Cisco Prime Network Analysis Module ユーザ ガイド リリース 6.0
パケットのキャプチャとデコード
パケットのキャプチャとデコード
発行日;2014/04/07 | 英語版ドキュメント(2013/12/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

パケットのキャプチャとデコード

パケット分析の基本

クイック キャプチャの使用方法

キャプチャ セッションの作成および管理

ハードウェアおよびソフトウェアのキャプチャ セッション フィルタについて

キャプチャ セッションの表示

キャプチャ セッションの設定

グローバル キャプチャ設定について

ソフトウェア フィルタを使用したネットワーク トラフィックのフィルタリング

カスタマイズされたアプリケーション用のソフトウェア キャプチャ フィルタの作成

ソフトウェア キャプチャ フィルタの編集

ソフトウェア キャプチャ フィルタ オプションの理解

ハードウェア フィルタのサポート

NAM サービス モジュール ハードウェア フィルタの作成

その他の NAM ハードウェア フィルタの作成

キャプチャ ファイルの取り扱い

キャプチャ セッションについて

キャプチャ ファイルの分析

パケット エラーの詳細へのドリルダウン

キャプチャ ファイルのダウンロード

キャプチャ ファイルの削除

複数のキャプチャ ファイルの削除

キャプチャ データ ストレージの利用

データ ストレージへのキャプチャ

ファイル ストレージ用 LUN の準備

LUN を使用したキャプチャ セッションの保存

外部ストレージ LUN のログインおよびログアウト

外部ストレージの接続と切断

データ ストレージの回復

疑いのあるトラフィックのパケット デコード情報の検査

Packet Decoder でのパケットの表示

Packet Decoder に表示されるパケットのフィルタリング

詳細なプロトコル デコード情報の表示

パケット デコーダについて

[Packet Decoder] ウィンドウおよび [Browser] ペインについて

アラームによってトリガーされるキャプチャの使用

時間ベース キャプチャの使用方法

ディスプレイ フィルタのカスタマイズ

カスタム表示フィルタの作成

カスタム表示フィルタの編集

カスタム表示フィルタの削除

パケットのキャプチャとデコード

キャプチャ機能を使用して、パケット データのキャプチャ、フィルタ、復号化を行う複数のセッションをセット アップできます。その後、ローカルまたはリモートのファイル制御システムでデータを管理し、パケットの内容を表示できます。


) このソフトウェア機能は、ハードウェア プラットフォームによって制限される場合があります。詳細については、『NAM Compatibility Matrix』を参照してください。


この章は、次の項で構成されています。

「パケット分析の基本」

「クイック キャプチャの使用方法」

「キャプチャ セッションの作成および管理」

「キャプチャ ファイルの取り扱い」

「キャプチャ データ ストレージの利用」

「疑いのあるトラフィックのパケット デコード情報の検査」

パケット分析の基本

ここでは、パフォーマンス データの収集と解析によってネットワークの正常動作を確認したり、ネットワークの問題を正確に示したりする方法の概要を示します。

Prime NAM を使用してデータを収集し、分析する方法は数多くあります。データを収集するための前提条件として、NAM データポートを通る SPAN または ERSPAN をセットアップする必要があります。 表 5-1 に、ネットワークが最適化されトラブルがないことを確認するために実行可能な、キャプチャの基本の概要を示します。

 

表 5-1 データの収集および分析

基本
動作
説明

任意の NAM ダッシュボードからトラフィック データを迅速に収集

クイック キャプチャ

選択したダッシュボード グラフに基づくデータ収集をターゲットとして、トラフィックをただちに解析するためのキャプチャ セッションおよびデコード ウィンドウを提供します。「クイック キャプチャの使用方法」を参照してください。

ネットワークの問題について知るためのデータを予防的に収集

継続的な収集または時間ベースのキャプチャ

次の目的でのデータ収集を可能にします。

ネットワークの問題の前に収集された既存データを使用

繰り返し発生する異常に基づいたデータ収集をセット アップ

特定の長期的なパフォーマンス データに焦点を当てるようにハードウェアおよびソフトウェア フィルタを作成

[Capture] > [Packet/Capture Decode] > [Sessions]

サポート対象 NAM ハードウェアでは、処理のために NAM に送信を許可するトラフィック量を制限するのを助けます。「ハードウェア フィルタのサポート」および「ソフトウェア フィルタを使用したネットワーク トラフィックのフィルタリング」を参照してください。

パフォーマンス確認用にノンストップ モニタリングを作成

継続的な収集

メモリとストレージのいずれかに、データを長期間保存できます。「データ ストレージへのキャプチャ」を参照してください。

問題の切り分けのためのターゲット モニタリングを作成

[Start]/[Stop]/[Stop Capture and Save to File]

キャプチャ セッションを操作できます。「アラームアクションの設定」および「アラームによってトリガーされるキャプチャの使用」を参照してください。

データ収集用ストレージをセットアップ

[Capture] > [Packet/Capture Decode] > [Data Storage]

メモリとストレージのいずれかに、データを長期間保存できます。「データ ストレージへのキャプチャ」を参照してください。

潜在的な問題についてのデータ分析

Decode

シナリオ例:ワイヤレス環境での異常動作についてアプリケーションとホスト データを分析

アプリケーションとホスト カンバセーションにトラフィック分析手段を使用して、CAPWAP または LWAPP カプセル化を介して潜在的な問題を判別します。たとえば、ネットワークの輻輳、異常なトラフィック使用率、アプリケーション パフォーマンスの問題などです。

それから、モニタや分析画面を表示し、時間の範囲をカスタマイズして異常動作の発生時を見極めます。

クイック キャプチャの使用方法

設定作業をまったく行わずに、ドリルダウン メニュー オプション [Capture] を使用して、トラフィック データをすばやく収集できます。

[Applications]、[Hosts]、[VLANs] を表示するダッシュボードの多数の棒グラフから、キャプチャを開始できます。たとえば、棒グラフ内でアプリケーションをクリックし(図 5-1 を参照)、[Capture] を選択すると、次の操作が自動的に行われます。

メモリベースのキャプチャ セッションが作成される

そのアプリケーションを使用してソフトウェア フィルタが作成される

キャプチャ セッションが開始される

復号化ウィンドウが開き、キャプチャされているパケットをすぐに表示する

復号化ウィンドウを使用してデータを分析する方法について詳しくは、「疑いのあるトラフィックのパケット デコード情報の検査」を参照してください。

図 5-1 クイック キャプチャ

キャプチャ セッションの作成および管理

キャプチャ セッションの目的とは、フィルタのキャプチャ、パケット データの復号化、ローカルまたはリモートのファイル制御システムでのデータの管理を行い、パケットのコンテンツを表示することです。キャプチャされたパケットを復号化し、NAM で分析すると、問題をより効率的に切り分けることができます。

ここでは、次の内容について説明します。

「ハードウェアおよびソフトウェアのキャプチャ セッション フィルタについて」

「キャプチャ セッションの表示」

「キャプチャ セッションの設定」

「グローバル キャプチャ設定について」

「ソフトウェア フィルタを使用したネットワーク トラフィックのフィルタリング」

「ハードウェア フィルタのサポート」

ハードウェアおよびソフトウェアのキャプチャ セッション フィルタについて

特定のパケット データをフィルタリングし、ローカルまたはリモートのファイル制御システムでその情報を管理できます。これにより、ネットワーク問題の可視化が向上し、不要な情報を除外できます。特定のパケット データを受信対象とするために、ハードウェアまたはソフトウェアのフィルタを使用できます。

図 5-2 に示すように、NAM で受信したパケットが、設定されたハードウェア フィルタを通過すると、パケットは次のステップに進みます。ハードウェア フィルタが設定されていなければ、すべてのパケットが通過します。ハードウェア フィルタの詳細については、「ハードウェア フィルタのサポート」を参照してください。


) ハードウェア フィルタは、特定の Prime NAM プラットフォームでサポートされています。詳細については、『Cisco Prime Network Analysis Module Release Notes』を参照してください。


そのため、パケットをそのセッションで保存するには、そのセッションの中で少なくとも 1 つのソフトウェア フィルタを通過する必要があります。セッションに対してソフトウェア フィルタが設定されていない場合は、すべてのパケットがキャプチャされます。ソフトウェア フィルタの詳細については、「ソフトウェア フィルタを使用したネットワーク トラフィックのフィルタリング」を参照してください。

サポートされている NAM プラットフォームのパフォーマンスを高めるには、ソフトウェア フィルタよりもハードウェア フィルタが推奨され、多数のセッションより少数のセッションが推奨されます。

図 5-2 のアイテムを設定する順序は、特に決められていません。たとえば、[Global Capture Settings] を最初に設定してからキャプチャ セッションを設定し、その後にフィルタを作成することも、ハードウェア フィルタとソフトウェア フィルタを先に作成してからキャプチャ セッションを作成し、最後に [Global Capture Settings] を適用することもできます。ただし、セッションは最後に「スタート」することを推奨します。それ以外の場合は、フィルタが設定され、パケット スライスが実行される前にキャプチャを開始します。

