Cisco Prime Network Analysis Module ユーザ ガイド 5.1(2)
パケット データのキャプチャとデコード
パケット データのキャプチャとデコード
発行日;2012/08/07 | 英語版ドキュメント(2012/04/06 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

パケット データのキャプチャとデコード

キャプチャ セッション

NAM-3 のキャプチャ セッション

Cisco 2200 シリーズ アプライアンスのキャプチャ セッション

キャプチャ セッションの表示

キャプチャ セッションの設定

NAM-3 向けグローバル キャプチャ設定

[Global Capture Settings] の設定

ソフトウェア フィルタ

ソフトウェア フィルタの作成

ソフトウェア キャプチャ フィルタの編集

ハードウェア フィルタ

NAM-3 ハードウェア フィルタ

その他の NAM ハードウェア フィルタ

ファイル

キャプチャ ファイルの分析

Error Scan

キャプチャ ファイルのダウンロード

キャプチャ ファイルの削除

複数のキャプチャ ファイルの削除

キャプチャ データ ストレージ

データ ストレージへのキャプチャ

LUN の準備

LUN の使用

ファイルのデコード

外部ストレージの接続と切断

データ ストレージの回復

パケット デコード情報の表示

Packet Decoder でのパケットの表示

Packet Decoder に表示されるパケットのフィルタリング

詳細なプロトコル デコード情報の表示

アラームによってトリガーされるキャプチャの使用

カスタム表示フィルタ

カスタム表示フィルタの作成

カスタム表示フィルタの編集

カスタム表示フィルタの削除

パケット データのキャプチャとデコード

Cisco Prime Network Analysis Module(NAM) のキャプチャ機能を使用すると、パケット データのキャプチャ、フィルタリング、およびデコード用の複数のバッファの設定、ファイル制御システム内のデータ管理、およびパケットの内容表示を行うことができます。


) キャプチャは、NAM 仮想サービス ブレードには適用されません。


この章の内容は、次のとおりです。

「キャプチャ セッション」

「ソフトウェア フィルタ」

「ハードウェア フィルタ」

「ファイル」

「キャプチャ データ ストレージ」

「パケット デコード情報の表示」

クイック キャプチャ

アプリケーション、ホスト、または VLAN を示すさまざまなダッシュボード バー チャートの [Context] メニューから、キャプチャを開始できます。たとえば、バー チャートのアプリケーションをクリックし(図 4-1 を参照)、[Capture] を選択すると、次の操作が自動的に行われます。

メモリベースのキャプチャ セッションが作成される

そのアプリケーションを使用してソフトウェア フィルタが作成される

キャプチャ セッションが開始される

復号化ウィンドウが開き、キャプチャされているパケットをすぐに表示する

図 4-1 クイック キャプチャ

キャプチャ セッション

キャプチャ セッションの目的とは、フィルタのキャプチャ、パケット データの復号化、ファイル制御システムでのデータの管理を行い、パケットのコンテンツを表示することです。キャプチャされたパケットを復号化し、NAM で分析すると、問題をより効率的に切り分けることができます。

この項では、次の内容について説明します。

「NAM-3 のキャプチャ セッション」

「Cisco 2200 シリーズ アプライアンスのキャプチャ セッション」

「キャプチャ セッションの表示」

「キャプチャ セッションの設定」

「NAM-3 向けグローバル キャプチャ設定」

「ソフトウェア フィルタ」

「ハードウェア フィルタ」

NAM-3 のキャプチャ セッション

図 4-2 に示すように、NAM で受信したパケットが、設定されたハードウェア フィルタを通過すると、パケットは次のステップに進みます。ハードウェア フィルタが設定されていなければ、すべてのパケットが通過します。ハードウェア フィルタの詳細については、「ハードウェア フィルタ」を参照してください。


) ハードウェア フィルタは、Cisco 2200 シリーズ アプライアンスおよび NAM-3 にのみ適用されます。


そのため、パケットをそのセッションで保存するには、そのセッションの中で少なくとも 1 つのソフトウェア フィルタを通過する必要があります。セッションに対してソフトウェア フィルタが設定されていない場合は、すべてのパケットがキャプチャされます。ソフトウェア フィルタの詳細については、「ソフトウェア フィルタ」を参照してください。

NAM-3 のパフォーマンスを向上するには、ソフトウェア フィルタよりもハードウェア フィルタを使用し、セッションの数を減らすことを推奨します。

図 4-2 のアイテムを設定する順序は、特に決められていません。たとえば、[Global Capture Settings] を最初に設定してからキャプチャ セッションを設定し、その後にフィルタを作成することも、ハードウェア フィルタとソフトウェア フィルタを先に作成してからキャプチャ セッションを作成し、最後に [Global Capture Settings] を適用することもできます。ただし、セッションは最後に「スタート」することを推奨します。それ以外の場合は、フィルタが設定され、パケット スライスが実行される前にキャプチャを開始します。

[Global Capture Settings] およびハードウェア フィルタは、セッションが実行中でも随時変更できます。変更点は、実行中のキャプチャ セッションに即座に反映されます。

Cisco 2200 シリーズ アプライアンスのキャプチャ セッション

図 4-2 に示すように、NAM で受信されたネットワーク パケットは、少なくとも 1 つのハードウェア フィルタを通過してから次のステップに進みます。ハードウェア フィルタが設定されていなければ、すべてのパケットが通過します。ハードウェア フィルタの詳細については、「ハードウェア フィルタ」を参照してください。


) ハードウェア フィルタは、Cisco 2200 シリーズ アプライアンスおよび NAM-3 にのみ適用されます。


そのため、パケットをそのセッションで保存するには、そのセッションの中で少なくとも 1 つのソフトウェア フィルタを通過する必要があります。セッションに対してソフトウェア フィルタが設定されていない場合は、すべてのパケットがキャプチャされます。ソフトウェア フィルタの詳細については、「ソフトウェア フィルタ」を参照してください。

パケットがハードウェアおよびソフトウェア フィルタを通過するには、それぞれのフィルタに対し、設定されたすべてのフィールドが一致する必要があります。フィルタ内に設定したフィールドが多ければ多いほど、フィルタがより詳細になり、通過するパケット数も少なくなります。

図 4-2 NAM キャプチャ セッション

キャプチャ セッションの表示

NAM でパケット データをキャプチャ、表示、およびデコードするための基本的な操作を行うには、[Capture] > [Packet Capture/Decode] > [Sessions] の順に選択します。

[Capture Sessions] ウィンドウに、キャプチャ セッションのリストが表示されます。設定されていない場合は、リストには何も表示されません。キャプチャ セッションのフィールドの説明については、 「[Capture Session] のフィールド」 表 4-1 を参照してください。

 

表 4-1 [Capture Session] のフィールド

操作
説明
Name

キャプチャ セッションの名前。

Start time

キャプチャが最後に開始された時刻。キャプチャは、必要に応じて何度でも停止および再開できます。

Size (MB) (Capture to Memory)
Size(MB) x No.files (Capture to Files)

セッションのサイズ

は、キャプチャは 1 つ以上のファイルに保存されており、これらのファイルへのクリック可能なリンクであることを示します。

Packets

パケット数

State

キャプチャの現在の状態:

[Running]:パケットのキャプチャが進行中です。

[Stopped]:パケットのキャプチャが停止中です。キャプチャされたパケットはバッファに残っていますが、新しいパケットはキャプチャされていません。

[Full](Cisco 2200 シリーズ アプライアンスのみ):メモリまたはファイルがいっぱいになったため、新しいパケットはキャプチャされません。

Location

キャプチャの場所(メモリ、ローカル ディスク、および iSCSI)。

「[Capture Session Operations] ウィンドウのボタン」 表 4-2 )で、[Capture Sessions] ウィンドウで行える操作について説明します。

 

表 4-2 [Capture Session Operations] ウィンドウのボタン

操作
説明
Create

新規のキャプチャ セッションを作成します。「キャプチャ セッションの設定」を参照してください。

Edit

選択されたキャプチャの設定を編集します。

Delete

選択されたセッションを削除します。

Start

選択されたセッションのキャプチャを開始します。そのセッションの [Packets] 列の数が上昇し始めます。

Stop

選択されたセッションのキャプチャを停止します(パケットは通過しません)。キャプチャ データはキャプチャ メモリ バッファに残されますが、新しいデータは保存されません。キャプチャを再開するには、[Start] をクリックします。

Clear

キャプチャされたデータをメモリからクリアします。

Decode

キャプチャ セッションの詳細を表示します。

Save to File

NAM ハード ディスクのファイルにセッションを保存します。「ファイル」を参照してください。

キャプチャ セッションの設定

ファイルの場所ごとに開くことができるキャプチャ セッションは 1 つだけです。最大 10 個のキャプチャ セッションがサポートされます。

キャプチャ セッションの設定の一部として、必要に応じてソフトウェア フィルタも作成できます(「ソフトウェア フィルタの作成」を参照)。

新しいキャプチャ セッションを設定するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ステップ 2 新しいキャプチャをセットアップするには、[Create] ボタンをクリックします。NAM は [Configure Capture Session] ウィンドウ(図 4-3)を表示します。[Capture Settings] ウィンドウには、キャプチャの名前を入力するためのフィールド、および 表 4-3 で説明している 4 つのステータス インジケータがあります。

図 4-3 [Configure Capture Session] ウィンドウ

ステップ 3 適宜、キャプチャ設定フィールド( 表 4-3 )に情報を入力します。

 

表 4-3 キャプチャ設定フィールド

フィールド
説明
使用方法
Name

キャプチャの名前。

キャプチャ名を入力します。

Packet Slice Size (bytes)

