Este documento describe cómo configurar la función Wireshark para los switches Catalyst de Cisco serie 4500.
Para utilizar la función Wireshark, debe cumplir estas condiciones:
La información de este documento se basa en los switches Catalyst de Cisco serie 4500 que ejecutan Supervisor Engine 7-E.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Los switches Catalyst de Cisco serie 4500 que ejecutan Supervisor Engine 7-E tienen una nueva funcionalidad integrada con Cisco IOS?-XE versiones 3.3(0) / 151.1 o posterior. Esta función de Wireshark integrada tiene la capacidad de capturar paquetes de una manera que reemplace el uso tradicional del analizador de puertos de switch (SPAN) por un PC conectado para capturar paquetes en un escenario de solución de problemas.
Esta sección sirve como guía de inicio rápido para iniciar una captura. La información proporcionada es muy general, y debe implementar filtros y configuraciones de búfer según sea necesario para limitar la captura excesiva de paquetes si opera en una red de producción.
Complete estos pasos para configurar la función Wireshark:
4500TEST#show version
Cisco IOS Software, IOS-XE Software, Catalyst 4500 L3 Switch Software
(cat4500e-UNIVERSAL-M), Version 03.03.00.SG RELEASE SOFTWARE (fc3)
<output omitted>
License Information for 'WS-X45-SUP7-E'
License Level: entservices Type: Permanent
Next reboot license Level: entservices
cisco WS-C4507R+E (MPC8572) processor (revision 8)
with 2097152K/20480K bytes of memory.
Processor board ID FOX1512GWG1
MPC8572 CPU at 1.5GHz, Supervisor 7
<output omitted>
4500TEST#show proc cpu history
History information for system:
888844444222222222222222333334444422222222222222255555222222
100
90
80
70
60
50
40
30
20
10 **** ****
0.....5.....1.....1.....2.....2.....3.....3.....4.....4.....5....5
0 5 0 5 0 5 0 5 0 5
CPU% per second (last 60 seconds)
4500TEST#monitor capture MYCAP interface g2/26 both
4500TEST#monitor capture file bootflash:MYCAP.pcap
4500TEST#monitor capture MYCAP match any start
*Sep 13 15:24:32.012: %BUFCAP-6-ENABLE: Capture Point MYCAP enabled.
4500TEST#monitor capture MYCAP start capture-filter "icmp"
*Sep 13 15:25:07.933: %BUFCAP-6-DISABLE_ASYNC:Ingrese este comando para detener manualmente la captura:
Capture Point MYCAP disabled. Reason : Wireshark session ended
4500TEST#monitor capture MYCAP stop
4500TEST#show monitor capture file bootflash:MYCAP.pcap
1 0.000000 44:d3:ca:25:9c:c9 -> 01:00:0c:cc:cc:cc CDP
Device ID: 4500TEST Port ID: GigabitEthernet2/26
2 0.166983 00:19:e7:c1:6a:18 -> 01:80:c2:00:00:00 STP
Conf. Root = 32768/1/00:19:e7:c1:6a:00 Cost = 0 Port = 0x8018
3 0.166983 00:19:e7:c1:6a:18 -> 01:00:0c:cc:cc:cd STP
Conf. Root = 32768/1/00:19:e7:c1:6a:00 Cost = 0 Port = 0x8018
4 1.067989 14.1.98.2 -> 224.0.0.2 HSRP Hello (state Standby)
5 2.173987 00:19:e7:c1:6a:18 -> 01:80:c2:00:00:00 STP
Conf. Root = 32768/1/00:19:e7:c1:6a:00 Cost = 0 Port = 0x8018
4500TEST#show monitor capture file bootflash:MYCAP.pcap display-filter "icmp"
17 4.936999 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=0/0, ttl=255)
18 4.936999 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=0/0, ttl=251)
19 4.938007 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=1/256, ttl=255)
20 4.938007 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=1/256, ttl=251)
21 4.938998 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=2/512, ttl=255)
22 4.938998 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=2/512, ttl=251)
23 4.938998 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=3/768, ttl=255)
24 4.940005 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=3/768, ttl=251)
25 4.942996 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=4/1024, ttl=255)
26 4.942996 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=4/1024, ttl=251)
4500TEST#copy bootflash: ftp://Username:Password@
4500TEST#copy bootflash: tftp:
4500TEST#no monitor capture MYCAP
4500TEST#show monitor capture MYCAP
<no output>
4500TEST#
De forma predeterminada, el límite de tamaño del archivo de captura es de 100 paquetes, o 60 segundos en un archivo lineal. Para cambiar el límite de tamaño, utilice la opción limit en la sintaxis de captura de monitor:
4500TEST#monitor cap MYCAP limit ?
duration Limit total duration of capture in seconds
packet-length Limit the packet length to capture
packets Limit number of packets to capture
El tamaño máximo del búfer es de 100 MB. Esto se ajusta, así como la configuración del búfer circular/lineal, con este comando:
4500TEST#monitor cap MYCAP buffer ?
circular circular buffer
size Size of buffer
La función Wireshark integrada es una herramienta muy potente si se utiliza correctamente. Ahorra tiempo y recursos al resolver problemas de una red. Sin embargo, tenga cuidado al utilizar la función, ya que podría aumentar la utilización de la CPU en situaciones de tráfico alto. Nunca configure la herramienta y déjela desatendida.
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Debido a las limitaciones de hardware, es posible que reciba paquetes despedidos en el archivo de captura. Esto se debe a las memorias intermedias separadas utilizadas para las capturas de paquetes de ingreso y egreso. Si tiene paquetes fuera de servicio en su captura, configure ambos búfers en ingreso. Esto evita que los paquetes de salida se procesen antes de los paquetes de ingreso cuando se procesa el búfer.
Si ve paquetes fuera de servicio, se recomienda cambiar la configuración de ambos a dentro en ambas interfaces.
Este es el comando anterior:
4500TEST#monitor capture MYCAP interface g2/26 both
Cambie el comando a lo siguiente:
4500TEST#monitor capture MYCAP interface g2/26 in
4500TEST#monitor capture MYCAP interface g2/27 in
+------------+
| |
| 4500 |
+------+ | | +------+
| +---------->in out+---------> |
| host | |g2/26 g2/27| | host |
| <----------+out in<---------+ |
+------+ | | +------+
| |
+------------+
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
12-Sep-2013 |
Versión inicial |