ネットワークの観察にEthcapture
ネットワーク関連の仕事をしていると、パケットの様子を見たくなるものです。Wiresharkやtcpdumpを使って、パソコンやサーバで観察するのは日常茶飯事です。
パソコンやサーバ自体に届くパケットは、そのパソコンやサーバでパケットキャプチャすれば見ることができますが、他のネットワーク機器での様子や、ネットワーク機器間の様子を観察したいときは、そう簡単ではありません。
昔々なら、HUBといえばバカHUBでしたし、もっと昔なら10BASE5のトランシーバーとか、10BASE2のデイジーチェーンとかでも、ネットワークに流れるパケットはどの機器にも届いていたので、まだ観察も楽でしたが、今どきはスイッチされますので、ブロードキャスト以外の、他人宛のパケットは届きません。ミラーポート付きのスイッチや、古いバカHUBを探し出してキャプチャするか、ネットワークインターフェースを2個装着したLinuxマシンでも用意して、パケットを仲介しながらキャプチャするなど、それなりに面倒なことになります。
そんなときに・・・
手のひらサイズのコンパクトサイズで、ネットワークポートを2個持ち、測定したい箇所に挿入するだけで簡単にキャプチャできます。記録容量も少ないので、大量の通信が流れているところでのキャプチャには向きませんが、自動でローテーションしながらキャプチャしてくれます。
先日、自宅のIP電話の仕組みを理解してみようと、EthcaptureをTA:ONUルーター間に挿入してキャプチャしてみました。
大規模向けDHCPサーバのProDHCPを開発販売している私としては、もちろん、まずはDHCPの様子を観察です。
ICMPで重複確認をしてからOFFERし、ACK応答も速いですね〜。
続いてSIP。
TAの電源投入後、登録をしています。その後、自分の携帯電話にワン切りしてみましたが、まさにその通りにパケットが流れています(当たり前ですが)。
他にもRADUISなど、TAが最初に何をしているかが手に取るように分かります。ネットワークを勉強している学生さんには是非使ってみて欲しいところですが、個人で買うには少し高いかも知れませんね。このくらいプログラムを自作するのも簡単ですし、小さなLinux機はRaspberryPiやBeagleBoneなど手軽に買える時代になりましたので、ネットワークポートの増設はUSBイーサーネットアダプタでも使ってなんとかすれば自作も十分可能です。
Ethcaptureの便利な点はこの手軽さだけではありません。今どき社内のネットワーク環境に許可されていないパソコンを接続することなどまず許されませんから、何らかの問題が発生して、客先でパケットの様子を見ようと思ってもパソコンをつながせてもらうことはまず無理です。それ以前に、データセンターなどでは入らせてもらえないことも多いでしょう。そんなときに、Ethcaptureをキャプチャーモードにして渡して、挿入して運用してもらい、問題が発生したら取り外して送り返してもらう、ということができるのです。パソコンではなく、キャプチャ専用機ですので、申請もかなり通りやすくなることが多い感じです。
さて、こんな感じでEthcaptureは毎年一定の需要があり、根強く売れている製品ですが、その割にあまりアピールしないのは・・・売れる数が中途半端で、製造を社外に委託するほどでもないので、社内でファームの書き込みなどを手作業で行って出荷しているからなのでした。不正接続対策システムのIntraGuardian2+や回線遅延シミュレーターのEthdelayシリーズは社外にお願いしているので、大量の注文があってもスムーズなのですが、Ethcaptureは社内手工生産なので、あまり大量に注文が来ると困るのでした。このブログで急に売れるということはないので大丈夫だとは思いますが、メンバー達からはあまり歓迎されない内容なのかも知れません・・・?