[Global Capture Settings] およびハードウェア フィルタは、セッションが実行中でも随時変更できます。変更点は、実行中のキャプチャ セッションに即座に反映されます。詳細については、「グローバル キャプチャ設定について」を参照してください。

図 5-2 NAM キャプチャ セッションの例

 

キャプチャ セッションの表示

NAM でパケット データをキャプチャ、表示、およびデコードするための基本的な操作を行うには、[Capture] > [Packet Capture/Decode] > [Sessions] の順に選択します。

[Capture Sessions] ウィンドウに、キャプチャ セッションのリストが表示されます。設定されていない場合は、リストには何も表示されません。 表 B-47 に、[Capture Sessions] ウィンドウから実行できるアクションおよび [Capture Sessions] フィールドについて説明します。

キャプチャ セッションの設定

時間の経過に伴ってデータを収集し、データを分析するさまざまな場所があることが重要である場合があるので、キャプチャの場所またはターゲットごとに複数のセッションがサポートされています。ターゲットごとに複数のセッションを使用してデータを収集できますが、各ターゲットにつき 1 セッションだけ実行できます。Prime NAM では、現在のところ 25 個のキャプチャ セッションをサポートしています。外部ストレージがある場合、ローカル ディスクと複数の LUN に保存できます。キャプチャ セッションの設定の一部として、必要に応じてソフトウェア フィルタも作成できます(「カスタマイズされたアプリケーション用のソフトウェア キャプチャ フィルタの作成」を参照)。

新しいキャプチャ セッションを設定するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ステップ 2 [Create] をクリックして、新しいキャプチャを設定します。NAM によって、[Configure Capture Session] ウィンドウが表示されます。

ステップ 3 適宜、キャプチャ設定フィールド( 表 B-48 )に情報を入力します。

複数のファイルにキャプチャする場合は、ファイル名に拡張子が追加されます。たとえば、キャプチャ名が CaptureA の最初のファイルは CaptureA_1、2 番めのファイルは CaptureA_2 といった具合にラベルが付けられます。

ステップ 4 [Submit] をクリックして、このセッションの設定を終了するか、このセッションのソフトウェア フィルタを設定します(「グローバル キャプチャ設定について」を参照)。


 

グローバル キャプチャ設定について

グローバル キャプチャ設定では、すべてのセッションにカスタム パケット スライスとエラー設定を適用できます。これは [Capture Sessions] ウィンドウ([Hardware Filters] ウィンドウの上)にあります。

[Global Capture Settings] ダイアログには、次のものが含まれます。

グローバル パケット スライス

エラー パケット

グローバル パケット スライス

パケット スライスは、モニタリング アプリケーション層で実行されるフィルタリング方法です。NAM に着信するパケットのサイズを設定し、データ ストレージに一部だけを保存できます。トラフィック データを詳細に保存することも、ヘッダー情報のみにデータを限定することもできます。

[Global Packet Slicing] はデフォルトでは [Disable] に設定されています。グローバル パケット スライスをイネーブルにするには、[Enable] オプション ボタンをクリックし、ドロップダウン メニューから [Packet Slice Size] を選択します。このメニューには、56 ~ 504 までの値が 16 バイト刻みで示されます。

この設定は、すべてのキャプチャ セッションに影響し、個々のキャプチャ セッションのソフトウェア スライス設定を無効にします([Global Packet Slicing] 設定の方が小さい場合)。たとえば、スライス フィールドが 100 に設定されたキャプチャ セッションがあるが、[Global Packet Slicing] が 56 に設定されている場合、すべてのパケットは 56 バイトにスライスされます。

エラー パケット設定の詳細については、「エラー パケット」を参照してください。

エラー パケット

[Error Packets] 設定は、エラー パケットをパケット キャプチャに転送するかどうかを指定します。エラー パケットとは、小さすぎる、または大きすぎるパケットや、CRC エラーが発生したパケットなど、通常はネットワーク インターフェイス カードによってドロップされるパケットです。エラー パケットは、ネットワークのトラブルシューティングに役立ちます。

次のオプションがあります。

Include in capture (デフォルト):エラーのあるパケットとエラーのないパケットを含めます。

Exclude from capture :エラー パケットを除外します。パケット キャプチャにはエラーのないパケットだけが含まれます。

Only error packets in capture :エラーのないパケットを除外します。パケット キャプチャにはエラー パケットだけが含まれます。このオプションは、ディスク領域を節約できますが、すべてのパケットの詳細を見渡すことができないため、あまり助けにならない場合があります。

この設定は、すべてのキャプチャ セッションに対して適用されます。グローバル パケット スライスの詳細については、「グローバル パケット スライス」を参照してください。

ソフトウェア フィルタを使用したネットワーク トラフィックのフィルタリング

関心のある情報以外のすべてのキャプチャ データを無視できる、特別なフィルタを作成し、保存することができます(図 5-2 を参照)。1 つのセッションに対し、複数のソフトウェア フィルタを設定できます(最大 6 つまで)。これにより、関心のあるトラフィックを絞り込むことができ、リソース(メモリまたはディスク領域)を節約できます。

NAM-3 および NAM-NX1 サービス モジュールでは、複数のソフトウェア フィルタでは「OR(論理和)」を使用します。つまり、パケットがいずれかのソフトウェア フィルタを通過すると、そのパケットはキャプチャされます。

セッションを作成し、開始すると、セッションを停止せずに編集または分析することができません。すでにキャプチャされたデータを含むセッションを編集すると、セッションがクリアされ、データが削除されることを示す警告が表示されます。セッションのクリアとデータの削除が適切であれば、警告ダイアログ メッセージを無視し、セッションにフィルタを追加し、[Submit] をクリックして新しいフィルタ設定を有効化します。

プロトコル解析の一番上のレイヤ(通常は、ポートに基づき、レイヤ 4 プロトコル)をフィルタするには、アプリケーション フィルタを使用します。転送プロトコル(UDP、TCP など)をフィルタするには、[IP Protocol] セレクタを使用する必要があります。たとえば、[IP Protocol] セレクタで [TCP] を選択すると、TCP を使用するすべてのパケットがフィルタされます。


ヒント カプセル化でキャプチャ ソフトウェア フィルタリングを設定している場合は注意してください。ネットワーク トラフィックの上位 3 層に対してのみカプセル化でソフトウェア キャプチャ フィルタを設定した場合は、上位 3 層が、指定されたカプセル化タイプに一致する場合のみデータが表示されます。

ソフトウェア フィルタを使用したネットワーク トラフィックのフィルタリングに関するヘルプについては、次の項を参照してください。

「カスタマイズされたアプリケーション用のソフトウェア キャプチャ フィルタの作成」

「ソフトウェア キャプチャ フィルタの編集」

「ソフトウェア キャプチャ フィルタ オプションの理解」

カスタマイズされたアプリケーション用のソフトウェア キャプチャ フィルタの作成

多くの変数でソフトウェアのキャプチャ フィルタを作成できます。このワークフローは、特定のカスタマイズされたアプリケーション用のフィルタを作成する方法について調べます。

ソフトウェア キャプチャ フィルタを作成するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

[Configure Capture Session] ウィンドウの下半分に、設定されたソフトウェア フィルタが表示されます。

ステップ 2 新しいソフトウェア フィルタを作成するには、[Software Filters] ペインの下にある [Create] をクリックします。

ステップ 3 各フィールドに、適切な情報を入力します。フィールドの説明については、 表 B-54 を参照してください。

ステップ 4 [Submit] をクリックしてフィルタを作成するか、[Cancel] をクリックして、ソフトウェア フィルタを作成せずにダイアログボックスを閉じます。


 

ソフトウェア キャプチャ フィルタの編集

ソフトウェア キャプチャ フィルタを編集するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ページの下に [Software Filters] ボックスが表示されます。

ステップ 2 編集するフィルタを選択し、[Edit] をクリックします。

[Software Filter] ダイアログ ボックスが表示されます。 表 B-54 を参照してください。

ステップ 3 各フィールドに、適切な情報を入力します。

ステップ 4 次のどちらかを実行します。

変更内容を適用するには、[Submit] をクリックします。

変更をキャンセルするには、[Cancel] をクリックします。


 

ソフトウェア キャプチャ フィルタ オプションの理解

次のいずれかのオプションに基づいて絞り込むソフトウェア フィルタを定義できます。

送信元ホスト アドレス

宛先ホスト アドレス

ネットワーク カプセル化

VLAN または VLAN 範囲

アプリケーション

送信元ポートまたはポート範囲

宛先ポートまたはポート範囲

ソフトウェア キャプチャ フィルタリングは、URL ベースのアプリケーションではサポートされません。

表 B-53 では、[Software Filter] ダイアログ ボックスのフィールドについて説明します。

 


) 上記の表で説明したパラメータは、NAM によって個別に評価されます。したがって、NAM では矛盾するパラメータを入力できますが、一致しなければ意味のある結果を得ることはできません。

