Inleiding
Dit document beschrijft de Ethanalyzer, een Cisco NX-OS geïntegreerd pakketopnamegereedschap voor controlepakketten die zijn gebaseerd op Wireshark.
Achtergrondinformatie
Wireshark is een open-source, netwerk protocol analyzer die veel wordt gebruikt in vele industrieën en onderwijsinstellingen. Het decodeert pakketten die zijn opgenomen door libpcap, de pakketopnamebibliotheek. Cisco NX-OS draait bovenop de Linux-kernel, die de libpcap-bibliotheek gebruikt om pakketopname te ondersteunen.
Met Ethanalyzer kunt u:
- Leg pakketten vast die door de supervisor zijn verzonden of ontvangen.
- Stel het aantal pakketten in dat moet worden opgenomen.
- Stel de lengte in van de pakketten die moeten worden opgenomen.
- Vertoon pakketten met summiere of gedetailleerde protocolinformatie.
- Open en bewaar pakketgegevens die zijn opgenomen.
- Filterpakketten die op vele criteria zijn opgenomen.
- Filterpakketten die op vele criteria moeten worden weergegeven.
- Decodeer de interne 7000 header van het besturingspakket.
Ethanalyzer kan niet:
- Waarschuw u wanneer uw netwerk problemen ervaart. Ethanalyzer kan u echter helpen bij het bepalen van de oorzaak van het probleem.
- Leg dataplatformverkeer vast dat doorgestuurd wordt in de hardware.
- Ondersteuning van interfacespecifieke opname.
Uitloopopties
Dit is een overzichtsweergave van de uitvoer van de ethanalyzer lokale interface inband opdracht. De ?-optie geeft de help weer.
Gebruik de detailoptie voor gedetailleerde protocolinformatie. ^C kan worden gebruikt om de switch-prompt te annuleren en indien nodig terug te krijgen in het midden van een opname.
Filteropties
Opname-filter
Gebruik de optie opnamefilter om te selecteren welke pakketten u tijdens de opname wilt weergeven of op schijf wilt opslaan. Een opnamefilter behoudt een hoge opnamesnelheid terwijl het filtert. Omdat volledige dissectie niet is gedaan op de pakketten, zijn de filtervelden vooraf gedefinieerd en beperkt.
Display filter
Gebruik de optie voor het weergeven van filters om de weergave van een opnamebestand (tmp-bestand) te wijzigen. Een weergavefilter maakt gebruik van volledig ontlede pakketten, zodat u zeer complexe en geavanceerde filtering kunt uitvoeren wanneer u een netwerk tracefile analyseert. Het tmp-bestand kan echter snel worden gevuld omdat het eerst alle pakketten opneemt en vervolgens alleen de gewenste pakketten weergeeft.
In dit voorbeeld, worden de limiet-opgenomen-frames ingesteld op 5. Met de opnamefilteroptie toont Ethanalyzer vijf pakketten die overeenkomen met de filterhost 10.10.10.2. Met de display-filter optie, neemt Ethanalyzer eerst vijf pakketten en toont dan alleen de pakketten die overeenkomen met de filter ip.addr==10.10.10.2.
Schrijfopties
Schrijven
Met de schrijfoptie kunt u de opnamegegevens schrijven naar een bestand in een van de opslagapparaten (zoals bootflash of logflash) op de Cisco Nexus 7000 Series Switch voor latere analyse. De grootte van het opnamebestand is beperkt tot 10 MB.
Een voorbeeld Ethanalyzer commando met een schrijfoptie is ethanalyzer lokale interface in band schrijven bootflash: capture_file_name. Een voorbeeld van een schrijfoptie met opnamefilter en een uitvoerbestandsnaam van de eerste opname is:
Wanneer de opnamegegevens in een bestand worden opgeslagen, worden de opgenomen pakketten standaard niet weergegeven in het terminalvenster. De weergaveoptie dwingt Cisco NX-OS de pakketten weer te geven terwijl de opnamegegevens in een bestand worden opgeslagen.
Capture-Ring-buffer
De optie Capture-ring-buffer maakt meerdere bestanden na een bepaald aantal seconden, een bepaald aantal bestanden of een bepaalde bestandsgrootte. De definities van deze opties zijn in deze schermopname:
Leesopties
Met de leesoptie kunt u het opgeslagen bestand op het apparaat zelf lezen.
U kunt het bestand ook overdragen naar een server of een pc en het lezen met Wireshark of een andere toepassing die cap-bestanden of pcap-bestanden kan lezen.
