ネットワーク管理コンフィギュレーション ガイド、Cisco IOS XE Release 3.6E(Catalyst 3850 スイッチ)
Wireshark の設定
Wireshark の設定

目次

Wireshark の設定

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http:/​/​www.cisco.com/​go/​cfn からアクセスします。 Cisco.com のアカウントは必要ありません。

Wireshark の前提条件

  • Wireshark は、Supervisor Engine 7-E、Supervisor Engine 7L-E、Catalyst 3850、Catalyst 3650、ワイヤレス LAN コントローラ 5700 シリーズ、Catalyst 4500X-16、および Catalyst 4500X-32 でサポートされます。

  • IP Base イメージまたは IP Services イメージが組み込み Wireshark には必要です。

Wireshark の制約事項

  • Cisco IOS Release XE 3.3.0(SE) 以降では、Wireshark のグローバル キャプチャはサポートされません。

  • キャプチャ フィルタはサポートされません。

  • Wireshark を設定するための CLI では、機能を EXEC モードからのみ実行する必要があります。 通常は設定サブモードで発生するアクション(キャプチャ ポイントの定義など)は、代わりに EXEC モードから処理されます。 すべての主要コマンドは NVGEN の対象ではなく、NSF と SSO のシナリオではスタンバイ スーパーバイザに同期されません。

  • インターフェイスの出力方向にキャプチャされたパケットは、スイッチ rewrite(TTL、VLAN タグ、CoS、チェックサム、MAC アドレス、DSCP、precedent、UP などを含む)によって加えられる変更を反映しない場合があります。

  • ファイル サイズによる循環ファイル保存の制限はサポートされません。

  • 組み込み Wireshark は LAN Base イメージを実行しているスイッチ上ではサポートされません。

ワイヤレス パケット キャプチャ

  • ワイヤレス キャプチャの唯一の形式は CAPWAP トンネル キャプチャです。

  • CAPWAP トンネルをキャプチャする場合、同じキャプチャ ポイントで他のインターフェイス タイプを接続ポイントとして使用することはできません。

  • 複数の CAPWAP トンネルのキャプチャがサポートされています。

  • コア フィルタは適用されず、CAPWAP トンネルをキャプチャする場合は省略する必要があります。

  • CAPWAP データ トンネルをキャプチャするために、各 CAPWAP トンネルは物理的ポートにマッピングされ、トラフィックをフィルタするための適切な ACL が適用されます。

  • CAPWAP 非データ トンネルをキャプチャするため、スイッチはすべてのポート上のトラフィックをキャプチャし、トラフィックをフィルタするための適切な ACL を適用するように設定されます。

  • 種類に関係なく、CAPWAP トンネルをキャプチャするため、コントローラはすべての物理的ポートでトラフィックをキャプチャし、トラフィックをフィルタするための適切な ACL を適用するよう指定されます。

設定の制限

  • 複数のキャプチャ ポイントを定義できますが、一度にアクティブにできるのは 1 つだけです。 1 つ開始するには 1 つ停止する必要があります。

  • VRF、管理ポート、プライベート VLAN はいずれも接続ポイントとして使用することはできません。

  • Wireshark クラス マップでは、ACL は各タイプ(IPv4、IPv6、MAC)で 1 つのみ許可されます。 クラス マップでは、IPv4 に 1 つ、IPv6 に 1 つ、MAC に 1 つの最大 3 つの ACL が可能です。

  • Wireshark は宛先 SPAN ポートでパケットをキャプチャできません。

  • Wireshark は、キャプチャ ポイントにアタッチされる接続ポイント(インターフェイス)のいずれかが動作を停止するとキャプチャを停止します。 たとえば、接続ポイントに関連付けられているデバイスがスイッチから切断された場合です。 キャプチャを再開するには、手動で再起動する必要があります。

  • CPU 注入されたパケットは、コントロール プレーン パケットと見なされます。 したがって、これらのタイプのパケットはインターフェイスの出力キャプチャではキャプチャされません。