キャプチャされたパケットのサイズを制限するために使用する、バイト単位のスライス サイズ。

64 ~ 9000 の範囲で値を入力します。スライスを実行しない場合は、ゼロ(0)を入力します。

セッションが小さい場合、できるだけ多くのパケットをキャプチャするには、小さなスライス サイズを使用します。

指定したスライス サイズよりもパケット サイズが大きい場合、パケットはキャプチャ セッションに保存される前にスライスされます。たとえば、パケットが 1000 バイトでスライス サイズが 200 バイトの場合、パケットの最初の 200 バイトだけがキャプチャ セッションに保存されます。

Capture Source

[Data-Port] または [ERSPAN]

キャプチャ ソースを選択します(1 つ以上のチェックボックスを選択):

[Data-port]:SPAN、RSPAN、および VACL キャプチャを許可します。NME-NAM および SM-SRE、内部、外部、または両方に対応しています。1

[ERSPAN]:ローカル終端が推奨されます。

[Storage Type]:[Memory]

オンにすると、キャプチャはメモリに格納されます。

このキャプチャの場合は、[Memory Size] に値を入力してください。1 からプラットフォームの最大値までの数値を入力します。システム メモリが少ない場合は、割り当てられる実際のセッション サイズが、ここで指定された数値よりも小さくなることがあります。各 NAM プラットフォームの最大セッション サイズについては、 表 4-4 を参照してください。

使用可能なメモリが、要求されたメモリよりも少ない場合は、NAM は要求されたメモリよりも少ないメモリを付与します。

[Wrap when Full] をオンにすると、連続キャプチャをイネーブルになります(セッションがいっぱいの場合は、新しい入力パケット用の空きを作成するために、古いパケット データが削除されます)。[Wrap when Full] がオフの場合は、データ量がセッション サイズに達すると、キャプチャは終了します。

[Storage Type]:[File(s)]

File Size (MB)

[File Size] の値を入力します(NAM アプライアンスおよび NAM-3 のファイル サイズは 1 ~ 2 GB から、最大で 10 GB です)。作業ファイル用に、約 400 MB の空きディスク領域が予約されます。使用可能なディスク領域が 400 MB を下回る場合は、ディスクへのキャプチャ セッションを新たに開始することはできません。 表 4-4 「NAM プラットフォームの最大キャプチャ セッション サイズ」 を参照してください。

Number of Files

連続キャプチャに使用するファイル数。

Rotate Files

[Rotate Files] チェックボックスをオンにすると、連続キャプチャでファイルをローテーションします。リモート ストレージまたは NAM 2200 シリーズ アプライアンスでのみ使用できます。リモート ストレージの設定については、「データ ストレージへのキャプチャ」を参照してください。

[Rotate Files] オプションは、リモート ストレージまたは NAM 2200 シリーズ アプライアンスのローカル ディスクでのみ使用できます。リモート ストレージの設定については、「データ ストレージへのキャプチャ」を参照してください。

[Rotate Files] オプションを選択している場合に、ファイル数が最大数に達すると、最も古いファイルが上書きされます。たとえば、[No. Files] を 10 に指定し、NAM がキャプチャ データをファイル CaptureA_10 に書き込んだ場合、次の書き込み時にはファイル CaptureA_1 が上書きされます。最近のキャプチャを判別するには、各ファイルのタイムスタンプをチェックします。

File Location

[File Location] から場所を選択します。このリストには、使用可能な格納先(Ready 状態)のみが表示されます。デフォルトはローカル ディスクですが、以前に設定したリモート ストレージの場所も選択できます。デフォルトはローカル ディスクですが、以前に設定したリモート ストレージの場所も選択できます。[Capture] > [Packet Capture/Decode] の順にクリックし、リモート ストレージの場所を追加できます。

ディスクにキャプチャする場合の、最大キャプチャ セッション サイズは、キャプチャ先の空き容量によって異なります。

1.Nexus 仮想ブレード(VB)にはデータ ポートがないので、このオプションは使用できません。WAAS 仮想ブレードは、キャプチャ機能に対応していません。

表 4-4 に、NAM 5.1 がサポートするハードウェア プラットフォームと、その最大セッション サイズを示します。これは、すべてのキャプチャ セッションの合計の最大キャプチャ メモリ バッファ サイズであり、個々のキャプチャ セッションの最大値ではありません。

 

表 4-4 NAM プラットフォームの最大キャプチャ セッション サイズ

NAM プラットフォーム
最大セッション サイズ

WS-SVC-NAM-1

125 MB

メモリをアップグレードした(MEM-C6KNAM-2GB)WS-SVC-NAM-1

500 MB

WS-SVC-NAM-1-250S

200 MB

WS-SVC-NAM-2

300 MB

メモリをアップグレードした(MEM-C6KNAM-2GB)WS-SVC-NAM-2

500 MB

WS-SVC-NAM-2-250S

500 MB

WS-SVC-NAM-3

10 GB

NAM2204-RJ45

2 GB

NAM2204-SFP

2 GB

NAM2220

10 GB

NME-NAM-120S

300 MB

SM-SRE-700

1 GB

SM-SRE-900

1 GB

複数のファイルにキャプチャする場合は、ファイル名に拡張子が追加されます。たとえば、キャプチャ名が CaptureA の最初のファイルは CaptureA_1、2 番めのファイルは CaptureA_2 といった具合にラベルが付けられます。


) ディスクにキャプチャするセッションを設定する場合、空きディスク領域と、キャプチャ ファイルを管理することが重要です。NAM では、空きディスク領域に格納できるよりも多くのキャプチャ ファイルを作成できます。たとえば、空きディスク領域が 400 MB しかないときに、それぞれ 160 MB のキャプチャ ファイルを格納する 2 つのキャプチャ セッションをセットアップしたとします。その直後に、以前のキャプチャ セッションがそれぞれ 160 MB のデータの書き込みを終える前に、空きディスク領域が 160 MB あることに気付き、120 MB のキャプチャ ファイルを追加で格納するキャプチャ セッションをセットアップします。すると、最終的にはディスク領域が足りなくなり、すべてのアクティブなキャプチャ セッションにエラーが発生します。


ステップ 4 [Submit] ボタンをクリックして、このセッションの設定を終了するか、このセッションのソフトウェア フィルタを設定します(次の項「ソフトウェア フィルタ」を参照)。


 

NAM-3 向けグローバル キャプチャ設定

NAM-3 では、[Global Capture Settings] ボタンを使用し、すべてのキャプチャ セッションの設定を適用します。このボタンは、[Capture Sessions] ウィンドウと [Hardware Filters] ウィンドウの間の、右側にあります図 4-4)。

ここでは、「[Global Capture Settings] の設定」に関する詳細を説明します。

図 4-4 [Global Capture Settings] ボタンの場所

[Global Capture Settings] の設定

[Global Capture Settings] ダイアログ(図 4-5)には、[Global Packet Slicing] および [Error Packet] 設定があります。

図 4-5 [Global Capture Settings] ダイアログ

Global Packet Slicing

[Global Packet Slicing] はデフォルトでは [Disable] に設定されています。グローバル パケット スライスをイネーブルにするには、[Enable] オプション ボタンをクリックし、ドロップダウン メニューから [Packet Slice Size] を選択します。このメニューには、56 ~ 504 までの値が 16 バイト刻みで示されます。

この設定は、すべてのキャプチャ セッションに影響し、個々のキャプチャ セッションのソフトウェア スライス設定を無効にします([Global Packet Slicing] 設定の方が小さい場合)。たとえば、スライス フィールドが 100 に設定されたキャプチャ セッションがあるが、[Global Packet Slicing] が 56 に設定されている場合、すべてのパケットは 56 バイトにスライスされます。

Error Packets

[Error Packets] 設定は、エラー パケットをパケット キャプチャに転送するかどうかを指定します。エラー パケットとは、小さすぎる、または大きすぎるパケットや、CRC エラーが発生したパケットなど、通常はネットワーク インターフェイス カードによってドロップされるパケットです。エラー パケットは、ネットワークのトラブルシューティングに役立ちます。

デフォルトでは [Include in capture] に設定されており、パケット キャプチャには、エラーのあるパケットも、エラーのないパケットも含められます。[Exclude from capture] が選択されると、エラー パケットは除外され、パケット キャプチャには、エラーのないパケットのみが含められます。[Only error packets in capture] が選択されると、エラーのないパケットは除外され、パケット キャプチャには、エラーのあるパケットのみが含められます。この設定は、すべてのキャプチャ セッションに対して適用されます。

ソフトウェア フィルタ

データをキャプチャするときに、関心のある情報以外のすべての情報を無視できる、特別なフィルタを作成し、保存することができます(図 4-2 を参照)。1 つのセッションに対し、複数のソフトウェア フィルタを設定できます(最大 6 つまで)。これにより、関心のあるトラフィックを絞り込むことができ、リソース(メモリまたはディスク領域)を節約できます。

NAM-3 では、複数のソフトウェア フィルタでは「OR(論理和)」を使用します。つまり、パケットがいずれかのソフトウェア フィルタを通過すると、そのパケットはキャプチャされます。

セッションを作成して開始すると、セッションを停止せずに編集することはできません。すでにキャプチャされたデータを含むセッションを編集すると、セッションがクリアされ、データが削除されることを示す警告が表示されます。警告を無視してセッションにフィルタを追加し、サブミットすると、新しいフィルタ設定が使用されます。