たとえば、[Network Encapsulation] と [Source/Destination Address] パラメータは、個別に評価されています。ここで、[Network Encapsulation] には [IP4]、[Source Address] には IPv6 アドレスを入力するなど、矛盾するパラメータを持つフィルタが指定された場合は、どのトラフィックにも一致しないため、結果として、パケットはキャプチャされません。


ハードウェア フィルタのサポート

ハードウェア フィルタリングを使用して、処理のため NAM に入るトラフィックの量を制限できます。サービス モジュールでは、ハードウェア データ パスのスループット制限があり、ハードウェア フィルタリングは NAM へのトラフィックを軽減できます。ハードウェア フィルタリングをサポートする NAM のハードウェア プラットフォームは次のとおりです。

サービス モジュール:NAM-3 および NAM-NX1

特定の NAM 2000 シリーズ アプライアンス:2204、2220、および 2320

ハードウェア フィルタのサポートは、NAM によって異なります。

「NAM サービス モジュール ハードウェア フィルタの作成」

「その他の NAM ハードウェア フィルタの作成」

NAM サービス モジュール ハードウェア フィルタの作成

この項は、NAM-3 および NAM-NX1 のサービス モジュールにのみ適用できます。

NAM-3 および NAM-NX1 のサービス モジュールには、固有のハードウェア フィルタ論理があります。これらのハードウェア フィルタでは、無関係のトラフィックを排除することにより、キャプチャのパフォーマンスを向上できます。これは、ハードウェア フィルタによって絞り込まれるパケットは、NAM によって処理されないからです。また、パケットの一部だけをキャプチャし、残りを破棄するよう NAM に指示できるため、ハードウェア フィルタを使用し、キャプチャ デコードにおいて特定のパケットを探すこともできます。

ハードウェア フィルタとグローバル パケット スライスは、ERSPAN キャプチャ セッションを除くすべてのキャプチャ セッションに影響します。アーキテクチャの概念については、 NAM キャプチャ セッションの例図 5-2を参照してください。

Prime NAM は、最大 4 台のハードウェア フィルタをサポートします。ハードウェア フィルタは、削除せずに無効化できます。

各フィルタに対し、AND/OR 論理で条件を設定できます。同一フィルタでは、同じ論理タイプしか使用できません。また、同一フィルタ内では AND/OR 論理を混合させることはできません。また、フィルタを AND/OR 論理で組み合わせることもできます。使用できるフィルタ論理の例については、図 5-3 を参照してください。

図 5-3 ハードウェア フィルタ論理(AND/OR)

選択肢については、次の項で説明します。特定の結果を得る方法について詳しくは、「ハードウェア フィルタの設定の例」を参照してください。


ヒント ソフトウェア フィルタは、フィルタ処理に柔軟性を与えますが、最も効率的なのはハードウェア フィルタです。ソフトウェア フィルタを必要とするトラフィックが少なければ少ないほど、より効果的なフィルタ処理を行えます。

ハードウェア フィルタの設定と管理に関する情報については、次のトピックを参照してください。

「ハードウェア フィルタの作成」

「ハードウェア フィルタの設定値の設定」

「ハードウェア フィルタの設定の例」

[Capture] > [Packet Capture/Decode] > [Sessions] の順に選択すると、Cisco NAM で設定されたハードウェア フィルタのステータスと設定を表示できます。[Sessions] ページの下に [Hardware Filters] ボックスが表示されます。

ハードウェア フィルタの作成

[Hardware Filters] ウィンドウには、定義されたハードウェア フィルタのステータスと設定が表示されます。ハードウェア フィルタでキャプチャを設定するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。ウィンドウの上半分には [Capture Sessions]、下半分には [Hardware Filters] が表示されます。

ステップ 2 ウィンドウ下部の [Hardware Filters] セクションで [Create] ボタンをクリックします。[Hardware Filter] ダイアログが開きます。

ステップ 3 [Name] フィールドにハードウェア フィルタの名前を入力します。

ステップ 4 [Enable] チェックボックスをオンにして、フィルタを有効にします。[Enable] チェックボックスがオフの状態でフィルタが作成されると、フィルタは保存されますが、アクティブ化されません。フィルタを編集し、[Enable] チェックボックスをオンにすると、後から有効にすることもできます。

ステップ 5 [AND] または [OR] オプション ボタンを選択します。ここでの選択は、次の手順で行うすべての選択にも適用されます(選択肢は 表 5-3 で説明します)。

ステップ 6 フィルタする属性のボックスをオンにし、対応するドロップダウン メニューから目的のオプションを選択します。[Check All] チェック ボックスですべてのチェック ボックスを選択します。 表 B-52 を参照してください。

 

ステップ 7 次のそれぞれを行うには、以下の各ボタンをクリックします。

ハードウェア フィルタの設定を完了するには [Apply]

中断し、前のウィンドウに戻るには [Cancel]

前の設定に戻すには [Reset]


 

ハードウェア フィルタの設定値の設定

[Hardware Filter Settings] では、すべてのキャプチャ ハードウェア フィルタに対するグローバル設定を指定します。

すべてのハードウェア フィルタに適用される設定を追加するには、次の手順に従います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ステップ 2 下の [Hardware Filters] セクションで、[Hardware Filter Settings] ボタンをクリックします。

ステップ 3 すべてのハードウェア フィルタに設定される、[AND] または [OR] 組み合わせ論理を選択します。この論理は、フィルタを組み合わせるために使用されます。図 5-3 の緑色のテキストを参照してください。

ステップ 4 [Include in capture] または [Exclude from capture] パケット照合論理を選択します。この選択肢は、設定されたすべてのハードウェア フィルタに適用されます。

[Exclude from capture] は、設定されたすべてのハードウェア フィルタに一致するパケットを破棄します。一方で、一致しないパケットはすべてキャプチャされます。

ステップ 5 [Apply] をクリックします。


 

ハードウェア フィルタの設定の例

次のネットワーク トラフィックを設定するには、これらのトピックを使用します。

「IP サブユニット + L4 ポート(アプリケーション)」

「VLAN + L4 プロトコル」

「複数ホスト」

「VLAN の範囲」

「データ ポート + フレーム長」

「MPLS」

IP サブユニット + L4 ポート(アプリケーション)

10.1.1.0/24 サブユニットからのすべての HTTP トラフィックをキャプチャするには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 論理 [AND] オプション ボタンを選択します(つまり、以下の選択肢が組み合わせられます)。

ステップ 4 [Source IP Address] チェックボックスをオンにし、サブネット「10.1.1.0/24」を入力します。

ステップ 5 [L4 Source Port] チェックボックスをオンにし、HTTP ポート「80」を入力します。

ステップ 6 [Apply] をクリックします。


 

反対方向の HTTP 通信を見るには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 論理 [AND] オプション ボタンを選択します。

ステップ 4 [Destination IP Address] を選択し、前と同じサブネット「10.1.1.0/24」を入力します。

ステップ 5 [L4 Destination Port] を選択し、同じポート番号「80」を入力します。

ステップ 6 [Apply] をクリックします。

ステップ 7 着信と発信を表示するには、[Hardware Filter Settings] をクリックし、[OR] 論理を選択します。これにより、2 つのハードウェア フィルタが OR 論理で組み合わせられます。


 

VLAN + L4 プロトコル

VLAN 100 からのすべての TCP トラフィックを表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 論理 [AND] オプション ボタンを選択します。

ステップ 4 [VLAN] を選択し、VLAN「100」を入力します。

ステップ 5 [L4 Protocol] を選択し、[TCP] を選択します。

ステップ 6 [Apply] をクリックします。


 

複数ホスト

複数のホスト(1.1.1.1、2.2.2.2...)間で送受信されるトラフィックを表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 論理 [OR] オプション ボタンを選択します。

ステップ 4 [Source IP Address] チェックボックスをオンにし、1 つめのホスト「1.1.1.1」を入力します。

ステップ 5 [Destination IP Address] チェックボックスをオンにし、同じホスト「1.1.1.1」を入力します。

ステップ 6 [Apply] をクリックします。

ステップ 7 [Create] をクリックし、2 つめのハードウェア フィルタを作成します。

ステップ 8 [Name] フィールドにハードウェア フィルタの名前を入力します。

ステップ 9 論理 [OR] オプション ボタンを選択します。

ステップ 10 [Source IP Address] チェックボックスをオンにし、2 つめのホスト「2.2.2.2」を入力します。

ステップ 11 [Destination IP Address] チェックボックスをオンにし、2 つめのホスト「2.2.2.2」を入力します。

ステップ 12 [Apply] をクリックします。

ステップ 13 必要であれば、3 つめ、4 つめのホストに対して ステップ 7 から ステップ 12 を繰り返します。

ステップ 14 [Hardware Filter Settings] をクリックし、論理 [OR] オプション ボタンを選択します。


 

VLAN の範囲

VLAN 10 から 20 のすべてのトラフィックを表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 [VLAN IDs] チェックボックスをオンにし、ドロップダウン メニューから [Greater Than] を選択します。

