Verwendung des Troubleshoot Guide für Ethanalyzer auf Nexus 7000

Einleitung

In diesem Dokument wird der Ethanalyzer beschrieben, ein integriertes Tool zur Paketerfassung in Cisco NX-OS für Steuerungspakete auf Basis von Wireshark.

Hintergrundinformationen

Wireshark ist ein Open-Source-Netzwerkprotokoll-Analysator, der in vielen Branchen und Bildungseinrichtungen eingesetzt wird. Es dekodiert Pakete, die von libpcap, der Paketerfassungsbibliothek, erfasst wurden. Cisco NX-OS läuft auf dem Linux-Kernel, der die libpcap-Bibliothek verwendet, um die Paketerfassung zu unterstützen.

Mit Ethanalyzer können Sie:

• Erfassen Sie vom Supervisor gesendete oder empfangene Pakete.
• Legen Sie die Anzahl der zu erfassenden Pakete fest.
• Legen Sie die Länge der zu erfassenden Pakete fest.
• Zeigt Pakete mit zusammengefassten oder detaillierten Protokollinformationen an.
• Öffnen und Speichern der erfassten Paketdaten
• Filtern von Paketen, die anhand zahlreicher Kriterien erfasst wurden
• Pakete filtern, die nach vielen Kriterien angezeigt werden sollen.
• Decodieren Sie den internen 7000-Header des Steuerungspakets.

Ethanalyzer kann nicht:

• Warnung anzeigen, wenn in Ihrem Netzwerk Probleme auftreten Ethanalyzer kann Ihnen jedoch dabei helfen, die Ursache des Problems zu ermitteln.
• Erfassen Sie Datenverkehr auf Datenebene, der an die Hardware weitergeleitet wird.
• Unterstützung der schnittstellenspezifischen Erfassung.

Ausgabeoptionen

Dies ist eine zusammenfassende Ansicht der Ausgabe des Befehls ethanalyzer local interface inband. Die ?-Option zeigt Hilfe an.

Verwenden Sie die Detailoption für detaillierte Protokollinformationen. ^C kann verwendet werden, um den Vorgang abzubrechen und die Switch-Eingabeaufforderung bei Bedarf während einer Erfassung erneut abzurufen.

Filteroptionen

Erfassungsfilter

Verwenden Sie die Erfassungsfilteroption, um auszuwählen, welche Pakete während der Erfassung angezeigt oder auf der Festplatte gespeichert werden sollen. Ein Erfassungsfilter behält eine hohe Erfassungsrate bei, während er filtert. Da die Pakete nicht vollständig zerlegt wurden, sind die Filterfelder vordefiniert und eingeschränkt.

Anzeigefilter

Verwenden Sie die display-filter-Option, um die Ansicht einer Erfassungsdatei (TMP-Datei) zu ändern. Ein Anzeigefilter verwendet vollständig sezierte Pakete, sodass Sie bei der Analyse einer Netzwerk-Ablaufverfolgungsdatei sehr komplexe und erweiterte Filter durchführen können. Die TMP-Datei kann jedoch schnell gefüllt werden, da sie zunächst alle Pakete erfasst und dann nur die gewünschten Pakete anzeigt.

In diesem Beispiel wird limit-capture-frames auf 5 gesetzt. Mit der Option "capture-filter" zeigt Ihnen Ethanalyzer fünf Pakete an, die mit dem Filter-Host 10.10.10.2 übereinstimmen. Mit der Option display-filter erfasst Ethanalyzer zunächst fünf Pakete und zeigt dann nur die Pakete an, die mit dem Filter ip.addr==10.10.10.2 übereinstimmen.

Schreiboptionen

Schreiben

Mit der Schreiboption können Sie die Erfassungsdaten in eine Datei auf einem der Speichergeräte (z. B. Bootflash oder Logflash) des Cisco Nexus Switches der Serie 7000 schreiben, um sie später zu analysieren. Die Größe der Erfassungsdatei ist auf 10 MB beschränkt.

Ein Beispiel für einen Ethanalyzer-Befehl mit einer Schreiboption ist ethanalyzer local interface inband write bootflash: capture_file_name. Ein Beispiel für eine Schreiboption mit Capture-Filter und dem Namen der Ausgabedatei der ersten Capture ist:

Wenn die erfassten Daten in einer Datei gespeichert werden, werden die erfassten Pakete standardmäßig nicht im Terminalfenster angezeigt. Die Anzeigeoption erzwingt die Anzeige der Pakete in Cisco NX-OS, während die erfassten Daten in einer Datei gespeichert werden.

Capture-Ring-Buffer

Die Option capture-ring-buffer erstellt mehrere Dateien nach einer bestimmten Anzahl von Sekunden, einer bestimmten Anzahl von Dateien oder einer bestimmten Dateigröße. Definitionen dieser Optionen finden Sie in diesem Screenshot:

Leseoptionen

Mit der Leseoption können Sie die gespeicherte Datei auf dem Gerät selbst lesen.

Sie können die Datei auch auf einen Server oder einen PC übertragen und mit Wireshark oder einer anderen Anwendung lesen, die Cap- oder PCAP-Dateien lesen kann.