プロトコル解析の一番上のレイヤ(通常は、ポートに基づき、レイヤ 4 プロトコル)をフィルタするには、アプリケーション フィルタを使用します。転送プロトコル(UDP、TCP など)をフィルタするには、[IP Protocol] セレクタを使用する必要があります。たとえば、[IP Protocol] セレクタで [TCP] を選択すると、TCP を使用するすべてのパケットがフィルタされます。

ソフトウェア フィルタの設定と管理については、次のトピックを参照してください。

「ソフトウェア フィルタの作成」

「ソフトウェア キャプチャ フィルタの編集」

ソフトウェア フィルタの作成

次のいずれかに基づいて絞り込むソフトウェア フィルタを定義できます。

送信元ホスト アドレス

宛先ホスト アドレス

ネットワーク カプセル化

VLAN または VLAN 範囲

アプリケーション

送信元ポートまたはポート範囲

宛先ポートまたはポート範囲

ソフトウェア キャプチャ フィルタを作成するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。[Configure Capture Session] ダイアログ ボックスが表示されます。

ステップ 2 ウィンドウの下半分に、設定されたソフトウェア フィルタが表示されます。新しいソフトウェア フィルタを作成するには、[Software Filters] エリアの下にある [Create] ボタンをクリックします。

[Software Filter] ダイアログ図 4-6)が表示されます。

図 4-6 [Software Filter] ダイアログ

ステップ 3 各フィールドに、適切な情報を入力します。フィールドの説明については、 表 4-5 を参照してください。

 

表 4-5 [Software Filter] ダイアログ ボックス

フィールド
説明
使用方法
Name

新しいフィルタの名前を入力します。

Source Address /
Mask

パケットの送信元アドレス。

IP、IPIP4、GRE.IP、または GTP.IPv4 アドレスの場合は、有効な IPv4 アドレスをドットで 4 つつの数列形式、 n.n.n.n n は 0 ~ 255)で入力します。デフォルト(空白の場合)は 255.255.255.255 です。

IPv6 または GTP.IPv6 アドレスの場合は、有効な IPv6 アドレスを許可された任意の IPv6 アドレス形式で入力します。例:

1080::8:800:200C:417A

::FFF:129.144.52.38

(注) 有効なテキスト表現については、RFC 2373 を参照してください。

MAC アドレスの場合は hh hh hh hh hh hh hh は 0 ~ 9 または a ~ 1 の 16 進数)を入力します。デフォルトは
ff ff ff ff ff ff です。

送信元アドレスに適用されるマスク。

[Source Mask] のビットが 1 に設定されている場合、アドレス内の対応ビットは関連があります。

[Source Mask] のビットが 0 に設定されている場合、アドレス内の対応ビットは無視されます。

IP、IPIP4、GRE.IP、または GTP.IPv4 アドレスの場合は、有効な IPv4 アドレスをドットで 4 つつの数列形式、 n.n.n.n n は 0 ~ 255)で入力します。デフォルト(空白の場合)は 255.255.255.255 です。

IPv6 または GTP.IPv6 アドレスの場合は、有効な IPv6 アドレスを許可された任意の IPv6 アドレス形式で入力します。IPv6 アドレスのデフォルト マスク(空白の場合)は ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff です。

(注) 有効なテキスト表現については、RFC 2373 を参照してください。

MAC アドレスの場合は hh hh hh hh hh hh hh は 0 ~ 9 または a ~ 1 の 16 進数)を入力します。デフォルトは
ff ff ff ff ff ff です。

Destination Address / Mask

パケットの宛先アドレス。

IP、IPIP4、GRE.IP、または GTP.IPv4 アドレスの場合は、有効な IPv4 アドレスをドットで 4 つつの数列形式、 n.n.n.n n は 0 ~ 255)で入力します。デフォルト(空白の場合)は 255.255.255.255 です。

IPv6 または GTP.IPv6 アドレスの場合は、有効な IPv6 アドレスを許可された任意の IPv6 アドレス形式で入力します。例:

1080::8:800:200C:417A

(注) 有効なテキスト表現については、RFC 2373 を参照してください。

MAC アドレスの場合は hh hh hh hh hh hh hh は 0 ~ 9 または a ~ 1 の 16 進数)を入力します。デフォルトは
ff ff ff ff ff ff です。

宛先アドレスに適用されるマスク。

宛先マスクのビットが 1 に設定されている場合、アドレス内の対応ビットは関連があります。

宛先マスクのビットが 0 に設定されている場合、アドレス内の対応ビットは無視されます。

IP、IPIP4、GRE.IP、または GTP.IPv4 アドレスの場合は、有効な IPv4 アドレスをドットで 4 つつの数列形式、 n.n.n.n n は 0 ~ 255)で入力します。デフォルト(空白の場合)は 255.255.255.255 です。

IPv6 または GTP.IPv6 アドレスの場合は、有効な IPv6 アドレスを許可された任意の IPv6 アドレス形式で入力します。IPv6 アドレスのデフォルト マスク(空白の場合)は ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff です。

(注) 有効なテキスト表現については、RFC 2373 を参照してください。

MAC アドレスの場合は hh hh hh hh hh hh hh は 0 ~ 9 または a ~ 1 の 16 進数)を入力します。デフォルトは
ff ff ff ff ff ff です。

Network Encapsulation

パケットと照合するプロトコル。

ドロップダウン リストからプロトコルを選択します。

パケットの送信元/宛先 MAC アドレスを使用するには、[MAC] を選択します。

パケットの送信元/宛先 IP アドレスを使用するには、[IP] を選択します。

IP プロトコル 4 経由でトンネルされるものを含む IP アドレスの場合は、[IPIP4] を選択します。

GRE 経由でトンネルされるものを含む IP アドレスの場合は、[GRE.IP] を選択します。

IP バージョン 6 を使用するアドレスの場合は、[IPv6] を選択します。

GTP 経由でトンネルされるパケットの IPv4 アドレスの場合は、[GTP IPv4] を選択します。

GTP 経由でトンネルされるパケットの IPv6 アドレスの場合は、[GTP IPv6] を選択します。

Both Directions(チェックボックス)

このチェックボックスでフィルタが双方向のトラフィックに適用されるかどうかを指定します。

送信元がホスト A で宛先がホスト B の場合、双方向をイネーブルにすると、A から B および B から A のパケットがフィルタリングされます。

送信元がホスト A で宛先が指定されていない場合、双方向をイネーブルにすると、ホスト A へのパケットとホスト A からのパケットの両方がフィルタリングされます。

[Both Directions] チェックボックスは、アドレスだけではなくポートにも影響します(論理は同じです)。

VLAN Identifier(s)

パケットが属する VLAN を指定する、12 ビットのフィールド。

VLAN 範囲を選択するか、1 ~ 4 つの個々の VLAN ID を入力します。

パフォーマンスを高めるには、できるだけ狭い範囲を使用してください。VLAN ID の範囲は、1 ~ 4095 です。

Application2

アプリケーションでフィルタするには、[Application] ドロップダウン リストを選択します。

[Application] ドロップダウン リストから、キャプチャするプロトコルを 1 つ選択します。

Port

ポートでフィルタするには、[Port] オプション ボタンを選択します。

[Source Port(s)] フィールドに、1 つ以上のポートをコンマ区切りで入力します。

[Destination Port(s)] フィールドに、1 つ以上のポートをコンマ区切りで入力します。

[IP Protocol] プルダウン メニューから、[TCP]、[UDP]、または [SCTP] を選択します。何も選択されていなければ(デフォルト)、すべて許容されることを意味します。

2.プロトコル解析の一番上のレイヤ(通常は、ポートに基づき、レイヤ 4 プロトコル)をフィルタするには、アプリケーション フィルタを使用します。転送プロトコル(UDP、TCP など)をフィルタするには、[IP Protocol] セレクタを使用する必要があります。たとえば、[IP Protocol] セレクタで [TCP] を選択すると、TCP を使用するすべてのパケットがフィルタされます。


) 上記の表で説明したパラメータは、NAM によって個別に評価されます。したがって、NAM では矛盾するパラメータを入力できますが、一致しなければ意味のある結果を得ることはできません。

たとえば、[Network Encapsulation] と [Source/Destination Address] パラメータは、個別に評価されています。ここで、[Network Encapsulation] には [IP4]、[Source Address] には IPv6 アドレスを入力するなど、矛盾するパラメータを持つフィルタが指定された場合は、どのトラフィックにも一致しないため、結果として、パケットはキャプチャされません。


ステップ 4 [Submit] ボタンをクリックしてフィルタを作成するか、[Cancel] をクリックしてソフトウェア フィルタを作成せずにダイアログ ボックスを閉じます。


 

ソフトウェア キャプチャ フィルタの編集

ソフトウェア キャプチャ フィルタを編集するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ページの下に [Software Filters] ボックスが表示されます。

ステップ 2 編集するフィルタを選択し、[Edit] をクリックします。

[Software Filter] ダイアログ ボックス(表 4-5 を参照)が表示されます。

ステップ 3 各フィールドに、適切な情報を入力します。

ステップ 4 次のどちらかを実行します。

変更内容を適用するには、[Submit] をクリックします。

変更をキャンセルするには、[Cancel] をクリックします。


 

ハードウェア フィルタ

ハードウェア フィルタのサポートは、NAM によって異なります。

「NAM-3 ハードウェア フィルタ」

「その他の NAM ハードウェア フィルタ」

NAM-3 ハードウェア フィルタ

NAM-3 ハードウェア フィルタでは、無関係のトラフィックを排除することにより、キャプチャのパフォーマンスを向上できます。これは、ハードウェア フィルタによって絞り込まれるパケットは、NAM によって処理されないからです。また、パケットの一部だけをキャプチャし、残りを破棄するよう NAM に指示できるため、ハードウェア フィルタを使用し、キャプチャ デコードにおいて特定のパケットを探すこともできます。