ステップ 4 空白のフィールドに、VLAN 範囲の下限である「9」を入力します。

ステップ 5 [Apply] をクリックします。

ステップ 6 [Create] をクリックし、2 つめのフィルタを作成します。

ステップ 7 [Name] フィールドに名前を入力します。

ステップ 8 [VLAN IDs] チェックボックスをオンにし、ドロップダウン メニューから [Less Than] を選択します。

ステップ 9 空白のフィールドに、VLAN 範囲の下限である「21」を入力します。

ステップ 10 [Apply] をクリックします。

ステップ 11 [Hardware Filter Settings ] をクリックして [AND] オプション ボタンを選択します。これにより、すべてのハードウェア フィルタの論理が組み合わせられます。


 

データ ポート + フレーム長

200 バイト以下の DATA PORT 1 にスパンされたすべてのトラフィックを表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 論理 [AND] オプション ボタンを選択します。

ステップ 4 [Data Port] ドロップダウン リストから [DATA PORT 1] を選択します。

ステップ 5 [Frame Length] チェックボックスをオンにし、ドロップダウン メニューから [Less Than] を選択します。

ステップ 6 空白のフィールドに、フレーム長の上限である「200」を入力します。

ステップ 7 [Apply] をクリックします。


 

MPLS

最初の MPLS ラベルが 300 のトラフィックを表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 [MPLS Label] チェックボックスをオンにします。

ステップ 4 空白のフィールドに、ラベル「300」を入力します。

ステップ 5 [Apply] をクリックします。


 

双方向通信

ホスト 1.1.1.1 と 2.2.2.2 間の双方向の通信を表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 論理 [AND] オプション ボタンを選択します。

ステップ 4 [Source IP Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、1 つめのホスト「1.1.1.1」を入力します。

ステップ 5 [Destination Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、2 つめのホスト「2.2.2.2」を入力します。

ステップ 6 [Apply] をクリックします。

ステップ 7 [Create] をクリックし、2 つめのハードウェア フィルタを作成します。

ステップ 8 [Name] フィールドにハードウェア フィルタの名前を入力します。

ステップ 9 論理 [AND] オプション ボタンを選択します。

ステップ 10 [Source IP Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、2 つめのホスト「2.2.2.2」を入力します。

ステップ 11 [Destination Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、1 つめのホスト「1.1.1.1」を入力します。

ステップ 12 [Apply] をクリックします。

ステップ 13 [Hardware Filter Settings] ボタンをクリックし、[OR] オプション ボタンを選択します。

ステップ 14 [Apply] をクリックします。


 

ネガティブ フィルタ論理

前の例では、パケットに照合するフィルタを設定しました。ネガティブ フィルタ論理では、これらをブロックします。

前の例の通信以外のすべてを表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Hardware Filter Settings] ボタンをクリックします。

ステップ 2 [Packet Match Logic] では [Exclude from capture] オプション ボタンを選択します。

ステップ 3 [Apply] をクリックします。


 

キャプチャ セッションのソフトウェア フィルタを設定する方法については、次の項「グローバル キャプチャ設定について」を参照してください。

その他の NAM ハードウェア フィルタの作成

ハードウェア フィルタを使用すると、無関係のフィルタをできるだけ多く排除する、ハードウェア固有のフィルタを提供することにより、キャプチャのパフォーマンスを向上できます。ハードウェア フィルタによってフィルタされたパケットは NAM によって処理されないため、キャプチャのパフォーマンスも高くなります。この項は、NAM サービス モジュールを除くすべての NAM プラットフォームに適用できます。詳細については、「NAM サービス モジュール ハードウェア フィルタの作成」を参照してください。

ソフトウェア フィルタは、フィルタ処理に柔軟性を与えますが、キャプチャ セッションの効率性は、ハードウェア フィルタだけを使用した場合に最も高くなります。ソフトウェア フィルタを必要とするトラフィックが少なければ少ないほど、より効果的なフィルタ処理を行えます。

ハードウェア フィルタリングをサポートする NAM アプライアンスでは、アプライアンスごとに 5 台のハードウェア フィルタをセット アップできます。

詳しくは、「ハードウェア フィルタの設定」を参照してください。

ハードウェア フィルタの設定

[Hardware Filters] ウィンドウは、[Capture] > [Packet Capture/Decode] > [Sessions] ウィンドウの下に表示されます。ハードウェア フィルタを設定するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ステップ 2 ウィンドウの下の、[Hardware Filters] セクションで [Create] ボタンをクリックします。

ステップ 3 [Name] フィールドに名前を入力します。

ステップ 4 [Type] ドロップダウン リストから次のいずれかのタイプを選択します。

VLAN

VLAN および IP

IP

IP および TCP/UDP

IP およびペイロード データ

ペイロード データ

ステップ 5 選択したハードウェア フィルタのタイプに対応する、データ フィールドが表示されます。目的のフィールドを入力します。より具体的な情報には、上記のリンクを選択します。

ステップ 6 キャプチャ セッションの設定を完了するには、[Submit] をクリックします。それ以外の場合は、[Reset] をクリックして前の設定に戻すか、[Cancel] をクリックして中断します。


 

VLAN

VLAN ハードウェア フィルタを設定するには、次の操作を行います。


ステップ 1 フィルタ名を入力します。

ステップ 2 [Type] ドロップダウン メニューから [VLAN] を選択します。

ステップ 3 [Range] または [Individuals] オプション ボタンを選択します。[Range] の場合は、VLAN の範囲を入力します。[Individuals] の場合は、個別の VLAN を最大で 4 つまで入力します。

ステップ 4 [Submit] をクリックします。


 

VLAN および IP

VLAN および IP ハードウェア フィルタを設定するには、次の操作を行います。


ステップ 1 フィルタ名を入力します。

ステップ 2 [Type] ドロップダウン メニューから [VLAN and IP] を選択します。

ステップ 3 目的の VLAN の ID を入力します。VLAN ID の範囲は、1 ~ 4095 です。

ステップ 4 [Source Address / Mask] に入力します(オプション)。

ステップ 5 [Destination Address / Mask] に入力します(オプション)。

ステップ 6 [Layer 4 Protocol] を選択します(オプション)。

ステップ 7 [Submit] をクリックします。


 

IP

IP ハードウェア フィルタを設定するには、次の操作を行います。


ステップ 1 フィルタ名を入力します。

ステップ 2 [Type] ドロップダウン メニューから、[IP] を選択します。

ステップ 3 [Source Address / Mask] に入力します(オプション)。

ステップ 4 [Destination Address / Mask] に入力します(オプション)。

ステップ 5 [Layer 4 IP Protocol] を選択します(オプション)。

ステップ 6 [Submit] をクリックします。


 

IP および TCP/UDP

IP および TCP/UDP ハードウェア フィルタを設定するには、次の操作を行います。


ステップ 1 フィルタ名を入力します。

ステップ 2 [Type] ドロップダウン メニューから、[IP and TCP/UDP] を選択します。

ステップ 3 [Source Address / Mask] に入力します(オプション)。

ステップ 4 [Destination Address / Mask] に入力します(オプション)。

ステップ 5 [IP Protocol] で [TCP] または [UDP] を選択します。

ステップ 6 [TCP/UDP Source Port] に入力します(オプション)。

ステップ 7 [TCP/UDP Destination Port] に入力します(オプション)。

ステップ 8 [Submit] をクリックします。


 

IP およびペイロード データ

IP およびペイロード データ ハードウェア フィルタを設定するには、次の操作を行います。


ステップ 1 フィルタ名を入力します。

ステップ 2 [Type] ドロップダウン メニューから、[IP and Payload Data] を選択します。

ステップ 3 [Source Address / Mask] に入力します(オプション)。

ステップ 4 [Destination Address / Mask] に入力します(オプション)。

ステップ 5 [IP Protocol] で [TCP] または [UDP] を選択します。

ステップ 6 [Payload Data] の値を入力します。

[Offset] に 1 ~ 1023 の値を入力します。オフセットは、ペイロードの始めに相対的な値です(レイヤ 5)。

[Value] に最大 4 バイトの値を入力します(8 つの 16 進数)。

[Mask] に最大 4 バイトの値を入力します(8 つの 16 進数)。

ステップ 7 最大 4 つのペイロード データ セグメントに対し、ステップ 6 を繰り返します。


) 必要なのは、1 つのペイロード セグメント(1 行)だけです。ペイロード セグメントが重複しないよう注意してください。重複するセグメントに異なる値がある場合は、固有の論理積により、フィルタは何にも一致しなくなります。


ステップ 8 [Submit] をクリックします。


 

ペイロード データ

ペイロード データ ハードウェア フィルタを設定するには、次の手順に従います。


ステップ 1 フィルタ名を入力します。

ステップ 2 [Type] ドロップダウン メニューから、[Payload Data] を選択します。

ステップ 3 [IP Protocol] で [TCP] または [UDP] を選択します。

ステップ 4 [Payload Data] の値を入力します。

[Offset] に 1 ~ 1023 の値を入力します。オフセットは、ペイロードの始めに相対的な値です(レイヤ 5)。

[Value] に最大 4 バイトの値を入力します(8 つの 16 進数)。

[Mask] に最大 4 バイトの値を入力します(8 つの 16 進数)。

ステップ 5 最大 4 つのペイロード データ セグメントに対し、ステップ 4 を繰り返します。


) 必要なのは、1 つのペイロード セグメント(1 行)だけです。ペイロード セグメントが重複しないよう注意してください。重複するセグメントに異なる値がある場合は、固有の論理積により、フィルタは何にも一致しなくなります。