Decode-intern mit Detailoption

Die Option decode-internal gibt interne Informationen darüber aus, wie der Nexus 7000 das Paket weiterleitet. Diese Informationen helfen Ihnen, den Fluss von Paketen durch die CPU zu verstehen und Fehler zu beheben.

Konvertieren Sie den NX-OS-Index in hexadezimale Zahlen. Verwenden Sie dann den Befehl show system internal pixm info ltl x, um den LTL-Index (Local Target Logic) einer physischen oder logischen Schnittstelle zuzuordnen.

Beispiele für Erfassungsfilterwerte

Erfassen von Datenverkehr zu oder von einem IP-Host

host 10.1.1.1

Erfassen von Datenverkehr zu oder von einem Bereich von IP-Adressen

net 172.16.7.0/24
net 172.16.7.0 mask 255.255.255.0

Erfassen von Datenverkehr von einem IP-Adressbereich

src net 172.16.7.0/24
src net 172.16.7.0 mask 255.255.255.0

Erfassen von Datenverkehr an einen IP-Adressbereich

dst net 172.16.7.0/24
dst net 172.16.7.0 mask 255.255.255.0

Nur Datenverkehr über ein bestimmtes Protokoll erfassen - Nur DNS-Datenverkehr erfassen

DNS ist das Domain Name System Protocol.

port 53

Erfassung von Datenverkehr nur über ein bestimmtes Protokoll - Erfassung von DHCP-Datenverkehr

DHCP ist das Dynamic Host Configuration Protocol.

port 67 or port 68

Erfassen von Datenverkehr außerhalb eines bestimmten Protokolls - Ausschließen von HTTP- oder SMTP-Datenverkehr

SMTP ist das Simple Mail Transfer Protocol.

host 172.16.7.3 and not port 80 and not port 25

Erfassen von Datenverkehr außerhalb eines bestimmten Protokolls - Ausschließen von ARP- und DNS-Datenverkehr

ARP ist das Address Resolution Protocol.

port not 53 and not arp

Nur IP-Datenverkehr erfassen - Protokolle der unteren Ebene wie ARP und STP ausschließen

STP ist das Spanning Tree Protocol.

ip

Nur Unicast-Datenverkehr erfassen - Broadcast- und Multicast-Ankündigungen ausschließen

not broadcast and not multicast

Erfassung von Datenverkehr innerhalb eines Bereichs von Layer-4-Ports

tcp portrange 1501-1549

Erfassung von Datenverkehr basierend auf Ethernet-Typ - Erfassung von EAPOL-Datenverkehr

EAPOL ist das Extensible Authentication Protocol over LAN.

ether proto 0x888e

IPv6-Workaround für die Erfassung

ether proto 0x86dd

Erfassung von Datenverkehr basierend auf IP-Protokolltyp

ip proto 89

Ablehnen von Ethernet-Frames basierend auf der MAC-Adresse - Ausschließen von Datenverkehr, der zur LLDP-Multicast-Gruppe gehört

LLDP ist das Link Layer Discovery Protocol.

not ether dst 01:80:c2:00:00:0e

Erfassung von UDLD-, VTP- oder CDP-Datenverkehr

UDLD steht für Unidirectional Link Detection, VTP für das VLAN Trunking Protocol und CDP für das Cisco Discovery Protocol.

ether host 01:00:0c:cc:cc:cc

Erfassen von Datenverkehr zu oder von einer MAC-Adresse

ether host 00:01:02:03:04:05

Anmerkung:
und
oder = ||
nicht = !
MAC-Adressformat: xx:xx:xx:xx:xx:xx:xx

Gemeinsame Kontrollebenenprotokolle

• UDLD: Destination Media Access Controller (DMAC) = 01-00-0C-CC-CC-CC und EthType = 0x0111
• LACP: DMAC = 01:80:C2:00:00:02 und EthType = 0x8809. LACP steht für Link Aggregation Control Protocol.
  
• STP: DMAC = 01:80:C2:00:00:00 und EthType = 0x4242 - oder - DMAC = 01:00:0C:CC:CC:CD und EthType = 0x010B
• CDP: DMAC = 01-00-0C-CC-CC-CC und EthType = 0x2000
• LLDP: DMAC = 01:80:C2:00:00:0E oder 01:80:C2:00:00:03 oder 01:80:C2:00:00:00 und EthType = 0x88CC
• DOT1X: DMAC = 01:80:C2:00:00:03 und EthType = 0x888E. DOT1X steht für IEEE 802.1x.
  
• IPv6: EthType = 0x86DD
  
• Liste der UDP- und TCP-Portnummern

Bekannte Probleme

Cisco Bug-ID CSCue4854: Der Ethianalyzer-Erfassungsfilter erfasst keinen Datenverkehr von der CPU auf SUP2.

Cisco Bug-ID CSCtx79409: Capture-Filter kann nicht mit decode-intern verwendet werden.

Cisco Bug-ID CSCvi02546: SUP3-generiertes Paket kann FCS haben, dies ist erwartetes Verhalten.

Zugehörige Informationen

• Wireshark: Erfassungsfilter
• Wireshark: Anzeigefilter
• Technischer Support und Dokumentation für Cisco Systeme