ハードウェア フィルタのグローバル パケット スライスは、すべてのキャプチャ セッションに影響します。アーキテクチャの概念については、 NAM キャプチャ セッション図 4-2を参照してください。

Cisco Prime Network Analysis Module(NAM) では、最大 4 つのハードウェア フィルタをサポートできます。ハードウェア フィルタは、削除せずに無効にできます。

ハードウェア フィルタ論理には、AND(論理積)と OR(論理和)の 2 つのレベルがあります。各フィルタに対し、AND/OR 論理で条件を設定できます。同一フィルタでは、同じタイプしか使用できません。また、同一フィルタ内では AND/OR 論理を混合させることはできません。また、フィルタを AND/OR 論理で組み合わせることもできます。使用できるフィルタ論理の例については、図 4-7 を参照してください。

図 4-7 ハードウェア フィルタ論理(AND/OR)

選択肢については、次の項で説明します。特定の結果を得る方法について詳しくは、「例」を参照してください。

ソフトウェア フィルタは、フィルタ処理に柔軟性を与えますが、最も効率的なのはハードウェア フィルタです。ソフトウェア フィルタを必要とするトラフィックが少なければ少ないほど、より効果的なフィルタ処理を行えます。

ハードウェア フィルタの設定と管理に関する情報については、次のトピックを参照してください。

「ハードウェア フィルタの作成」

「Hardware Filter Settings」

「例」

[Capture] > [Packet Capture/Decode] > [Sessions] の順に選択すると、Cisco NAM で設定されたハードウェア フィルタのステータスと設定を表示できます。[Sessions] ページの下に [Hardware Filters] ボックスが表示されます。

図 4-8 [Capture] > [Packet Capture/Decode] > [Sessions] の [Hardware Filters] ウィンドウ

ハードウェア フィルタの作成

[Hardware Filters] ウィンドウ には、定義されたハードウェア フィルタのステータスと設定が表示されます。ハードウェア フィルタでキャプチャを設定するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。ウィンドウの上半分には [Capture Sessions]、下半分には [Hardware Filters] が表示されます。

ステップ 2 ウィンドウ下部の [Hardware Filters] セクションで [Create] ボタンをクリックします。[Hardware Filter] ダイアログが開きます。

ステップ 3 [Name] フィールドにハードウェア フィルタの名前を入力します。

ステップ 4 [Enable] チェックボックスをオンにして、フィルタを有効にします。[Enable] チェックボックスがオフの状態でフィルタが作成されると、フィルタは保存されますが、アクティブ化されません。フィルタを編集し、[Enable] チェックボックスをオンにすると、後から有効にすることもできます。

ステップ 5 [AND] または [OR] オプション ボタンを選択します。ここでの選択は、次の手順で行うすべての選択にも適用されます(選択肢は 表 4-6 で説明します)。

ステップ 6 フィルタする属性のボックスをオンにし、対応するドロップダウン メニューから目的のオプションを選択します。すべてのチェックボックスをオンにするには、[Check All] チェックボックスをオンにします。 表 4-6 を参照してください。

 

表 4-6 [Create Hardware Filter] ダイアログ

属性
オプション
範囲
Data Ports

[Both Ports]、[Data Port 1]、[Data Port 2]

--

Frame Length

[Equal To]、[Not Equal To]、[Greater Than]、[Less Than]

最小 64、最大 65535

VLAN IDs

[Equal To]、[Not Equal To]、[Greater Than]、[Less Than]

最小 1、最大 4095

MPLS Label

[Equal To]、[Not Equal To]

最小 0、最大 1048575

Source Address / Mask

[Equal To]、[Not Equal To]

IPv4 アドレス

Destination Address / Mask

[Equal To]、[Not Equal To]

IPv4 アドレス

L4 Protocol

[Equal To]、[Not Equal To]

[ICMP]、[IGMP]、[IP in IP]、[GRE]、[L2Tp]、[TCP]、[UDP]、[Integer]

[Custom] には、一般的なプロトコルのリストにはない、ユーザ設定値を入力できます。最小 1、最大 255

L4 Source Port

[Equal To]、[Not Equal To]

最小 1、最大 65535

L4 Destination Port

[Equal To]、[Not Equal To]

最小 1、最大 65535

Pattern Match

最初の 256 バイト中の任意の場所で、4 バイトの 16 進数パターンに基づくパケットをフィルタします。

[Equal To]、[Not Equal To]

ステップ 7 次のそれぞれを行うには、以下の各ボタンをクリックします。

ハードウェア フィルタの設定を完了するには [Apply]

中断し、前のウィンドウに戻るには [Cancel]

前の設定に戻すには [Reset]


 

Hardware Filter Settings

[Hardware Filter Settings] では、すべてのキャプチャ ハードウェア フィルタに対するグローバル設定を指定します。すべてのハードウェア フィルタに適用される設定を追加するには、次の手順に従います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ステップ 2 下の [Hardware Filters] セクションで、[Hardware Filter Settings] ボタンをクリックします。

ステップ 3 すべてのハードウェア フィルタに設定される、[AND] または [OR] 組み合わせ論理を選択します。この論理は、フィルタを組み合わせるために使用されます。図 4-7 の緑色のテキストを参照してください。

ステップ 4 [Include in capture] または [Exclude from capture] パケット照合論理を選択します。この選択肢は、設定されたすべてのハードウェア フィルタに適用されます。

[Exclude from capture] は、設定されたすべてのハードウェア フィルタに一致するパケットを破棄します。一方で、一致しないパケットはすべてキャプチャされます。

ステップ 5 [Apply] ボタンをクリックします。


 

IP サブネット + L4 ポート(アプリケーション)

10.1.1.0/24 サブネットからのすべての HTTP トラフィックをキャプチャするには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 論理 [AND] オプション ボタンを選択します(つまり、以下の選択肢が組み合わせられます)。

ステップ 4 [Source IP Address] チェックボックスをオンにし、サブネット「10.1.1.0/24」を入力します。

ステップ 5 [L4 Source Port] チェックボックスをオンにし、HTTP ポート「80」を入力します。

ステップ 6 [Apply] ボタンをクリックします。


 

反対方向の HTTP 通信を見るには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 論理 [AND] オプション ボタンを選択します。

ステップ 4 [Destination IP Address] を選択し、前と同じサブネット「10.1.1.0/24」を入力します。

ステップ 5 [L4 Destination Port] を選択し、同じポート番号「80」を入力します。

ステップ 6 [Apply] ボタンをクリックします。

ステップ 7 着信と発信を表示するには、[Hardware Filter Settings] をクリックし、[OR] 論理を選択します。これにより、2 つのハードウェア フィルタが OR 論理で組み合わせられます。


 

VLAN + L4 プロトコル

VLAN 100 からのすべての TCP トラフィックを表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 論理 [AND] オプション ボタンを選択します。

ステップ 4 [VLAN] を選択し、VLAN「100」を入力します。

ステップ 5 [L4 Protocol] を選択し、[TCP] を選択します。

ステップ 6 [Apply] ボタンをクリックします。


 

複数ホスト

複数のホスト(1.1.1.1、2.2.2.2...)間で送受信されるトラフィックを表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 論理 [OR] オプション ボタンを選択します。

ステップ 4 [Source IP Address] チェックボックスをオンにし、1 つめのホスト「1.1.1.1」を入力します。

ステップ 5 [Destination IP Address] チェックボックスをオンにし、同じホスト「1.1.1.1」を入力します。

ステップ 6 [Apply] ボタンをクリックします。

ステップ 7 [Create] ボタンをクリックし、2 つめのハードウェア フィルタを作成します。

ステップ 8 [Name] フィールドにハードウェア フィルタの名前を入力します。

ステップ 9 論理 [OR] オプション ボタンを選択します。

ステップ 10 [Source IP Address] チェックボックスをオンにし、2 つめのホスト「2.2.2.2」を入力します。

ステップ 11 [Destination IP Address] チェックボックスをオンにし、2 つめのホスト「2.2.2.2」を入力します。

ステップ 12 [Apply] ボタンをクリックします。

ステップ 13 必要であれば、3 つめ、4 つめのホストに対して ステップ 7 から ステップ 12 を繰り返します。

ステップ 14 [Hardware Filter Settings] ボタンをクリックし、論理 [OR] オプション ボタンを選択します。


 

VLAN の範囲

VLAN 10 から 20 のすべてのトラフィックを表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 [VLAN IDs] チェックボックスをオンにし、ドロップダウン メニューから [Greater Than] を選択します。

ステップ 4 空白のフィールドに、VLAN 範囲の下限である「9」を入力します。

ステップ 5 [Apply] ボタンをクリックします。

ステップ 6 [Create] ボタンをクリックし、2 つめのフィルタを作成します。

ステップ 7 [Name] フィールドに名前を入力します。

ステップ 8 [VLAN IDs] チェックボックスをオンにし、ドロップダウン メニューから [Less Than] を選択します。

ステップ 9 空白のフィールドに、VLAN 範囲の下限である「21」を入力します。

ステップ 10 [Apply] ボタンをクリックします。

ステップ 11 [ Hardware Filter Settings ] ボタンをクリックして [AND] オプション ボタンを選択します。これにより、すべてのハードウェア フィルタの論理が組み合わせられます。


 

データ ポート + フレーム長

200 バイト以下の DATA PORT 1 にスパンされたすべてのトラフィックを表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 論理 [AND] オプション ボタンを選択します。