  • MAC ACL は、ARP などの非 IP パケットだけに使用されます。 レイヤ 3 ポートまたは SVI ではサポートされません。

  • IPv6 ベースの ACL は VACL ではサポートされません。

  • レイヤ 2 およびレイヤ 3 EtherChannel はサポートされません。

  • ACL ロギングおよび Wireshark には互換性がありません。 Wireshark はアクティブになると優先されます。 任意のポートにロギング中の ACL にキャプチャされているものも含めたすべてのトラフィックが Wireshark にリダイレクトされます。 Wireshark を開始する前に、ACL ロギングを非アクティブにすることをお勧めします。 これを実行しないと、Wireshark のトラフィックは ACL ロギング トラフィックに汚染されます。

  • Wireshark は floodblock によってドロップされるパケットをキャプチャしません。

  • 同じポートの PACL および RACL の両方をキャプチャすると、1 つのコピーだけが CPU に送信されます。 DTLS 暗号化 CAPWAP インターフェイスをキャプチャすると、暗号化されたものと復号化されたものの 2 つのコピーが Wireshark に送信されます。 DTLS 暗号化 CAPWAP トラフィックを運ぶレイヤ 2 インターフェイスをキャプチャすると同じ動作が発生します。 コア フィルタは外部 CAPWAP ヘッダーに基づいています。

Wireshark に関する情報

Wireshark の概要

Wireshark は、複数のプロトコルをサポートし、テキストベース ユーザ インターフェイスで情報を提供する、以前は Ethereal と呼ばれていたパケット アナライザ プログラムです。

トラフィックをキャプチャおよび分析する機能により、ネットワーク アクティビティにデータを提供します。 Cisco IOS Release XE 3.3.0(SE) 以前のリリースでは、このニーズに対応したのは SPAN およびデバッグ プラットフォーム パケットの 2 つの機能だけでした。 これらにはいずれも制限があります。 SPAN は、パケットのキャプチャにおいては理想的ですが、指定したローカルまたはリモートの宛先にパケットを転送することによりこれを実現しているだけで、ローカル表示や分析をサポートしていません。 debug platform packet コマンドは、Catalyst 4500 シリーズに固有で、ソフトウェア プロセス フォワーディング パスから生成されたパケットだけで動作します。 また、debug platform packet コマンドは、ローカル表示機能に制限があり、分析がサポートされていません。

そのため、ハードウェアおよびソフトウェア送信トラフィックの両方に適用可能で、可能なら既知のインターフェイスを使用した高度なパケット キャプチャ、表示、および分析サポートを提供する、トラフィック キャプチャおよび分析機構のニーズが存在します。

Wireshark は、.pcap と呼ばれる既知の形式を使用してファイルへパケットをダンプし、個々のインターフェイスに対して適用されイネーブルになります。 EXEC モードでインターフェイスを指定し、フィルタおよび他のパラメータも指定します。 Wireshark アプリケーションは、start コマンドを入力した場合にだけ適用され、Wireshark が自動または手動でキャプチャを停止した場合にだけ削除されます。

キャプチャ ポイント

キャプチャ ポイントとは、Wireshark 機能の一元的なポリシー定義です。 キャプチャ ポイントは、どのパケットをキャプチャするか、どこからキャプチャするか、キャプチャ パケットに何を実行するか、およびいつ停止するかなど、Wireshark の特定のインスタンスに関連付けられたすべての特徴を説明します。 キャプチャ ポイントは作成後に変更する場合があり、start コマンドを使用して明示的にアクティブ化しない限り、アクティブになりません。 このプロセスは、キャプチャ ポイントのアクティブ化またはキャプチャ ポイントの開始といいます。 キャプチャ ポイントは名前で識別され、手動または自動で非アクティブ化または停止する場合もあります。

複数のキャプチャ ポイントを定義してできますが、一度にアクティブにできるのは 1 つだけです。 1 つ開始するには 1 つ停止する必要があります。

接続ポイント

接続ポイントは、キャプチャ ポイントに関連付けられた論理パケットのプロセス パスのポイントです。 接続ポイントはキャプチャ ポイントの属性です。 接続ポイントに影響するパケットはキャプチャ ポイント フィルタに対してテストされます。一致するパケットはキャプチャ ポイントの関連する Wireshark インスタンスにコピーされ、送信されます。 特定のキャプチャ ポイントを複数の接続ポイントに関連付けることができます。異なるタイプ接続ポイントの混合に制限はありません。 一部の制限は、異なるタイプの添付ポイントを指定すると適用されます。 接続ポイントは、常に双方向であるレイヤ 2 VLAN の接続ポイントを除き、方向性あり(入力/出力/両方)です。