ステップ 6 [Submit] をクリックします。


 

キャプチャ ファイルの取り扱い

保存済みのパケット キャプチャ ファイルをデコード、ダウンロード、名前変更、変換/マージ、削除、分析、またはエラースキャンするには、[Files] オプションを使用します。

この項では、次のトピックについて取り上げます。

「キャプチャ セッションについて」

「キャプチャ ファイルの分析」

「キャプチャ ファイルのダウンロード」

「キャプチャ ファイルの削除」

「複数のキャプチャ ファイルの削除」

キャプチャ セッションについて

Prime NAM が保存済みのパケット データを使用してキャプチャ ファイルを作成する方法を理解するには、NAM がキャプチャ セッションのトリガーをどのように処理するかについて理解することが重要です。同じストレージ ターゲット上にすでに実行されている既存のキャプチャ セッションが存在する場合、これは矛盾するアラーム トリガーが存在することを意味します。アラーム トリガーは、パケット データの収集を開始するためのアラームしきい値を設定するときに作成されます。各アラームには重要度オプションがあります。

パケット キャプチャ セッションは、Prime NAM では次のような複数の方法でトリガーできます。

手動の場合、[Capture] メニュー オプションを使用するか、または [Start capture] ボタンをクリックして、キャプチャを開始します。

スケジュール実行の場合、キャプチャ セッションを作成するまたは編集するときに、キャプチャ セッションの開始日時と最大長さを指定します。

アラーム実行の場合、特定のキャプチャ セッションを開始するよう関連付けられたトリガー キャプチャ アクションを持つアラームを作成します。

Prime NAM は、同じキャプチャ ストレージ場所に関連付けられた複数のキャプチャ セッションをサポートします。ただし、同時に実行できるのはこれらのセッションのうち 1 つだけです。キャプチャ セッションの開始には複数の方法があるため、このようなキャプチャ セッション間で競合が発生する可能性があります。

たとえば、あるキャプチャセッションが手動で開始され、その実行中に別のキャプチャ セッションがキャプチャを開始するようにスケジューリングされているとします。これら 2 つのセッションは同じストレージ場所にキャプチャされ、競合が発生します。この場合、Prime NAM は手動セッションを停止し、スケジュール済みセッションの開始を許可することによって競合を防止します。

一般に、NAM は、次の優先順序に従ってキャプチャ セッションの問題を解決します。

1. 重大度の高いアラームによってトリガーされたキャプチャ

2. 重大度の低いアラームによってトリガーされたキャプチャ

3. スケジュールされたキャプチャ

4. 手動キャプチャ

たとえば、手動で開始したキャプチャ セッションがローカル ディスクにデータを保存中であり、スケジュールされたキャプチャが同じローカル ディスクへのキャプチャを開始するように設定されている場合、Prime NAM はスケジュールされたセッションが開始する前に手動セッションを停止します。

[Capture Files Operations] ウィンドウで実行できるタスクの概要については、 表 5-2 を参照してください。

キャプチャ セッションをファイルに保存する方法については、「キャプチャ セッションの作成および管理」を参照してください。ファイルは、.enc または .pcap ファイル形式でダウンロードされます。ダウンロード ファイル形式の設定については、「システム設定のリセット」 を参照してください。


注意 状態が Full のキャプチャ ファイルがあり、NAM がリブートされると、キャプチャは再度トリガーされるので、これらのファイルは新規キャプチャによって上書きされることがあります。ファイルを保持しておくには、リブートする前にファイルを保存してください。

 

表 5-2 [Capture Files Operations] ウィンドウで実行できるアクション

アクション
説明
Decode

ファイルのパケットを表示します。

Download

.enc または .pcap ([Administration] > [System] > [Preferences] の設定による)ファイル形式でファイルをコンピュータにダウンロードします。


) ファイル名を入力する場合は、ファイル拡張子を付加しないでください。拡張子 .pcap は自動的に付加されます。


Rename

ファイルの名前を変更します。ダイアログ ボックスが表示され、選択されたキャプチャ ファイルに対して新しい名前を入力するよう求められます。

Merge

時系列的に同時検出されたキャプチャ ファイルをマージします。

(注) マージされたファイルが NAM プラットフォームでサポートされている最大ファイル サイズを超えることはできません。32 ビット NAM およびローエンド パフォーマンス プラットフォームとして分類されるプラットフォーム(NAM-1X/-2X、Nexus 1000V、SM-SRE、vNAM)では、最大ファイル サイズとして 500 MB が推奨されています。その他のプラットフォームでは 2,000 MB です。

Delete

選択されたキャプチャ ファイルを削除します。

Analyze

選択されたキャプチャの統計分析を表示します。「キャプチャ ファイルの分析」を参照してください。

Errors Scan

ファイルに関する詳細を表示します([Packed ID]、[Protocol]、[Severity]、[Group]、および [Description])。ここから、パケットをデコードすることもできます。詳細については、「パケット エラーの詳細へのドリルダウン」を参照してください。


) Cisco NAM 2200 アプライアンスのキャプチャ ファイルは、NAM のネイティブ形式で保存されます。[Capture] > [Packet Capture/Decode] > [Files] ウィンドウの [Rename/Merge] ボタンを使用すると、キャプチャ ファイル形式を .pcap に変換することができます。他の NAM では、.pcap がデフォルトで使用されます。.pcap ファイルについて、[Administration] > [System] > [Preferences] で適切なダウンロード形式が選択されている場合、.enc にダウンロードできます。


キャプチャ ファイルの分析

[Capture Files] ウィンドウ([Capture] > [Packet Capture/Decode] > [Files] で使用可能)では、キャプチャ期間のトラフィック レート(バイト/秒)、ネットワーク トラフィックに関連付けられたホストやプロトコルのリストを含む、さまざまな統計情報を取得できます。

このウィンドウでは、特定のネットワーク トラフィック セットのより詳細な表示にドリル ダウンすることもできます。[Traffic over Time] グラフの上のペインでは、[From:] および [To:] フィールドにグラフに示されている時間が表示されます。また、[Protocol] フィールド、[Host/subnet] フィールド、および [Drill-Down] ボタンもあります。


) トラフィックの送信元ホストまたは宛先ホストが、指定されたホスト/サブネットに属する場合は、[Drill-Down] ボタンをクリックすると、[Host Statistics] 結果テーブルには送信元ホストと宛先ホストがどちらも表示されます。


[Traffic over Time] グラフの各スライスには、キャプチャ ファイルの [Granularity] に設定された一定時間のトラフィック量が表示されます。

[From:] および [To:] フィールドに時間を入力し、[Drill-Down] をクリックすると、特定の時間に関するより詳細な情報を表示できます。また、特定の [Protocol] または [Host/subnet] アドレスについてドリルダウンすることもできます。

表 B-46 に、[Capture Analysis] ウィンドウのさまざまな領域を示します。

パケット エラーの詳細へのドリルダウン

Prime NAM で使用可能なパケット データの復号化を表示して、パケット エラーの詳細をさらに調査するか、それにドリルダウンすることができます。

[Capture Errors and Warnings Information] ウィンドウは、警告とエラー、および不正パケットに関する情報を表示します。このウィンドウから、パケットの詳細にドリルダウンできる [Packet Decode] ウィンドウを開くことができます。

[Capture Errors] および [Warnings Information] ウィンドウを表示するには、[Capture] > [Packet Capture/Decode] > [Files] の順に選択します。ファイルを強調表示し、[Errors Scan] ボタンをクリックします。[Error Scan] ウィンドウが表示されます。フィールドを 表 B-51 に示します。次に、行を選択し、[Decode Packets] ボタンをクリックして、パケットの詳細を選択します。

 

キャプチャ ファイルのダウンロード

一度に 1 つのキャプチャ ファイルしかダウンロードできません。キャプチャ ファイルをコンピュータにダウンロードするには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Files] の順に選択します。

ステップ 2 キャプチャのリストからキャプチャ ファイルを選択します。

ステップ 3 [Download] をクリックします。

[File Download] ダイアログ ボックスが表示され、「Do you want to save this file?」という、ファイルの保存を確認するメッセージが表示されます。

ステップ 4 [Save] をクリックします。

[Save As] ダイアログ ボックスが開きます。ここで、ファイルの名前を変更し、選択した場所にそのファイルを保存できます。


 

キャプチャ ファイルの削除

キャプチャ ファイルを削除するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Files] の順に選択します。

ステップ 2 チェックボックスをオンにし、キャプチャのリストからキャプチャ ファイルをします。必要であれば、1 つ以上のキャプチャ ファイルを選択することもできます。

ステップ 3 [Delete] をクリックします。ダイアログ ボックスが表示され、「Delete the following file(s)?」という、ファイルの削除を確認するメッセージとファイル名が表示されます。