ステップ 4 [Data Port] ドロップダウン リストから [DATA PORT 1] を選択します。

ステップ 5 [Frame Length] チェックボックスをオンにし、ドロップダウン メニューから [Less Than] を選択します。

ステップ 6 空白のフィールドに、フレーム長の上限である「200」を入力します。

ステップ 7 [Apply] ボタンをクリックします。


 

MPLS

最初の MPLS ラベルが 300 のトラフィックを表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 [MPLS Label] チェックボックスをオンにします。

ステップ 4 空白のフィールドに、ラベル「300」を入力します。

ステップ 5 [Apply] ボタンをクリックします。


 

双方向通信

ホスト 1.1.1.1 と 2.2.2.2 間の双方向の通信を表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 論理 [AND] オプション ボタンを選択します。

ステップ 4 [Source IP Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、1 つめのホスト「1.1.1.1」を入力します。

ステップ 5 [Destination Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、2 つめのホスト「2.2.2.2」を入力します。

ステップ 6 [Apply] ボタンをクリックします。

ステップ 7 [Create] ボタンをクリックし、2 つめのハードウェア フィルタを作成します。

ステップ 8 [Name] フィールドにハードウェア フィルタの名前を入力します。

ステップ 9 論理 [AND] オプション ボタンを選択します。

ステップ 10 [Source IP Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、2 つめのホスト「2.2.2.2」を入力します。

ステップ 11 [Destination Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、2 つめのホスト「1.1.1.1」を入力します。

ステップ 12 [Apply] ボタンをクリックします。

ステップ 13 [Hardware Filter Settings] ボタンをクリックし、[OR] オプション ボタンを選択します。

ステップ 14 [Apply] ボタンをクリックします。


 

ネガティブ フィルタ論理

前の例では、パケットに照合するフィルタを設定しました。ネガティブ フィルタ論理では、これらをブロックします。

前の例の通信以外のすべてを表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Hardware Filter Settings] ボタンをクリックします。

ステップ 2 [Packet Match Logic] では [Exclude from capture] オプション ボタンを選択します。

ステップ 3 [Apply] ボタンをクリックします。


 

キャプチャ セッションのソフトウェア フィルタを設定する方法については、次の項「ソフトウェア フィルタ」を参照してください。

その他の NAM ハードウェア フィルタ

ハードウェア フィルタを使用すると、無関係のフィルタをできるだけ多く排除する、ハードウェア固有のフィルタを提供することにより、キャプチャのパフォーマンスを向上できます。ハードウェア フィルタによってフィルタされたパケットは NAM によって処理されないため、キャプチャのパフォーマンスも高くなります。

ソフトウェア フィルタは、フィルタ処理に柔軟性を与えますが、キャプチャ セッションの効率性は、ハードウェア フィルタだけを使用した場合に最も高くなります。ソフトウェア フィルタを必要とするトラフィックが少なければ少ないほど、より効果的なフィルタ処理を行えます。

詳しくは、「ハードウェア フィルタの設定」を参照してください。

ハードウェア フィルタの設定

[Hardware Filters] ウィンドウは、[Capture] > [Packet Capture/Decode] > [Sessions] ウィンドウの下に表示されます。ハードウェア フィルタを設定するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ステップ 2 ウィンドウの下の、[Hardware Filters] セクションで [Create] ボタンをクリックします。

ステップ 3 [Name] フィールドに名前を入力します。

ステップ 4 [Type] ドロップダウン リストから次のいずれかのタイプを選択します。

VLAN

VLAN および IP

IP

IP および TCP/UDP

IP およびペイロード データ

ペイロード データ

ステップ 5 選択したハードウェア フィルタのタイプに対応する、データ フィールドが表示されます。目的のフィールドを入力します。詳細については、次の項を参照してください。

ステップ 6 キャプチャ セッションの設定を完了するには、[Submit] をクリックします。それ以外の場合は、[Reset] をクリックして前の設定に戻すか、[Cancel] をクリックして中断します。


 

VLAN

VLAN ハードウェア フィルタを設定するには、次の操作を行います。


ステップ 1 フィルタ名を入力します。

ステップ 2 [Type] ドロップダウン メニューから [VLAN] を選択します。

ステップ 3 [Range] または [Individuals] オプション ボタンを選択します。[Range] の場合は、VLAN の範囲を入力します。[Individuals] の場合は、個別の VLAN を最大で 4 つまで入力します。

ステップ 4 [Submit] ボタンをクリックします。


 

VLAN および IP

VLAN および IP ハードウェア フィルタを設定するには、次の操作を行います。


ステップ 1 フィルタ名を入力します。

ステップ 2 [Type] ドロップダウン メニューから [VLAN and IP] を選択します。

ステップ 3 目的の VLAN の ID を入力します。VLAN ID の範囲は、1 ~ 4095 です。

ステップ 4 [Source Address / Mask] に入力します(オプション)。

ステップ 5 [Destination Address / Mask] に入力します(オプション)。

ステップ 6 [Layer 4 Protocol] を選択します(オプション)。

ステップ 7 [Submit] をクリックします。


 

IP

IP ハードウェア フィルタを設定するには、次の操作を行います。


ステップ 1 フィルタ名を入力します。

ステップ 2 [Type] ドロップダウン メニューから、[IP] を選択します。

ステップ 3 [Source Address / Mask] に入力します(オプション)。

ステップ 4 [Destination Address / Mask] に入力します(オプション)。

ステップ 5 [Layer 4 IP Protocol] を選択します(オプション)。

ステップ 6 [Submit] をクリックします。


 

IP および TCP/UDP

IP および TCP/UDP ハードウェア フィルタを設定するには、次の操作を行います。


ステップ 1 フィルタ名を入力します。

ステップ 2 [Type] ドロップダウン メニューから、[IP and TCP/UDP] を選択します。

ステップ 3 [Source Address / Mask] に入力します(オプション)。

ステップ 4 [Destination Address / Mask] に入力します(オプション)。

ステップ 5 [IP Protocol] で [TCP] または [UDP] を選択します。

ステップ 6 [TCP/UDP Source Port] に入力します(オプション)。

ステップ 7 [TCP/UDP Destination Port] に入力します(オプション)。

ステップ 8 [Submit] をクリックします。


 

IP およびペイロード データ

IP およびペイロード データ ハードウェア フィルタを設定するには、次の操作を行います。


ステップ 1 フィルタ名を入力します。

ステップ 2 [Type] ドロップダウン メニューから、[IP and Payload Data] を選択します。

ステップ 3 [Source Address / Mask] に入力します(オプション)。

ステップ 4 [Destination Address / Mask] に入力します(オプション)。

ステップ 5 [IP Protocol] で [TCP] または [UDP] を選択します。

ステップ 6 [Payload Data] の値を入力します。

[Offset] に 1 ~ 1023 の値を入力します。オフセットは、ペイロードの始めに相対的な値です(レイヤ 5)。

[Value] に最大 4 バイトの値を入力します(8 つの 16 進数)。

[Mask] に最大 4 バイトの値を入力します(8 つの 16 進数)。

ステップ 7 最大 4 つのペイロード データ セグメントに対し、ステップ 6 を繰り返します。


) 必要なのは、1 つのペイロード セグメント(1 行)だけです。ペイロード セグメントが重複しないよう注意してください。重複するセグメントに異なる値がある場合は、固有の論理積により、フィルタは何にも一致しなくなります。


ステップ 8 [Submit] をクリックします。


 

ペイロード データ

ペイロード データ ハードウェア フィルタを設定するには、次の手順に従います。


ステップ 1 フィルタ名を入力します。

ステップ 2 [Type] ドロップダウン メニューから、[Payload Data] を選択します。

ステップ 3 [IP Protocol] で [TCP] または [UDP] を選択します。

ステップ 4 [Payload Data] の値を入力します。

[Offset] に 1 ~ 1023 の値を入力します。オフセットは、ペイロードの始めに相対的な値です(レイヤ 5)。

[Value] に最大 4 バイトの値を入力します(8 つの 16 進数)。

[Mask] に最大 4 バイトの値を入力します(8 つの 16 進数)。

ステップ 5 最大 4 つのペイロード データ セグメントに対し、ステップ 4 を繰り返します。


) 必要なのは、1 つのペイロード セグメント(1 行)だけです。ペイロード セグメントが重複しないよう注意してください。重複するセグメントに異なる値がある場合は、固有の論理積により、フィルタは何にも一致しなくなります。


ステップ 6 [Submit] をクリックします。


 

ファイル

保存済みのキャプチャ ファイルをデコード、ダウンロード、名前変更、変換/マージ、削除、分析、またはエラースキャンするには、[Files] オプションを使用します。キャプチャ セッションをファイルに保存する方法については、「キャプチャ セッション」 表 4-2 を参照してください。ファイルは、.enc または .pcap ファイル形式でダウンロードされます。ダウンロード ファイル形式の設定については、「初期設定」を参照してください。


注意 状態が Full のキャプチャ ファイルがあり、NAM がリブートされると、キャプチャは再度トリガされるので、これらのファイルは新規キャプチャによって上書きされることがあります。ファイルを保持しておくには、リブートの前にファイルを保存してください。

[Capture] > [Packet Capture/Decode] > [Files] を選択すると、[Capture Files] ウィンドウが表示されます。[Capture Files] ウィンドウには、次の情報が表示されます。

Name:

Size:

Date:

State:

Location:

Cisco 2200 シリーズ アプライアンスを使用する場合は、NAM は xxx.pcap ファイルを作成します。ダウンロード ボタンをクリックすると、ダウンロード操作を許可したかキャンセルしたかにかかわらず、xxx.pcap ファイルが作成されます(ダウンロード ボタンがクリックされると、xxx.pcap ファイルが作成されます)。アプライアンスを使用している 1 つのキャプチャのファイル数が、別の NAM プラットフォームからのキャプチャよりも 1 つ多くなるのは、このためです。

