp} source net <ip_addr/mask> destination net <ip_addr/mask>
Также можно задать имя файла, который будет создан:
capture match ipv4 file <name>
Важно!
Для последующего копирования на сервер имя файла указывайте с точкой в конце, например "test.".
Для того, чтобы остановить запись файла в текущий момент, нужно ввести:
capture packet force stop
Скопировать файл c дампом трафика на компьютер для анализа можно также, как и любой другой файл - через FTP или TFTP-сервер:
copy file_name. tftp://ip_addr/file_name. copy file_name. ftp://user:password@ip_addr/file_name.