ステップ 4 ファイルを削除するには [OK] をクリックします。または、ファイルをそのまま残すには [Cancel] をクリックします。


 

複数のキャプチャ ファイルの削除

一度にすべてのキャプチャ ファイルを削除するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Files] の順に選択します。

ステップ 2 少なくとも 1 つのチェックボックスをオンにし、キャプチャを選択します。

ステップ 3 [Delete All] をクリックして、すべてのキャプチャを削除します。

ダイアログ ボックスが表示され、「Are you sure you want to delete all files?」という、すべてのキャプチャ ファイルの削除を確認するメッセージが表示されます。

ステップ 4 すべてのファイルを削除するには [OK] をクリックします。または、ファイルをそのまま残すには [Cancel] をクリックします。


 

キャプチャ データ ストレージの利用

すべてのプラットフォームの Cisco Prime Network Analysis Module(NAM) では、外部ストレージ接続を提供しているので、より長いキャプチャ期間と、より高いキャプチャ帯域幅に対応できます。すべてのプラットフォームで iSCSI データ ストレージがサポートされています。この項の内容は、次のとおりです。

「データ ストレージへのキャプチャ」

「データ ストレージの回復」

図 5-4 外部ストレージの設定

 

外部ストレージのインストールと設定の手順については、Cisco.com で提供されている、プラットフォームのガイドまたは『 Cisco NAM Documentation Overview 』の関連資料を参照してください。

データ ストレージへのキャプチャ

NAM 上のローカル サーバのディスクをいっぱいに満たさないようにするために、ファイルを外部ストレージにキャプチャできます。外部ストレージを使用する利点の 1 つは、大容量、高い読み取り/書き込み速度、および Cisco NAM 間で移動できることです。キャプチャ ファイルは、[Capture] > [Packet Capture/Decode] > [Files] ページと同様に復号化されます。

Prime NAM を使用する場合、[Capture] > [Packet Capture/Decode] > [Data Storage] を使用して内部および外部ストレージ管理を行います。このウィンドウには、検出されたストレージ デバイス(使用可能な場合は内蔵のハード ドライブも含む)がリストされます。

このリリースでは、最大で 32 の外部データ ストレージ ターゲット(論理ユニット番号または LUN の合計)をサポートしています。

ターゲットごとに複数のキャプチャ セッションを作成できます。ストレージ ターゲット(ファイルの場所)ごとに一度に 1 つのキャプチャが許可されます。さらにメモリへのセッションを複数持つことがきます。

このトピックの内容は、次のとおりです。

「ファイル ストレージ用 LUN の準備」

「LUN を使用したキャプチャ セッションの保存」

「外部ストレージ LUN のログインおよびログアウト」

「外部ストレージの接続と切断」

ファイル ストレージ用 LUN の準備

一部のアレイには複数のストレージ コントローラ モジュールが付属しており、多くの場合は、モジュールの所有権を各 LUN(論理ユニット番号)にマッピングする必要があります。これは、一般的なセキュリティ機能です。

NAM がストレージ アレイ LUN にアクセスしているか確認し、ファイルを保存するために準備する方法:


ステップ 1 [Capture] > [Packet/Capture Decode] > [Data Storage] を選択します。

NAM によって使用されていない新しい LUN は、ステータスが [Unformatted] になります。

ステップ 2 キャプチャでの使用のためこれらの LUN を準備するには、LUN を選択して、[Format] をクリックします。数分後、ステータスは [Ready] に変わります。

ステップ 3 任意のユーザ ラベルを LUN に適用して区別するには、LUN を選択して [Label] をクリックします。

[Label] ダイアログに、現在のラベルと、LUN が最後にフォーマットされた日時に関する情報が表示されます。


 

LUN を使用したキャプチャ セッションの保存

キャプチャ セッションで LUN を使用するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ステップ 2 [Capture Sessions] テーブルの下の [Create] をクリックします。

ステップ 3 セッションを作成するために適切なフィールドに入力し、[Storage Type] では [Files] オプションを選択します。

ステップ 4 [File Location] テーブルを使用し、目的の LUN を選択します。各リスト項目には、プロトコルと、モデルまたはユーザ ラベル(設定されている場合)が含まれます。リストには、[Ready] 状態のターゲットのみが表示されるので注意してください。

ステップ 5 [Submit] をクリックしてセッションを作成するか、[Cancel] をクリックして前のウィンドウに戻ります。


 

セッションが 開始 されると、関連する LUN 状態が 使用中 に変化します。その時点で、他のセッションは、そのセッションが削除されるまでその LUN を使用することはできません。これにより、競合、破損データ、および書き込み帯域幅の劣化を防ぐことができます。

外部ストレージ LUN のログインおよびログアウト

イントラネット上のデータ転送を容易にし、リモート キャプチャ データ ストレージを管理するために iSCSI を使用できます。

Prime NAM では、データ ストレージ ターゲットに対してログインおよびログアウトするより簡素化されたワークフローを提供します。キャプチャ セッションをリモート ストレージに保存するには、iSCSI にログインする必要があります。ログインしない場合、キャプチャ セッションはローカル ディスクまたはメモリ位置に保存されます。

利用可能なリモート データ ストレージ LUN に対してログインまたはログアウトするには、次の手順を実行します。


ステップ 1 ストレージ アレイの少なくとも 1 つの LUN に対して NAM の読み取り/書き込み権限でターゲット iSCSI システムを設定したことを確認します。詳細については、「データ ストレージへのキャプチャ」を参照してください。

ステップ 2 [Capture] > [Packet Capture/Decode] > [Data Storage] の順に選択し、[iSCSI Login] をクリックします。

ステップ 3 iSCSI 修飾名(IQN)の自動検出を有効にするには、ストレージの場所のターゲットの IP アドレスを入力し、[Search IQN Targets] をクリックします。

その場所で使用可能なすべての IQN がテーブルに表示されます。

ステップ 4 ログアウトするには、[iSCSI Logout] をクリックします。現在ログインしている IQN のリストがテーブルに表示されます。

ステップ 5 ログアウトを行う LUN を表示するには、IQN の 1 つを選択します。そうすると、ポップアップに選択対象の関連 LUN が表示されます。


.

外部ストレージの接続と切断

外部ストレージ デバイスを物理的に切断する前に、[Capture] > [Packet Capture/Decode] > [Storage] の [Unmount] ボタンを使用することを推奨します。これにより、デバイスが切断されることが Cisco NAM に通知され、Prime NAM は重要なクリーンアップ手順を実行します。その後、ストレージ先は、ステータス列に [Unmounted] と表示され、外部ストレージ デバイスを安全に切断できるようになります。Cisco NAM の電源がオフになると、外部ストレージはこのようにして自動的にアンマウントされます。


注意 この手順がスキップされると、物理的に切断されたときに、ストレージ データが破損する可能性があります。

デバイスが、[Unmount] ボタンを使用して論理的に切断されたが、ストレージが物理的に接続されたままの場合は、[Mount] ボタンを使用して再アクティブ化できます。これにより、ストレージ先の以前の状態が復元されます。この操作では、ストレージを物理的に切断し、再接続する必要がないので、ストレージが自分から離れた場所にある場合に特に便利です。

データ ストレージの回復

以前は動作していたターゲットが [Unformatted] として表示された場合は、CLI を使用してファイルシステム チェックを行い、発生した問題を判断します。プロトコルがわかっている場合は、コマンド remote-storage <protocol> fsck <storage ID> を使用します。ストレージ ID は、 remote-storage <protocol> list を実行すると検索できます。ファイルシステム チェックにより、ファイルシステムの破損や状態に関する問題が解決されることもあります。コマンドが成功すると、ストレージが自動的にマウントされ、[Ready] として表示されます。

次に、iSCSI の回復例を示します。

root@nam.cisco.com# remote-storage iscsi list
Storage ID: 16
Label:
Status: Unformatted
Protocol: ISCSI
Target IP: 172.20.10.81
Target IQN: iqn.2011-09:celeros.target11
Model: IET VIRTUAL-DISK
LUN: 4
Capacity: 24.98GB
Available: 24.98GB
 
Storage ID: 15
Label: target 16
Status: In Use
Protocol: ISCSI
Target IP: 172.20.10.81
Target IQN: iqn.2011-09:celeros.target16
Model: IET VIRTUAL-DISK
LUN: 5
Capacity: 24.98GB
Available: 16.47GB
 
Active iSCSI Sessions:
tcp: [8] 172.20.10.81:3260,1 iqn.2011-09:celeros.target11
tcp: [7] 172.20.10.81:3260,1 iqn.2011-09:celeros.target16
 
root@nam.cisco.com# remote-storage iscsi fsck 16
FS check completed successfully.
root@nam.cisco.com# remote-storage iscsi list
Storage ID: 16
Label:
Status: Ready
Protocol: ISCSI
Target IP: 172.20.10.81
Target IQN: iqn.2011-09:celeros.target11
Model: IET VIRTUAL-DISK
LUN: 4
Capacity: 24.98GB
Available: 9.87GB
 