 

表 4-7 [Capture Files Operations] ウィンドウのボタン

操作
説明
Decode

ファイルのパケットを表示します。

Download

ファイルを .enc または .pcap 形式でコンピュータに保存します。


) ファイル名を入力する場合は、ファイル拡張子を付加しないでください。拡張子 .pcap は自動的に付加されます。



) .capture から .pcap への変換は、キャプチャ ファイルをダウンロードすると行われます。終了したら、.pcap ファイルを手動で削除する必要があります。


Rename

ファイルの名前を変更します。ダイアログ ボックスが表示され、選択されたキャプチャ ファイルに対して新しい名前を入力するよう求められます。

Merge または Convert/Merge

ファイルのパケットがマージされます(古い順)。ダイアログ ボックスが表示され、マージされたキャプチャ ファイルに対して新しい名前を入力するよう求められます。マージされたキャプチャ ファイルの名前を入力し、[OK] を選択します。


) マージされたファイルは、2 GB を超えることはできません。


Cisco NAM 2200 シリーズ アプライアンスでは、このボタンは [Convert/Merge] と呼ばれます。このボタンを使用すると、.capture ファイルを .pcap ファイルに変換できるので、そのファイルに対して [Error Scan] および [Analyze] 機能を実行できます。そうしなければ、アプライアンスに表示のみされる.capture ファイルに対し、[Analyze] および [Error Scan] 機能を実行できません。

Delete

ファイルを削除します。

Analyze

選択されたキャプチャの統計分析を表示します。「キャプチャ ファイルの分析」を参照してください。

Errors Scan

ファイルに関する詳細を表示します([Packed ID]、[Protocol]、[Severity]、[Group]、および [Description])。ここから、パケットをデコードすることもできます。詳細については、「Error Scan」を参照してください。


) NAM 2200 シリーズ アプライアンスのキャプチャ ファイルは、NAM のネイティブ形式で保存されます。[Capture] > [Packet Capture/Decode] > [Files] ウィンドウの [Convert/Rename/Merge] ボタンを使用すると、キャプチャ ファイル形式を .pcap に変換することができます。


キャプチャ ファイルの分析

[Capture Files] ウィンドウ([Capture] > [Packet Capture/Decode] > [Files])では、キャプチャ期間のトラフィック レート(バイト/秒)、ネットワーク トラフィックに関連付けられたホスト、通信、およびアプリケーションのリストを含むさまざまな統計情報を取得できます。

このウィンドウでは、特定のネットワーク トラフィック セットのより詳細な表示にドリル ダウンすることもできます。[Traffic over Time] グラフの上のペインでは、[From:] および [To:] フィールドにグラフに示されている時間が表示されます。また、[Protocol] フィールド、[Host/subnet] フィールド、および [Drill-Down] ボタンもあります。


) トラフィックの送信元ホストまたは宛先ホストが、指定されたホスト/サブネットに属する場合は、[Drill-Down] ボタンをクリックすると、[Host Statistics] 結果テーブルには送信元ホストと宛先ホストがどちらも表示されます。


[Traffic over Time] グラフの各スライスには、キャプチャ ファイルの [Granularity] に設定された一定時間のトラフィック量が表示されます。

[From:] および [To:] フィールドに時間を入力し、[Drill-Down] をクリックすると、特定の時間に関するより詳細な情報を表示できます。また、特定の [Protocol] または [Host/subnet] アドレスについてドリルダウンすることもできます。

表 4-8 に、[Capture Analysis] ウィンドウのさまざまな領域を示します。

 

表 4-8 [Capture Analysis] ウィンドウのフィールド

フィールド
説明
Capture Overview

キャプチャされたパケット数、キャプチャされたバイト数、平均パケット サイズ、キャプチャの開始時間、キャプチャ期間、データ転送レート(バイト/秒とビット/秒の両方)を含む、表示されたキャプチャの要約を示します。

Traffic over Time

ネットワーク トラフィックのグラフィック イメージ(KB/秒)を表示します。

Protocol Statistics

プロトコルごとに、転送されたパケット数とバイト数を表示します。

Hosts Statistics

ホストごとに、転送されたパケット数とバイト数を表示します。

Error Scan


) この機能は、.pcap ファイルでは使用できますが、.capture ファイルでは使用できません。


[Capture Errors and Warnings Information] ウィンドウは、警告とエラー、および不正パケットに関する情報を表示します。このウィンドウから、パケットの詳細にドリルダウンできる [Packet Decode] ウィンドウを開くことができます(テーブルで行を選択し、[Decode Packet] ボタンをクリック)。

[Capture Errors] および [Warnings Information] ウィンドウを表示するには、[Capture] > [Packet Capture/Decode] > [Files] の順に選択します。ファイルを強調表示し、[Errors scan] ボタンをクリックします。

[Error Scan] ウィンドウを図 4-9 に示します。

図 4-9 Error Scan

フィールドを 表 4-9 に示します。

 

表 4-9 [Error Scan] ウィンドウの説明

フィールド
説明
Packet ID

キャプチャ ファイルのパケットの ID。

Protocol

パケットの到着時のプロトコル。

Severity

[Warn]:警告(アプリケーションが異常なエラー コードを返したなど)

[Error]:重大な問題(不規則なパケットなど)

Group

[Checksum]:チェックサムが無効

[Sequence]:プロトコル シーケンスに問題がある

[Response Code]:アプリケーションの応答コードに問題がある

[Request Code]:アプリケーション要求

[Undecoded]:ディセクタが未完了、またはデータをデコードできない

[Reassemble]:再アセンブル中に問題が発生した

[Malformed]:パケットが不正な形式か、ディセクタにバグがあるか、このパケットの解剖が中断した

Description

エラーまたは警告の説明

キャプチャ ファイルのダウンロード

一度に 1 つのキャプチャ ファイルしかダウンロードできません。キャプチャ ファイルをコンピュータにダウンロードするには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Files] の順に選択します。

ステップ 2 キャプチャのリストからキャプチャ ファイルを選択します。

ステップ 3 [Download] をクリックします。

[File Download] ダイアログ ボックスが表示され、「Do you want to save this file?」という、ファイルの保存を確認するメッセージが表示されます。

ステップ 4 [Save] をクリックします。

[Save As] ダイアログ ボックスが開きます。ここで、ファイルの名前を変更し、選択した場所にそのファイルを保存できます。


 

キャプチャ ファイルの削除

キャプチャ ファイルを削除するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Files] の順に選択します。

ステップ 2 チェックボックスをオンにし、キャプチャのリストからキャプチャ ファイルをします。必要であれば、1 つ以上のキャプチャ ファイルを選択することもできます。

ステップ 3 [Delete] をクリックします。ダイアログ ボックスが表示され、「Delete the following file(s)?」という、ファイルの削除を確認するメッセージとファイル名が表示されます。

ステップ 4 ファイルを削除するには [OK] をクリックします。または、ファイルをそのまま残すには [Cancel] をクリックします。


 

複数のキャプチャ ファイルの削除

一度にすべてのキャプチャ ファイルを削除するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Files] の順に選択します。

ステップ 2 少なくとも 1 つのチェックボックスをオンにし、キャプチャを選択します。

ステップ 3 [Delete All] ボタンをクリックして、すべてのキャプチャを削除します。

ダイアログ ボックスが表示され、「Are you sure you want to delete all files?」という、すべてのキャプチャ ファイルの削除を確認するメッセージが表示されます。

ステップ 4 すべてのファイルを削除するには [OK] をクリックします。または、ファイルをそのまま残すには [Cancel] をクリックします。


 

キャプチャ データ ストレージ

すべてのプラットフォームの Cisco Prime Network Analysis Module(NAM) では、外部ストレージ接続を提供しているので、より長いキャプチャ期間と、より高いキャプチャ帯域幅に対応できます。すべてのプラットフォームで iSCSI データ ストレージがサポートされています。NAM-3 プラットフォームのみ、iSCSI に加え、SAS および FCoE をサポートしています。

NAM-3 では、iSCSI、SAS、および FCoE 接続を同時に使用できます。外部データ ストレージの設定の概要については、図 4-10 を参照してください。

この項の内容は、次のとおりです。

データ ストレージへのキャプチャ

データ ストレージの回復

図 4-10 外部ストレージの設定

外部ストレージのインストールと設定の手順については、Cisco.com で提供されている、プラットフォームのガイドを参照してください。

『Cisco Prime Network Analysis Module (NAM-3) Catalyst 6500 Series Switch Installation and Configuration Note 5.0(1T)』

http://www.cisco.com/en/US/docs/net_mgmt/network_analysis_module_software/5.0_1_T/switch/installation/guide/instcfg.html

『Configuration Guides for Nexus 5000 Series Switches』

http://www.cisco.com/en/US/products/ps9670/products_installation_and_configuration_guides_list.html

データ ストレージへのキャプチャ

NAM では、外部ストレージ管理は NAM メニュー [Capture] > [Packet Capture/Decode] > [Data Storage] で行われます。このウィンドウには、検出されたストレージ デバイス(内蔵のハード ドライブも含む)がリストされます。

このリリースでは、最大で 32 の外部データ ストレージ ターゲット(LUN 合計)をサポートしています。

LUN の準備

一部のアレイは複数のストレージ コントローラ モジュールを使用するため、多くの場合、モジュールの所有権は各 LUN にマッピングされます。これは、一般的なセキュリティ機能です。NAM がストレージ アレイ LUN にアクセスできるかどうかを確認するには、[Capture] > [Packet Capture/Decode] > [Data Storage] の順に選択します。