フィルタ

フィルタは、Wireshark にコピーされ、渡されるキャプチャ ポイントの接続ポイントを通過するトラフィックのサブセットを識別し制限するキャプチャ ポイントの属性です。 Wireshark で表示されるためには、パケットは接続ポイントと、キャプチャ ポイントに関連付けられたすべてのフィルタも通過する必要があります。

キャプチャ ポイントには以下のタイプのフィルタがあります。

  • コア システム フィルタ:コア システム フィルタはハードウェアによって適用され、一致基準はハードウェアによって制限されます。 このフィルタは、ハードウェア転送トラフィックが Wireshark の目的でソフトウェアにコピーするかどうかを決定します。

  • 表示フィルタ:表示フィルタは、Wireshark によって適用されます。 表示フィルタに失敗したパケットは表示されません。

コア システム フィルタ

クラス マップまたは ACL を使用して、または CLI を使用して明示的にコア システム フィルタの一致基準を指定できます。


(注)  


CAPWAP を接続ポイントとして指定すると、コア システム フィルタは使用されません。


一部のインストール済み環境では、承認プロセスが長い場合さらに遅延を引き起こす可能性がある スイッチ の設定を変更する権限を取得する必要があります。 これにより、ネットワーク管理者の機能がトラフィックの監視および分析に制限される場合があります。 この状況に対処するため、Wireshark は、EXEC モード CLI から、コア システム フィルタ一致基準の明示的な仕様をサポートします。 この対処方法の欠点は、指定できる一致基準が、クラス マップがサポートする対象の限定的なサブセットである(MAC、IP 送信元アドレスおよび宛先アドレス、イーサネット タイプ、IP プロトコル、および TCP/UDP の発信元および宛先ポートなど)ことです。

コンフィギュレーション モードを使用する場合は ACL を定義するか、クラス マップでそこへキャプチャ ポイントを参照させることができます。 明示的かつ ACL ベースの一致基準がクラス マップとポリシー マップの作成に内部的に使用されます。

注:ACL およびクラス マップの設定はシステムの一部であり、Wireshark 機能の側面ではありません。

表示フィルタ

表示フィルタを使用すると、.pcap ファイルからデコードして表示するときに表示するパケットの集合をさらに絞り込むように Wireshark に指示できます。

処理

Wireshark はライブ トラフィックまたは前の既存 .pcap ファイルで呼び出すことができます。 ライブ トラフィックに対して起動されたとき、その表示フィルタを通過するパケットに対して次の 4 種類の処理を実行できます。

  • デコード、分析、保存のためにメモリ内バッファへキャプチャ

  • .pcap ファイルへ保存

  • デコードおよび表示

  • 保存および表示

.pcap ファイルのみに対して起動された場合は、デコードと表示の処理だけが適用できます。

キャプチャ パケットのメモリ内のバッファへのストレージ

パケットは、メモリ内のキャプチャ バッファに格納して、後でデコード、分析、または .pcap ファイルへ保存できます。

キャプチャ バッファは線形モードまたは循環モードを選択できます。 線形モードでは、バッファが上限に達すると、新しいパケットが廃棄されます。 循環モードでは、バッファが上限に達すると、新しいパケットを格納するために最も古いパケットが廃棄されます。 必要に応じてバッファをクリアすることもできますが、このモードは、ネットワーク トラフィックのデバッグに主に使用されます。


(注)  


パケットをバッファ内に保存する複数のキャプチャがある場合、メモリ ロスを避けるため、新しいキャプチャを開始する前にバッファをクリアしてください。

.pcap ファイルにキャプチャされたパケットのストレージ


(注)  


WireShark がスタック内のスイッチで使用される場合は、パケット キャプチャをアクティブ スイッチに接続されたフラッシュまたは USB フラッシュ デバイスにのみ保存できます。

たとえば、flash1 がアクティブなスイッチに接続されており、flash2 がセカンダリ スイッチに接続されている場合、flash1 にのみパケット キャプチャを保存できます。

アクティブ スイッチに接続されたフラッシュまたは USB フラッシュ デバイス以外のデバイスにパケット キャプチャを保存しようとすると、エラーが発生する場合があります。