Storage ID: 15
Label: target 16
Status: In Use
Protocol: ISCSI
Target IP: 172.20.10.81
Target IQN: iqn.2011-09:celeros.target16
Model: IET VIRTUAL-DISK
LUN: 5
Capacity: 24.98GB
Available: 16.47GB
 
Active iSCSI Sessions:
tcp: [8] 172.20.10.81:3260,1 iqn.2011-09:celeros.target11
tcp: [7] 172.20.10.81:3260,1 iqn.2011-09:celeros.target16

疑いのあるトラフィックのパケット デコード情報の検査

トラフィック データ パケットをいくつかキャプチャした後、Packet Decoder を使用してパケットの内容を表示し、疑いのあるトラフィックを検査できます。

ここでは、次の作業について説明します。

「Packet Decoder でのパケットの表示」

「Packet Decoder に表示されるパケットのフィルタリング」

「詳細なプロトコル デコード情報の表示」

「パケット デコーダについて」

Packet Decoder でのパケットの表示

パケット ブラウザを使用して、キャプチャしたパケットのリストを表示したり、次のことを実行したりできます。

[Display Filter] ダイアログ ボックスまたはクイック フィルタでフィルタします。

パケット数を時系列で表示します。これは、パケット ヒストグラムと呼ばれます。パケット キャプチャ フローの図表を提供し、パケット リストを参照することができます。フィルタに一致するパケットのみの分布を表示するために、フィルタを適用できます。

デコーダ ペインのレイアウト設定を変更します。

特定のプロトコルの色を有効または無効にして、視覚的により簡単に追跡できるようにします。

16 進数データ ペインのフォント サイズを変更します。オプションを表示するには、ペインの右上隅の上にマウス カーソルを置きます。

[Packet Range] ボタンを使用して、パケット リスト内のパケットの現在の範囲を表示します。

あとで使用できるようフィルタを保存します。必要に応じて、既存のフィルタを編集または削除もできます。


) これらの復号化機能を使用するには、[no rotate] オプションが選択された状態でメモリをキャプチャする必要があります。そうでない場合、キャプチャは中断するか、停止することになります。


疑いのあるトラフィックのパケット デコード情報を検査するには、次の手順を実行します。


ステップ 1 [Capture] > [Packet Capture/Decode] > [Sessions] または [Capture] > [Packet Capture/Decode] > [Files] の順に選択します(デコードするタイプに基づく)。

ステップ 2 キャプチャ セッションまたはファイルを選択し、[Decode] ボタンをクリックします。[Packet Decoder] ウィンドウが表示されます。テーブルの詳細については、 表 B-53 を参照してください。


 

Packet Decoder に表示されるパケットのフィルタリング

Packet Decoder に表示されたパケットをフィルタするには、次の操作を行います。


ステップ 1 [Packet Decoder] ウィンドウで、[Display Filter] ボタンをクリックします。[Packet Decoder - Display Filter] ウィンドウが表示されます。

ステップ 2 次の操作を行います。

[Filter Mode] を選択します。

[Inclusive] を選択すると、条件に一致するパケットが表示されます。

[Exclusive] を選択すると、条件に一致しないパケットが表示されます。

[Address Filter] を選択します。

IP アドレスの場合は [IP address] フィルタを選択します。

MAC アドレスの場合は [MAC Address] フィルタを選択します。

[Source] では、送信元アドレスを指定できます。指定する必要のない場合は。空白のままにすることができます。

[Destination] では、宛先元アドレスを指定できます。指定する必要のない場合は。空白のままにすることができます。

[Both Directions] をオンにすると、どちらの方向に移動するパケットも照合できます。

[Protocol Filter] を定義します。

いずれかのプロトコルまたはフィールドの一致するパケットを表示するには、[Match any] を選択します。

または

すべてのプロトコルまたはフィールドの一致するパケットを表示するには、[Match all] を選択します。

[Protocols] リストからプロトコルを選択します。


) プロトコル名の先頭の数文字を入力して、目的のプロトコルに直接移動できます。入力ミスをした場合にリセットするには、ESC キーまたは SPACE キーを押します。


必要に応じて [Fields] リストからプロトコルのフィールドを選択し、フィールド値を選択します。

ステップ 3 さらにプロトコル フィルタを追加するには、[+] 記号をクリックします。

ステップ 4 定義されたプロトコル フィルタを削除するには、[-] 記号をクリックします。

ステップ 5 [OK] をクリックしてフィルタを適用し、ウィンドウを閉じるか、または [Apply] をクリックしてフィルタを適用し、ウィンドウを開いたままにしておきます。


 

詳細なプロトコル デコード情報の表示

詳細なプロトコル デコード情報を表示するには、次の操作を行います。


ステップ 1 詳細情報を必要とするパケット番号を強調表示します。

パケットに関する詳細情報が、[Protocol Decode] ペインおよびウィンドウ下部の 16 進数ダンプ ペインに表示されます。


) [Protocol Decode] ペインで詳細を強調表示すると、対応するバイトが下の 16 進数ダンプ ペインで強調表示されます。


ステップ 2 情報を調べるには、下部ペインのスクロール バーを使用します。


SCCP トラフィックをデコードすると、Prime NAM はプロトコルを SCCP としてではなく、スキニーとしてリストします。



 

ヒント • プロトコルは、[Packet Browser] および [Protocol Decode] ペインの両方で色分けされます。

プロトコル情報を縮小および展開するには、[Protocol Decode] ペインでプロトコル名をクリックします。

ペインのサイズを調整するには、ペイン フレームをクリックし、上または下にドラッグします。


 

パケット デコーダについて

NAM パケット デコーダは、NAM パケット アナライザとも呼ばれ、基本とフルという 2 つのパケット分析レベルを使用します。大きなキャプチャ ファイルをフル分析用に準備するのには時間がかかるため、NAM はフィルタの複雑さに応じて使用レベルを自動選択します。これで、分析を待つことなく、検出されたパケット データをより迅速に参照することができます。

分析用キャプチャ ファイルを初めて選択するとき、NAM では使用可能な表示フィルタのうち一部の複雑なものを制限します。たとえば、TCP、UDP、SDP、SIP といったプロトコル判別フィルタの場合、パケット デコーダは高度なフィルタ選択に比べてすばやく表示できます。

高度なフィルタ(論理 AND/IF 演算子を [Protocol] フィールドに含むものなど)については、NAM が自動的にキャプチャ ファイルのフル分析を開始し、それから複雑なフィルタを適用して結果を表示します。たとえば、「ip.src==192.168.1.1 && tcp.dstport==80」というフィルタを使用する場合、NAM パケット アナライザはフル分析を開始し、結果がフィルタされるのを待って表示します。

[Packet Decoder] ウィンドウの詳細については、「[Packet Decoder] ウィンドウおよび [Browser] ペインについて」を参照してください。

[Packet Decoder] ウィンドウおよび [Browser] ペインについて

[Packet Decoder] ウィンドウは、パケットの 3 種類のビューを表示します。

パケット タイプについて説明するサマリー行

対象のプロトコル フィールドはサマリー行の下のウィンドウの一部に直接表示され、分析されます。

16 進ダンプは、ネットワーク通過中にパケットがどのように見えるかを示します。

NAM パケット アナライザの復号化ウィンドウには多数の独自機能があります。たとえば、TCP カンバセーションですべてのパケットを再構成し、このカンバセーション内の ASCII データを強調表示することができます。拡張表示フィルタ機能を使用すれば、より的を絞ったデータを表示できます。

図 5-5 に、[NAM Packet Analyzer] ウィンドウの例を示します。 表 B-53 に、NAM - [Packet Decoder] ウィンドウのパケット デコーダの操作を示します。

図 5-5 NAM Packet Analyzer デコード ウィンドウ

 

キャプチャ復号化機能を使用して、次の操作を実行できます。

パケット ヒストグラム表示:パケット数を時系列で表示します。これは、キャプチャでのパケット フローのフィールを提供します。ヒストグラム セレクタ制御を使用して、パケット リスト内を移動することもできます。適用したフィルタに一致するパケットの分布をヒストグラムに表示するには、表示フィルタを適用できます。時間範囲を設定してヒストグラム全体を移動できます。この機能については、Firefox のほうが IE のパフォーマンスよりも高速です。

パケット ページング制御表示の切り替え:複数ページに分かれたバッファを表示します。

レイアウトの切り替え:デコーダの 3 つのコンテンツ ペインの配置方法を変更します。

16 進数データのフォント サイズ:デコーダの 16 進数データのコンテンツ ペインの右上隅の上にマウスのカーソルを合わせると、2 つのボタンが表示されます。コンテンツのフォント サイズを増減できます。

パケット範囲ボタン:パケット リスト内のパケットの現在の範囲を表示し、表示するパケットの範囲を入力できます。

[Display Filter] ボタンは [Display Filter] メニューと同じで、[Saved Display Filters] ウィンドウと [Manage Display Filters] ウィンドウを表示します。