NAM-3 によって使用されていない新しい LUN(論理ユニット番号)のステータスは [Unformatted] になります。これらの LUN をキャプチャで使用できるよう準備するには、LUN を選択し、[Format] ボタンをクリックします。数分後、ステータスは [Ready] に変わります。

LUN にユーザ ラベルを適用すると、区別しやすくなります。LUN にラベルを付けるには、[Label] ボタンをクリックします。[Label] ダイアログに、現在のラベルと、LUN が最後にフォーマットされた日時に関する情報が表示されます。

LUN の使用

キャプチャ セッションで LUN を使用するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ステップ 2 [Capture Sessions] テーブルの下の [Create] ボタンをクリックします。

ステップ 3 セッションを作成するために適切なフィールドに入力し、[Storage Type] では [Files] オプションを選択します。

ステップ 4 [File Location] ドロップダウンを使用し、目的の LUN を選択します。各リスト項目には、プロトコルと、モデルまたはユーザ ラベル(設定されている場合)が含まれます。リストには、[Ready] 状態のターゲットのみが表示されるので注意してください。

ステップ 5 [Submit] をクリックしてセッションを作成するか、[Cancel] をクリックして前のウィンドウに戻ります。


 

セッションが作成されると、関連する LUN の状態は [In Use] に変わります。この時点では、セッションが削除されるまでは、他のセッションはこの LUN を使用できません。これにより、競合、破損データ、および書き込み帯域幅の劣化を防ぐことができます。

ファイルのデコード

外部ストレージにキャプチャされたファイルは、内部の [Capture] > [Packet Capture/Decode] > [Files] ページと同じ方法でデコードできます。このページには、対象となる LUN を選択するためのドロップダウンがあります。ファイルのテーブルには、その LUN のすべてのキャプチャ ファイルが表示されます。

外部ストレージの接続と切断

外部ストレージ デバイスを物理的に切断する前に、[Capture] > [Packet Capture/Decode] > [Storage] の [Unmount] ボタンを使用することを推奨します。これにより、デバイスが切断されることが NAM に通知され、NAM は重要なクリーンアップ手順を実行します。その後、ストレージ先は、ステータス列に [Unmounted] と表示され、外部ストレージ デバイスを安全に切断できるようになります。NAM-3 の電源がオフになると、外部ストレージはこのようにして自動的に切断されます。


注意 この手順がスキップされると、物理的に切断されたときに、ストレージ データが破損する可能性があります。

デバイスが、[Unmount] ボタンを使用して論理的に切断されたが、ストレージが物理的に接続されたままの場合は、[Mount] ボタンを使用して再アクティブ化できます。これにより、ストレージ先の以前の状態が復元されます。この操作では、ストレージを物理的に切断し、再接続する必要がないので、ストレージが自分から離れた場所にある場合に特に便利です。

データ ストレージの回復

以前は動作していたターゲットが [Unformatted] として表示された場合は、CLI を使用してファイルシステム チェックを行います。プロトコルがわかっている場合は、コマンド remote-storage <protocol> fsck <storage ID> を使用します。ストレージ ID は、 remote-storage <protocol> list を実行すると検索できます。ファイルシステム チェックにより、ファイルシステムの破損や状態に関する問題が解決されることもあります。コマンドが成功すると、ストレージが自動的にマウントされ、[Ready] として表示されます。

次に、iSCSI の回復例を示します。

root@nam.cisco.com# remote-storage iscsi list
Storage ID: 16
Label:
Status: Unformatted
Protocol: ISCSI
Target IP: 172.20.122.81
Target IQN: iqn.2011-09:celeros.target11
Model: IET VIRTUAL-DISK
LUN: 4
Capacity: 24.98GB
Available: 24.98GB
 
Storage ID: 15
Label: target 16
Status: In Use
Protocol: ISCSI
Target IP: 172.20.122.81
Target IQN: iqn.2011-09:celeros.target16
Model: IET VIRTUAL-DISK
LUN: 5
Capacity: 24.98GB
Available: 16.47GB
 
Active iSCSI Sessions:
tcp: [8] 172.20.122.81:3260,1 iqn.2011-09:celeros.target11
tcp: [7] 172.20.122.81:3260,1 iqn.2011-09:celeros.target16
 
root@nam.cisco.com# remote-storage iscsi fsck 16
FS check completed successfully.
root@nam.cisco.com# remote-storage iscsi list
Storage ID: 16
Label:
Status: Ready
Protocol: ISCSI
Target IP: 172.20.122.81
Target IQN: iqn.2011-09:celeros.target11
Model: IET VIRTUAL-DISK
LUN: 4
Capacity: 24.98GB
Available: 9.87GB
 
Storage ID: 15
Label: target 16
Status: In Use
Protocol: ISCSI
Target IP: 172.20.122.81
Target IQN: iqn.2011-09:celeros.target16
Model: IET VIRTUAL-DISK
LUN: 5
Capacity: 24.98GB
Available: 16.47GB
 
Active iSCSI Sessions:
tcp: [8] 172.20.122.81:3260,1 iqn.2011-09:celeros.target11
tcp: [7] 172.20.122.81:3260,1 iqn.2011-09:celeros.target16

パケット デコード情報の表示

パケットまたはファイルをいくつかキャプチャした後、Packet Decoder を使用してパケットの内容を表示できます。

[Packet Decoder] ウィンドウは、次の 4 つの部分で構成されます。

Packet Decoder の操作

[Packet browser] ペイン

プロトコル デコード(「詳細なプロトコル デコード情報の表示」を参照)

パケットの 16 進数ダンプ

パケット デコード情報を表示するには、次の操作を行います。


ステップ 1 [Capture] > [Packet Capture/Decode] > [Sessions] または [Capture] > [Packet Capture/Decode] > [Files] の順に選択します(デコードするタイプに基づく)。

ステップ 2 キャプチャ セッションまたはファイルを選択し、[Decode] ボタンをクリックします。[Packet Decoder] ウィンドウが表示されます。 表 4-10 に、NAM - [Packet Decoder] ウィンドウのパケット デコーダの操作を示します。

 

表 4-10 Packet Decoder の操作

ボタン
説明
Stop

パケットのロードを中止します。

Prev

NAM からの直前のパケット ブロックをロードおよびデコードします。

Next

NAM からの次のパケット ブロックをロードおよびデコードします。

Go To

指定したパケット番号から始まるパケット ブロックをロードおよびデコードします。

Display Filter

[Display Filter] ダイアログを起動します 「Packet Decoder に表示されるパケットのフィルタリング」を参照してください。

TCP Stream

選択した TCP パケットの TCP ストリームに従います。トラフィックのパターンによっては、長時間かかることがあります。

表 4-11 に、[Packet Browser] ペインに表示される情報を示します。

 

表 4-11 Packet Browser

フィールド
説明
Pkt

キャプチャ シーケンスの番号順に表示されたパケット番号。デコード(表示)フィルタがアクティブな場合、パケット番号は連続しないことがあります。

Time

表示された最初のパケット(バッファ内の最初のパケットではありません)に関して、パケットがキャプチャされた時間。絶対時間を調べるには、[Detail] ウィンドウを参照します。

Size

パケットのサイズ(バイト単位)。

Source

パケットの送信元。ホスト名、IP、IPX、または MAC アドレスとして表示されることがあります。IP アドレスのホスト名解決をオンまたはオフにするには、[Setup] タブをクリックして、[Preferences] でこの設定を変更します。

Destination

パケットの宛先。ホスト名、IP、IPX、または MAC アドレスとして表示されることがあります。

Protocol

パケットのトップ レベルのプロトコル。

Info

パケットの内容に関する短いテキスト情報。


 

Packet Decoder でのパケットの表示

パケット ブラウザを使用して、キャプチャしたパケットのリストを表示したり、次のことを実行したりできます。

プロトコル、IP アドレス、MAC アドレス、カスタム表示フィルタによるフィルタリング

[Next]、[Previous]、および [Go To] ボタンを使用したキャプチャ セッションからのパケットのロード


) これらの機能を使用するには、キャプチャを一時停止または停止する必要があります。


Packet Decoder に表示されるパケットのフィルタリング

Packet Decoder に表示されたパケットをフィルタするには、次の操作を行います。


ステップ 1 [Packet Decoder] ウィンドウで、[Display Filter] ボタンをクリックします。[Packet Decoder - Display Filter] ウィンドウが表示されます。

ステップ 2 次の操作を行います。

[Filter Mode] を選択します。

[Inclusive] を選択すると、条件に一致するパケットが表示されます。

[Exclusive] を選択すると、条件に一致しないパケットが表示されます。

[Address Filter] を選択します。

IP アドレスの場合は [IP address] フィルタを選択します。

MAC アドレスの場合は [MAC Address] フィルタを選択します。

[Source] では、送信元アドレスを指定できます。指定する必要のない場合は。空白のままにすることができます。

[Destination] では、宛先元アドレスを指定できます。指定する必要のない場合は。空白のままにすることができます。

[Both Directions] をオンにすると、どちらの方向に移動するパケットも照合できます。

[Protocol Filter] を定義します。

いずれかのプロトコルまたはフィールドの一致するパケットを表示するには、[Match any] を選択します。

または

すべてのプロトコルまたはフィールドの一致するパケットを表示するには、[Match all] を選択します。

[Protocols] リストからプロトコルを選択します。


) プロトコル名の先頭の数文字を入力して、目的のプロトコルに直接移動できます。入力ミスをした場合にリセットするには、ESC キーまたは SPACE キーを押します。