Wireshark は .pcap ファイルにキャプチャされたパケットを保存できます。 キャプチャ ファイルは次のストレージ デバイスに配置可能です。

  • Switchオンボード フラッシュ ストレージ(flash:)

  • USB ドライブ(usbflash0:)


(注)  


サポートされていないデバイスまたはアクティブなスイッチに接続されていないデバイスにパケット キャプチャを保存しようとするとエラーが発生する可能性があります。


Wireshark のキャプチャ ポイントを設定する場合は、ファイル名を関連付けることができます。 キャプチャ ポイントをアクティブにすると、Wireshark は指定された名前でファイルを作成し、パケットを書き込みます。 ファイルの関連付け、またはキャプチャ ポイントのアクティブ化を行う際にファイルがすでに存在する場合、Wireshark はファイルを上書きできるかどうかについて問い合わせます。 特定のファイル名には 1 つのキャプチャ ポイントのみ関連付けることができます。

Wireshark が書き込んでいるファイル システムが一杯になると、Wireshark はファイルの一部のデータで失敗します。 そのため、キャプチャ セッションを開始する前に、ファイル システムに十分な領域があることを確認する必要があります。 Cisco IOS Release IOS XE 3.3.0(SE) では、ファイル システムの完全なステータスは一部のストレージ デバイスに対しては検出されません。

パケット全体ではなくセグメントのみを保持して、必要な記憶域を減らすことができます。 通常、最初の 64 または 128 バイトを超える詳細は不要です。 デフォルトの動作は、パケット全体の保存です。

ファイルシステムを処理し、ファイルシステムへの書き込みを行う際、パケットのドロップの発生を避けるため、Wireshark ではオプションでメモリ バッファを使用してパケットの到着時に一時的に保持できます。 メモリ バッファのサイズは、キャプチャ ポイントが .pcap ファイルに関連付けられる際に指定できます。

パケットのデコードおよび表示

Wireshark はコンソールにパケットをデコードして表示できます。 この機能は、ライブ トラフィックに適用されるキャプチャ ポイントと前の既存 .pcap ファイルに適用されるキャプチャ ポイントで使用可能です。


(注)  


パケットをデコードして表示すると、CPU への負荷が高くなる場合があります。

Wireshark は、幅広い種類のパケット形式に対してパケット詳細をデコードおよび表示できます。 詳細は、monitor capture name start コマンドを以下のキーワード オプションと入力することで表示されます。これにより表示およびデコード モードが開始します。

  • brief:パケットごとに 1 行表示します(デフォルト)。

  • detailed:プロトコルがサポートされているすべてのパケットのすべてのフィールドをデコードして表示します。 詳細モードでは、他の 2 種類のモードよりも多くの CPU が必要です。

  • (hexadecimal) dump:パケット データの 16 進ダンプおよび各パケットの印刷可能文字としてパケットごとに 1 行表示します。

capture コマンドをデコードおよび表示オプションで入力すると、Wireshark 出力が Cisco IOS に返され、コンソール上に変更なしに表示されます。

ライブ トラフィックの表示

Wireshark はコア システムからパケットのコピーを受信します。 Wireshark は、表示フィルタを適用して、不要なパケットを破棄し、残りのパケットをデコードおよび表示します。

.pcap ファイルの表示

Wireshark は、以前に保存された .pcap ファイルからのパケットをデコードして表示し、選択的にパケットを表示するように表示フィルタに指示できます。

パケットのストレージおよび表示

機能的には、このモードは以前の 2 種類のモードの組み合わせです。 Wireshark は指定された .pcap ファイルにパケットを保存し、これらをコンソールにデコードおよび表示します。 ここではコア フィルタ フィルタだけが該当します。

Wireshark キャプチャ ポイントのアクティブ化および非アクティブ化

Wireshark のキャプチャ ポイントが、接続ポイント、フィルタ、アクション、およびその他のオプションで定義された場合、Wireshark をアクティブにする必要があります。 キャプチャ ポイントがアクティブになるまで、実際にパケットをキャプチャしません。