Decoderen-intern met Detail-optie
De decodeer-interne optie meldt interne informatie over hoe de Nexus 7000 het pakket doorstuurt. Deze informatie helpt u de stroom van pakketten via de CPU te begrijpen en problemen op te lossen.
Converteer de NX-OS index naar hexadecimaal en gebruik vervolgens de show system interne pixm info ltl x commando om de lokale target logic (LTL) index naar een fysieke of logische interface te koppelen.
Voorbeelden van opnamefilterwaarden
Opname van verkeer naar of van een IP-host
host 10.1.1.1
Leg verkeer naar of van een reeks IP-adressen vast
net 172.16.7.0/24
net 172.16.7.0 mask 255.255.255.0
Leg verkeer vanaf een reeks IP-adressen vast
src net 172.16.7.0/24
src net 172.16.7.0 mask 255.255.255.0
Leg verkeer op een bereik van IP-adressen vast
dst net 172.16.7.0/24
dst net 172.16.7.0 mask 255.255.255.0
Leg verkeer alleen op een bepaald protocol vast - alleen DNS-verkeer opnemen
DNS is het Domain Name System Protocol.
port 53
Leg verkeer alleen op een bepaald protocol vast - alleen DHCP-verkeer opnemen
DHCP is het Dynamic Host Configuration Protocol.
port 67 or port 68
Leg verkeer niet op een bepaald protocol vast - sluit HTTP- of SMTP-verkeer uit
SMTP is het Simple Mail Transfer Protocol.
host 172.16.7.3 and not port 80 and not port 25
Leg verkeer niet op een bepaald protocol vast - sluit ARP- en DNS-verkeer uit
ARP is het Protocol voor adresoplossing.
port not 53 and not arp
Alleen IP-verkeer vastleggen - protocollen op lagere laag, zoals ARP en STP, uitsluiten
STP is het Spanning Tree Protocol.
ip
Alleen Unicast-verkeer vastleggen - uitzending en multicast-aankondigingen uitsluiten
not broadcast and not multicast
Capture Traffic binnen een bereik van Layer 4-poorten
tcp portrange 1501-1549
Capture Traffic op basis van Ethernet-type - Capture Ethernet-verkeer
EAPOL is het verlengbare verificatieprotocol via LAN.
ether proto 0x888e
IPv6-opnametijdelijke oplossing
ether proto 0x86dd
Capture Traffic op basis van IP-protocoltype
ip proto 89
Ethernet-frames afwijzen op basis van MAC-adres - verkeer uitsluiten dat tot de LLDP-multicastgroep behoort
LLDP is het Link Layer Discovery Protocol.
not ether dst 01:80:c2:00:00:0e
Leg UDLD-, VTP- of CDP-verkeer vast
UDLD is Unidirectionele linkdetectie, VTP is het VLAN-trunkingprotocol en CDP is het Cisco-detectieprotocol.
ether host 01:00:0c:cc:cc:cc
Opname van verkeer naar of van een MAC-adres
ether host 00:01:02:03:04:05
Opmerking:
en = &
of = ||
niet = !
MAC-adresindeling: xx:xx:xx:xx:xx:xx:xx
Protocollen van gemeenschappelijke controlevliegtuigen
- UDLD: Bestemmingsmedia-toegangscontroller (DMAC) = 10-00-0C-CC-CC en EthType = 0x011
- LACP: DMAC = 01:80:C2:00:00:02 en EthType = 0x809. LACP staat voor Link Aggregation Control Protocol.
- STP: DMAC = 01:80:C2:00:00 en EthType = 0x4242 - of - DMAC = 01:00:0C:CC:CD en EthType = 0x010B
- CDP: DMAC = 01-00-0C-CC-CC en EthType = 0x2000
- LLDP: DMAC = 01:80:C2:00:00:0E of 01:80:C2:00:00:03 of 01:80:C2:00:00:00 en EthType = 0x88CC
- DOT1X: DMAC = 01:80:C2:00:00:03 en EthType = 0x88E. DOT1X staat voor IEEE 802.1x.
- IPv6: EthType = 0x86DD
- Lijst met UDP- en TCP-poortnummers
Bekende problemen
Cisco bug-id CSCue4854: het Ethanalyzer Capture-filter neemt geen verkeer van CPU op SUP2 op.
Cisco bug-id CSCtx79409: kan opnamefilter niet gebruiken met een decoder-intern.
Cisco bug-id CSCvi02546: SUP3-gegenereerd pakket kan FCS hebben, dit is verwacht gedrag.
Gerelateerde informatie