必要に応じて [Fields] リストからプロトコルのフィールドを選択し、フィールド値を選択します。

[Custom Filter] を選択します。カスタム表示フィルタの設定方法については、「カスタム表示フィルタ」を参照してください。

ステップ 3 フィルタを適用し、ウィンドウを閉じるには、[OK] をクリックします。

フィルタを適用し、ウィンドウを開いたままにしておくには、[Submit] をクリックします。

すべてのフィールドをクリアするには、[Clear Filter] をクリックします。

操作を行わずにウィンドウを閉じるには、[Cancel] をクリックします。


 

詳細なプロトコル デコード情報の表示

詳細なプロトコル デコード情報を表示するには、次の操作を行います。


ステップ 1 詳細情報を必要とするパケット番号を強調表示します。

パケットに関する詳細情報が、[Protocol Decode] ペインおよびウィンドウ下部の 16 進数ダンプ ペインに表示されます。


) [Protocol Decode] ペインで詳細を強調表示すると、対応するバイトが下の 16 進数ダンプ ペインで強調表示されます。


ステップ 2 情報を調べるには、下部ペインのスクロール バーを使用します。


SCCP トラフィックをデコードすると、NAM はプロトコルを SCCP としてではなく、スキニーとしてリストします。



 

ヒント • プロトコルは、[Packet Browser] および [Protocol Decode] ペインの両方で色分けされます。

プロトコル情報を縮小および展開するには、[Protocol Decode] ペインでプロトコル名をクリックします。

ペインのサイズを調整するには、ペイン フレームをクリックし、上または下にドラッグします。


 

アラームによってトリガーされるキャプチャの使用

定義されたアラーム イベントによって自動的に開始または中止される、複数のキャプチャを設定できます。アラームによってトリガーされるキャプチャを設定するには、次の操作を行います。


ステップ 1 [Setup] > [Alarms] > [Alarm Events] ウィンドウから、アラーム イベントを作成します。

データをキャプチャするイベントのタイプに対し、[Alarm Event] を設定します。詳細については、「アラーム アクション設定」を参照してください。

ステップ 2 [Setup] > [Alarms] > [Alarm Thresholds] ウィンドウから、イベントのしきい値を設定します。

関連する [Alarm Event] で、対象のパラメータのしきい値を設定します。詳細については、「しきい値」を参照してください。

ステップ 3 [Capture] > [Packet Capture/Decode] > [Sessions] ウィンドウから、キャプチャ セッションを設定します。[Create] をクリックします。

関連する [Alarm Event] に対し、[Start Event] または [Stop Event](またはその両方)を選択します。詳細については、「キャプチャ セッションの設定」を参照してください。


 

カスタム表示フィルタ

カスタム表示フィルタを使用して、カスタマイズしたフィルタを作成および保存すると、[Decode] ウィンドウで使用して表示するパケットを制限できます。

カスタム表示フィルタの設定および管理のヘルプについては、次のトピックを参照してください。

「カスタム表示フィルタの作成」

「カスタム表示フィルタの編集」

「カスタム表示フィルタの削除」

カスタム表示フィルタの作成

カスタム表示フィルタを作成するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ページの下に [Hardware Filters] ボックスが表示されます。

ステップ 2 [Create] をクリックします。[Custom Decode Filter] ダイアログ ボックス( 表 4-12 )が表示されます。

ステップ 3 各フィールドに、適切な情報を入力します。

 

表 4-12 [Custom Decode Filter] ダイアログ ボックス

フィールド
説明
使用方法
Filter Name

キャプチャ フィルタの名前。

作成するフィルタの名前を入力します。

Description

キャプチャ フィルタの説明。

フィルタの説明を入力します。

Protocol

パケットと照合するプロトコル。

リストからプロトコルを選択します。(プロトコルに関係なくすべてのパケットを照合する場合は、[All] を選択します)

Address
(MAC または IP)

MAC アドレスまたは IP アドレスのどちらでフィルタリングするかを指定します。

パケットの送信元/宛先 MAC アドレスを使用してフィルタリングするには、[MAC] を選択します。

パケットの送信元/宛先アドレスを使用してフィルタリングするには、[IP] を選択します。

Both Directions

フィルタが双方向のトラフィックに適用されるかどうかを指定します。

送信元がホスト A で宛先がホスト B の場合、双方向をイネーブルにすると、A から B および B から A のパケットがフィルタリングされます。

送信元がホスト A で宛先が指定されていない場合、双方向をイネーブルにすると、ホスト A へのパケットとホスト A からのパケットの両方がフィルタリングされます。

Offset

パケット データ照合を開始する [Base] からのオフセット(バイト数)。

10 進数値を入力します。

Base

オフセットが計算されるベース。

[absolute] を選択した場合、オフセットはパケットの絶対開始位置(たとえば、イーサネット フレームの先頭)から計算されます。

プロトコルを選択した場合、オフセットはパケットのプロトコル部分の先頭から計算されます。パケットにプロトコルが含まれていない場合、パケットはこの照合に失敗します。

[absolute] またはプロトコルを選択します。

Data Pattern

パケットと照合するデータ。

hh hh hh ... hh は 0 ~ 9 または a ~ f の 16 進数)を入力します。使用しない場合は、空白にします。

Filter Expression

複雑なフィルタ条件を設定する高度な機能。

最も単純なフィルタにより、プロトコルまたはフィールドの存在をチェックできます。たとえば、単純なフィルタ式 ipx を使用して、IPX プロトコルを含むすべてのパケットを表示できます。

「カスタム デコード フィルタ式作成のヒント」を参照してください。

ステップ 4 次のどちらかを実行します。

フィルタを作成するには、[Submit] をクリックします。

フィルタの作成を取り消すには、[Cancel] をクリックします。


 

カスタム デコード フィルタ式作成のヒント

表 4-13 に示されている論理演算子および比較演算子を使用して、カスタム デコード フィルタ式を構築できます。

 

表 4-13 論理演算子と比較演算子

オペレータ
意味

and

論理積

or

論理和

xor

排他的論理和

not

論理否定

==

等しい

!=

等しくない

>

不等号(大なり)

カッコ内で部分式をグループ化することもできます。フィルタ式では次のフィールドを使用できます。

 

フィールド
フィルタ基準
フォーマット

eth.addr
eth.src
eth.dst

MAC アドレス

hh:hh:hh:hh:hh:hh (h は 0 ~ 9 または a ~ f の 16 進数)。

ip.addr
ip.src
ip.dst

IP アドレス

n.n.n.n または n.n.n.n/s (n は 0 ~ 255 の数値、s は 0 ~ 32 のホストを含まないホスト名)。

tcp.port
tcp.srcport
tcp.dstport

TCP ポート番号

0 ~ 65535 の 10 進数。

udp.port
udp.srcport
udp.dstport

UDP ポート番号

0 ~ 65535 の 10 進数。

protocol

プロトコル

[Custom Decode Filter] ダイアログ ボックスの [Protocol] リストをクリックして、フィルタリングできるプロトコルのリストを確認します。

protocol [ offset : length ]

プロトコルのデータ パターン

hh:hh:hh:hh... hh は 0 ~ 9 または a ~ f の 16 進数)。

offset および length は 10 進数。

offset は 0 から開始し、パケットの protocol 部分の先頭と関連しています。

frame.pkt_len

パケット長

パケット長を表す 10 進数。切り捨てられたキャプチャ パケット長ではありません。

カスタム デコード フィルタ式の例

111.122.133.144 からの SNMP パケットを照合するには、次のように入力します。

snmp and (ip.src == 111.122.133.144)

111.122 クラス B ネットワークからの IP パケットを照合するには、次のように入力します。

ip.addr == 111.122.0.0/16

ポート 80 への TCP パケットおよびポート 80 からの TCP パケットを照合するには、次のように入力します。

tcp.port == 80

TOS 値は、IP ヘッダーのバイト 1(2 番めのバイト)に保存されます。16 の TOS 値(0x10)を持つ IP パケットを照合するには、次のように入力します。

ip[1:1] == 10

TCP 確認応答番号は、TCP ヘッダーのバイト 8 ~ 11 に保存されます。確認応答番号 12345678(0xBC614E)を持つ TCP パケットを照合するには、次のように入力します。

tcp[8:4] == 00:BC:61:4E

) [Custom Decode Filter] ダイアログ ボックスでは、フィルタ式を他のフィールドと組み合わせて使用できます。この場合、フィルタ式は他の条件との論理積がとられます。
無効または矛盾するフィルタ式では、パケットは照合されません。


カスタム表示フィルタの編集

カスタム表示フィルタを編集するには、次の操作を行います。


ステップ 1 [Capture] > [Packet Capture/Decode] > [Display Filters] の順に選択します。

ステップ 2 編集するフィルタを選択し、[Edit] をクリックします。

ステップ 3 必要に応じて、各フィールドの情報を変更します。

ステップ 4 次のどちらかを実行します。

変更内容を適用するには、[Submit] をクリックします。

変更したページをクリアするには、[Reset] をクリックします。

変更を適用せずにページを終了するには、[Cancel] をクリックします。


 

カスタム表示フィルタの削除

カスタム表示フィルタを削除するには、次の操作を行います。


ステップ 1 [Capture] > [Packet Capture/Decode] > [Display Filters] の順に選択します。

ステップ 2 削除するフィルタを選択し、[Delete] をクリックします。

ステップ 3 確認のダイアログ ボックスで、次のいずれかを選択します。

フィルタを削除するには、[OK] をクリックします。

取り消すには、[Cancel] をクリックします。