プロトコルの配色:配色を使用できます。このリリースでは、カスタム カラーのマッピングはできません。

[Tools] メニュー:限定的なサポートのオプション。次のオプションがあります。

[TCP Checksum Validation] チェック ボックス:[Decode] ウィンドウ内の TCP をフィルタし、[TCP] ペインを使用してチェックサムが検証されたことを確認します。

[UDP Checksum Validation] チェック ボックス:[Decode] ウィンドウ内の UDP をフィルタし、[UDP] ペインを使用してチェックサムが検証されたことを確認します。

IP ホスト名解決:NAM のグローバル ホスト名解決を実行します。管理設定と同期します。

ディスプレイ フィルタ入力フィールド:ディスプレイ フィルタを手動で入力できます。

表 B-53 に、[Packet Browser] ペインに表示される情報を示します。

アラームによってトリガーされるキャプチャの使用

定義されたアラーム イベントによって自動的に開始または中止される、複数のキャプチャを設定できます。アラームによってトリガーされるキャプチャを設定するには、次の操作を行います。


ステップ 1 [Setup] > [Alarms] > [Alarm Events] ウィンドウから、アラーム イベントを作成します。

データをキャプチャするイベントのタイプに対し、[Alarm Event] を設定します。詳細については、「アラームアクションの設定」を参照してください。

ステップ 2 [Setup] > [Alarms] > [Alarm Thresholds] ウィンドウから、イベントのしきい値を設定します。

関連する [Alarm Event] で、対象のパラメータのしきい値を設定します。詳細については、「しきい値の定義」を参照してください。

ステップ 3 [Capture] > [Packet Capture/Decode] > [Sessions] ウィンドウから、キャプチャ セッションを設定します。[Create] をクリックします。

関連する [Alarm Event] に対し、[Start Event] または [Stop Event](またはその両方)を選択します。詳細については、「キャプチャ セッションの設定」を参照してください。


 

時間ベース キャプチャの使用方法

定義した特定の時間または期間に基づいて自動的に開始および停止する、時間ベースでトリガーされる複数のキャプチャを設定できます。次に、パケット データをキャプチャするために 60 分のウィンドウを設定する例を示します。

時間ベースでトリガーされるキャプチャを設定するには、次の操作を行います。


ステップ 1 [Capture] > [Packet Capture/Decode] > [Sessions] ウィンドウから、新しいキャプチャを作成します。

ステップ 2 自動キャプチャの [Enable] チェックボックスをオンにします。

ステップ 3 開始日時および期間(分単位)を [60] に設定します。

ステップ 4 キャプチャ データを保存するために適切なストレージ タイプを選択します。たとえば、[memory HDD] へのキャプチャを選択します。

ステップ 5 適切なソフトウェア フィルタを選択します。

ステップ 6 [Submit] をクリックします。

ステップ 7 キャプチャ セッションを開始するには、[Capture] > [Packet/Capture Decode] > [Sessions] メニューに戻り、以前作成したキャプチャ セッションを選択して、[Start] をクリックします。


 

ディスプレイ フィルタのカスタマイズ

カスタム表示フィルタを使用して、カスタマイズしたフィルタを作成および保存すると、NAM パケット アナライザの [Decode] ウィンドウで使用して表示するパケットを制限できます。

NAM は、次の例外を除くほとんどのソフトウェア表示フィルタをサポートします。

Perl 正規表現を使用したフィルタ。次に例を示します。

http.request.uri matches "gl=se$"
 

プロトコル ペイロードのフィルタ(パケットのプロトコル セクション)。次に例を示します。

udp[8:3]==81:60:03
 

カスタム表示フィルタの設定および管理のヘルプについては、次のトピックを参照してください。

「カスタム表示フィルタの作成」

「カスタム表示フィルタの編集」

「カスタム表示フィルタの削除」

カスタム表示フィルタの作成

カスタム表示フィルタを作成するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ページの下に [Hardware Filters] ボックスが表示されます。

ステップ 2 [Create] をクリックします。[Custom Decode Filter] ダイアログ ボックスが表示されます。 表 B-49 を参照してください。

ステップ 3 各フィールドに、適切な情報を入力します。

ステップ 4 次のどちらかを実行します。

フィルタを作成するには、[Submit] をクリックします。

フィルタの作成を取り消すには、[Cancel] をクリックします。


 

カスタム デコード フィルタ式作成のヒント

表 5-3 に示されている論理演算子および比較演算子を使用して、カスタム デコード フィルタ式を構築できます。

 

表 5-3 論理演算子と比較演算子

オペレータ
意味

and

論理積

or

論理和

xor

排他的論理和

not

論理否定

==

等しい

!=

等しくない

>

不等号(大なり)

カッコ内のサブ表現をグループ化するには、 表 B-50 内のフィールドを使用してフィルタ表現を追加します。

カスタム デコード フィルタ式の例

表 5-4 に、ユーザがアプリケーション タイプのフィルタに使用できる基本的な NAM 表示フィルタの例を示します。

 

表 5-4 基本的な NAM 表示フィルタ(アプリケーション タイプに限定)

フィルタ
意味

tcp

すべての TCP ベースのアプリケーションを検索

udp

すべての UDP ベースのアプリケーションを検索

!eth

イーサネット以外のすべてのパケットを検索

tcp and not vlan

VLAN を介して実行されているのではないすべての TCP トラフィックを検索

http

すべての src/dst HTTP アプリケーション パケットを検索(「tcp.port==8080,http」のように、異なるアプリケーションの [decode as] ポートが指定された場合、標準のポート 80 でない場合があります)

ftp || http

ftp または http パケットを検索

not tcp

すべての TCP パケットを除外

!tcp

すべての TCP パケットを除外

!(ftp || http)

すべての FTP および HTTP パケットを除外

表 5-5 に、複雑な NAM 表示フィルタの例を示します。

 

表 5-5 複合 NAM 表示フィルタ

フィルタ
意味

tcp.port eq 80

標準 HTTP ポート 80 ですべての src/dst HTTP パケットを検索

ip.addr == 192.168.1.0/24

クラス C ネットワーク(サブネット)のパケットすべてを検索

tcp.flags.reset == 1

すべての TCP リセットを検索

tcp.window_size == 0 && tcp.flags.reset != 1

Src が dst にデータ送信停止を指示(TCP バッファが満杯)

Ipv6.addr == ::1

IPv6 ラベルおよび IPv6 アドレス付きステートメントの訂正。

表 5-6 に、プロトコル フィールドの 6 バイト フィルタの例を示します。

 

表 5-6 プロトコル フィールドの 6 バイト フィルタ

フィルタ
意味

eth.src==00:3c:06:0a:02:68

送信元 MAC を検索

eth.dst==00:3c:06:0a:02:68

宛先 MAC を検索

eth.addr==00:3c:06:0a:02:68

送信元または宛先 MAC を検索

!(eth.addr==00:3c:06:0a:02:68)

特定のアドレスを除くすべての MAC を検索

eth.addr contains 00:3c

プロトコル フィールド サブレンジのすべてからバイトを検索

表 5-6 に、プロトコル フィールドの 6 バイト サブレンジ フィルタの例を示します。

 

表 5-7 プロトコル フィールドの 6 バイト サブレンジ フィルタ

フィルタ
意味

eth.addr[0:2]==00:3c

MAC の特定のサブレンジを検索

eth.addr[1:3]==3c:06:0a

MAC の特定のサブレンジを検索

表 5-6 に、6 バイトのデータ表現構文の例を示します。

 

表 5-8 6 バイト データ表現(構文)

フィルタ
意味

eth.dst == ff:ff:ff:ff:ff:ff

6 バイトの区切り文字にコロンを使用できます

eth.dst == ff-ff-ff-ff-ff-ff

6 バイトの区切り文字にダッシュを使用できます

eth.dst == ffff.ffff.ffff

6 バイトの区切り文字にドットを使用できます(1 バイトまたは 2 バイトごと)


) [Custom Decode Filter] ダイアログ ボックスでは、フィルタ式を他のフィールドと組み合わせて使用できます。この場合、フィルタ式は他の条件との論理積がとられます。無効または矛盾するフィルタ式では、パケットは照合されません。


カスタム表示フィルタの編集

カスタム表示フィルタを編集するには、次の操作を行います。


ステップ 1 [Capture] > [Packet Capture/Decode] > [Display Filters] の順に選択します。

ステップ 2 編集するフィルタを選択し、[Edit] をクリックします。

ステップ 3 必要に応じて、各フィールドの情報を変更します。

ステップ 4 次のどちらかを実行します。

変更内容を適用するには、[Submit] をクリックします。

変更したページをクリアするには、[Reset] をクリックします。

変更を適用せずにページを終了するには、[Cancel] をクリックします。


 

カスタム表示フィルタの削除

カスタム表示フィルタを削除するには、次の操作を行います。


ステップ 1 [Capture] > [Packet Capture/Decode] > [Display Filters] の順に選択します。

ステップ 2 削除するフィルタを選択し、[Delete] をクリックします。

ステップ 3 確認のダイアログ ボックスで、次のいずれかを選択します。

フィルタを削除するには、[OK] をクリックします。

取り消すには、[Cancel] をクリックします。