Tcpdump на коммутаторах SNR

Коммутаторы SNR серий S2962, S2965, S2982G, S2985G, S2995G и S3850G поддерживают функцию захвата пакетов из CPU (Rx и Tx). Дамп записывается на Flash в формате .pcap и доступен для прочтения любой программой-анализатором на компьютере, например Wireshark.

Захват пакетов для последующего анализа может значительно снизить время, затрачиваемое на поиск проблем с Control Plane, а также помочь с выявлением источников вредоносной активности, например, клиентов, отправляющих невалидные ARP или IGMP пакеты.

Для того, чтобы воспользоваться функционалом, достаточно в привилегированном (не конфигурационном) режиме применить команду:

capture match ipv4 <>

Рассмотрим несколько параметров:

Существует возможность указать количество пакетов:

capture match ipv4 count <>

После применения коммутатор захватит X пакетов в CPU (Rx+Tx) в файл default.pcap на Flash. Или размер файла в мегабайтах (S2995G и S3850G):

capture match ipv4 file-size <>

Можно добавить фильтр по MAC-адресу источника или назначения (если это ARP или RARP, их тоже можно добавить в фильтр):

capture match mac source <mac_addr> destination <mac_addr​> {arp | rarp}

Или фильтр по IP-адресу/подсети источника и/или назначения, опционально указать протокол UDP или TCP и/или src/dst порт:

capture match ipv4 source net <ip_addr/mask> destination net <ip_addr/mask> {tcp | udp} {source-port | destination-port} <port_num>

Протоколы ICMP и IGMP можно добавить в фильтр отдельно, опционально указать IP-адрес или подсеть источника и/или назначения:

capture match {icmp | igmp} source net <ip_addr/mask> destination net <ip_addr/mask>

Также можно задать имя файла, который будет создан:

capture match ipv4 file <name>

Для того, чтобы остановить запись файла в текущий момент, нужно ввести:

capture packet force stop

Скопировать файл c дампом трафика на компьютер для анализа можно также, как и любой другой файл - через FTP или TFTP-сервер:

copy file_name. tftp://ip_addr/file_name.
copy file_name. ftp://user:password@ip_addr/file_name.