Ce document décrit comment configurer la fonctionnalité Wireshark pour les commutateurs de la gamme Cisco Catalyst 4500.
Pour utiliser la fonctionnalité Wireshark, vous devez remplir les conditions suivantes :
Les informations de ce document sont basées sur les commutateurs de la gamme Cisco Catalyst 4500 qui exécutent Supervisor Engine 7-E.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Les commutateurs de la gamme Cisco Catalyst 4500 qui exécutent Supervisor Engine 7-E ont une nouvelle fonctionnalité intégrée avec Cisco IOS?-XE Versions 3.3(0) / 151.1 ou ultérieures. Cette fonctionnalité Wireshark intégrée permet de capturer des paquets d'une manière qui remplace l'utilisation traditionnelle de l'analyseur de port de commutateur (SPAN) par un PC connecté afin de capturer des paquets dans un scénario de dépannage.
Cette section sert de guide de démarrage rapide pour commencer une capture. Les informations fournies sont très générales et vous devez implémenter des filtres et des paramètres de tampon si nécessaire afin de limiter la capture excessive de paquets si vous opérez dans un réseau de production.
Complétez ces étapes afin de configurer la fonctionnalité Wireshark :
4500TEST#show version
Cisco IOS Software, IOS-XE Software, Catalyst 4500 L3 Switch Software
(cat4500e-UNIVERSAL-M), Version 03.03.00.SG RELEASE SOFTWARE (fc3)
<output omitted>
License Information for 'WS-X45-SUP7-E'
License Level: entservices Type: Permanent
Next reboot license Level: entservices
cisco WS-C4507R+E (MPC8572) processor (revision 8)
with 2097152K/20480K bytes of memory.
Processor board ID FOX1512GWG1
MPC8572 CPU at 1.5GHz, Supervisor 7
<output omitted>
4500TEST#show proc cpu history
History information for system:
888844444222222222222222333334444422222222222222255555222222
100
90
80
70
60
50
40
30
20
10 **** ****
0.....5.....1.....1.....2.....2.....3.....3.....4.....4.....5....5
0 5 0 5 0 5 0 5 0 5
CPU% per second (last 60 seconds)
4500TEST#monitor capture MYCAP interface g2/26 both
4500TEST#monitor capture file bootflash:MYCAP.pcap
4500TEST#monitor capture MYCAP match any start
*Sep 13 15:24:32.012: %BUFCAP-6-ENABLE: Capture Point MYCAP enabled.
4500TEST#monitor capture MYCAP start capture-filter "icmp"
*Sep 13 15:25:07.933: %BUFCAP-6-DISABLE_ASYNC:Entrez cette commande afin d'arrêter manuellement la capture :
Capture Point MYCAP disabled. Reason : Wireshark session ended
4500TEST#monitor capture MYCAP stop
4500TEST#show monitor capture file bootflash:MYCAP.pcap
1 0.000000 44:d3:ca:25:9c:c9 -> 01:00:0c:cc:cc:cc CDP
Device ID: 4500TEST Port ID: GigabitEthernet2/26
2 0.166983 00:19:e7:c1:6a:18 -> 01:80:c2:00:00:00 STP
Conf. Root = 32768/1/00:19:e7:c1:6a:00 Cost = 0 Port = 0x8018
3 0.166983 00:19:e7:c1:6a:18 -> 01:00:0c:cc:cc:cd STP
Conf. Root = 32768/1/00:19:e7:c1:6a:00 Cost = 0 Port = 0x8018
4 1.067989 14.1.98.2 -> 224.0.0.2 HSRP Hello (state Standby)
5 2.173987 00:19:e7:c1:6a:18 -> 01:80:c2:00:00:00 STP
Conf. Root = 32768/1/00:19:e7:c1:6a:00 Cost = 0 Port = 0x8018
4500TEST#show monitor capture file bootflash:MYCAP.pcap display-filter "icmp"
17 4.936999 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=0/0, ttl=255)
18 4.936999 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=0/0, ttl=251)
19 4.938007 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=1/256, ttl=255)
20 4.938007 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=1/256, ttl=251)
21 4.938998 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=2/512, ttl=255)
22 4.938998 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=2/512, ttl=251)
23 4.938998 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=3/768, ttl=255)
24 4.940005 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=3/768, ttl=251)
25 4.942996 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=4/1024, ttl=255)
26 4.942996 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=4/1024, ttl=251)
4500TEST#copy bootflash: ftp://Username:Password@
4500TEST#copy bootflash: tftp:
4500TEST#no monitor capture MYCAP
4500TEST#show monitor capture MYCAP
<no output>
4500TEST#
Par défaut, la taille limite du fichier de capture est de 100 paquets, soit 60 secondes dans un fichier linéaire. Afin de modifier la limite de taille, utilisez l'option limit dans la syntaxe de capture du moniteur :
4500TEST#monitor cap MYCAP limit ?
duration Limit total duration of capture in seconds
packet-length Limit the packet length to capture
packets Limit number of packets to capture
La taille maximale du tampon est de 100 Mo. Ceci est ajusté, ainsi que le paramètre de tampon circulaire/linéaire, avec cette commande :
4500TEST#monitor cap MYCAP buffer ?
circular circular buffer
size Size of buffer
La fonction Wireshark intégrée est un outil très puissant s'il est utilisé correctement. Il permet de gagner du temps et des ressources lors du dépannage d'un réseau. Cependant, soyez prudent lorsque vous utilisez la fonctionnalité, car elle peut augmenter l'utilisation du CPU dans les situations de trafic élevé. Ne configurez jamais l'outil et laissez-le sans surveillance.
Aucune procédure de vérification n'est disponible pour cette configuration.
En raison de limitations matérielles, vous pouvez recevoir des paquets en panne dans le fichier de capture. Ceci est dû aux tampons séparés utilisés pour les captures de paquets d'entrée et de sortie. Si votre capture contient des paquets en panne, définissez les deux tampons sur entrée. Cela empêche les paquets en sortie de traiter avant les paquets en entrée lorsque la mémoire tampon est traitée.
Si vous voyez des paquets en panne, il est recommandé de modifier votre configuration des deux à l'entrée sur les deux interfaces.
Voici la commande précédente :
4500TEST#monitor capture MYCAP interface g2/26 both
Remplacez la commande par les commandes suivantes :
4500TEST#monitor capture MYCAP interface g2/26 in
4500TEST#monitor capture MYCAP interface g2/27 in
+------------+
| |
| 4500 |
+------+ | | +------+
| +---------->in out+---------> |
| host | |g2/26 g2/27| | host |
| <----------+out in<---------+ |
+------+ | | +------+
| |
+------------+
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
12-Sep-2013 |
Première publication |