Article qui détaille la réalisation d’une capture au format pcap directement depuis un switch Cisco Catalyst 9000 ou 3650/3850. Ce qui peut permettre un diagnostic de problème à distance en évitant le déploiement d’une sonde ou un déplacement sur site. Nécessite un niveau de licence IP Base ou IP Services sur les Catalyst 3650 / 3850 (pas disponible sur LAN Base).

La capture se configure en utilisant la commande monitor capture sur le switch. Voici les options disponibles pour définir les paramètres de la capture:

Voici, par exemple, comment réaliser une capture de paquets avec les paramètres suivants:

• sur l’interface Gi0/1, dans les deux sens
• stockage dans un fichier Capture.pcap limité à une taille maximale de 100 Mo (le maximum)
• durée maximale de la capture limitée à 180 secondes
• pas de filtres sur la nature du trafic capturé

La commande show monitor capture permet de contrôler la configuration et le statut de la capture:

Pour stopper la capture manuellement, avant qu’elle n’atteigne les limites configurées, il faut utiliser la commande monitor capture Capture stop:

Dans notre cas le fichier de capture est stocké sur la mémoire flash du switch. On va rapatrier ce fichier via le protocole TFTP vers un PC Windows (utilisation de tftpd64).

Nous pouvons maintenant ouvrir le fichier avec Wireshark pour réaliser notre analyse 🙂