キャプチャ ポイントがアクティブになる前に、一部の機能性チェックが実行されます。 キャプチャ ポイントは、コア システム フィルタと接続ポイントのどちらも定義されていない場合はアクティブにできません。 これらの要件を満たしていないキャプチャ ポイントをアクティブ化しようとすると、エラーが生成されます。*

(注)  


*ワイヤレス キャプチャを CAPWAP トンネリング インターフェイスで実行する場合、コア システムのフィルタは必要なく、使用することができません。


表示フィルタを必要に応じて指定します。

Wireshark のキャプチャ ポイントはアクティブになると、複数の方法で非アクティブにできます。 .pcap ファイルにパケットを格納するだけのキャプチャ ポイントは手動で停止することも、また時間制限またはパケット制限付きで設定することもでき、その後でキャプチャ ポイントは自動的に停止します。

Wireshark のキャプチャ ポイントがアクティブになると、固定レート ポリサーがハードウェアに自動的に適用され、CPU が Wireshark によって指示されたパケットでフラッディングしないようになります。 レート ポリサーの短所は、リソースが使用可能な場合でも、確立されたレートを超えて連続するパケットをキャプチャできないことです。

Wireshark 機能

ここでは、Wireshark 機能が スイッチ 環境でどのように動作するかについて説明します。

  • ポート セキュリティおよび Wireshark が入力キャプチャに適用された場合でも、ポート セキュリティによってドロップされたパケットは Wireshark でキャプチャされます。 ポート セキュリティが入力キャプチャに適用され、Wireshark が出力キャプチャに適用された場合、ポート セキュリティによってドロップされたパケットは Wireshark ではキャプチャされません。

  • ダイナミック ARP インスペクション(DAI)によってドロップされたパケットは Wireshark ではキャプチャされません。

  • STP ブロック ステートのポートが接続ポイントとして使用され、コア フィルタが一致する場合、Wireshark は、パケットがスイッチにドロップされる場合でもポートに入ってくるパケットをキャプチャします。

  • 分類ベースのセキュリティ機能:入力分類ベースのセキュリティ機能によってドロップされたパケット(ACL および IPSG など)は同じ層の接続ポイントに接続する Wireshark キャプチャ ポイントでは検出されません。 一方、出力分類ベースのセキュリティ機能によってドロップされたパケットは、同じ層の接続ポイントに接続されている Wireshark のキャプチャ ポイントでキャッチされます。 論理モデルは、Wireshark の接続ポイントが、入力側のセキュリティ機能のルックアップ後、および出力側のセキュリティ機能のルックアップ前に発生することです。

    入力では、パケットはレイヤ 2 ポート、VLAN、およびレイヤ 3 ポート/SVI を介して送信されます。 出力では、パケットはレイヤ 3 ポート/SVI、VLAN、およびレイヤ 2 ポートを介して送信されます。 接続ポイントがパケットがドロップされるポイントの前にある場合、Wireshark はパケットをキャプチャします。 これ以外の場合は、Wireshark はパケットをキャプチャしません。 たとえば、入力方向のレイヤ 2 接続ポイントに接続される Wireshark のキャプチャ ポリシーはレイヤ 3 分類ベースのセキュリティ機能によってドロップされたパケットをキャプチャします。 対照的に、出力方向のレイヤ 3 接続ポイントに接続する Wireshark のキャプチャ ポリシーは、レイヤ 2 分類ベースのセキュリティ機能によりドロップされたパケットをキャプチャします。

  • ルーテッド ポートおよびスイッチ仮想インターフェイス(SVIs):SVI の出力から送信されるパケットは CPU で生成されるため、Wireshark は SVI の出力をキャプチャできません。 これらのパケットをキャプチャするには、コントロール プレーンを接続ポイントとして含めます。

  • VLAN:VLAN が Wireshark の接続ポイントとして使用されている場合、パケットは、入力方向でのみキャプチャされます。

  • リダイレクション機能:入力方向では、レイヤ 3(PBR および WCCP など)でリダイレクトされる機能トラフィックは、レイヤ 3 の Wireshark の接続ポイントよりも論理的に後です。 Wireshark は、後で別のレイヤ 3 インターフェイスにリダイレクトされる可能性がある場合でも、これらのパケットをキャプチャします。 対照的に、レイヤ 3 によってリダイレクトされる出力機能(出力 WCCP など)は論理的にレイヤ 3 接続ポイントの前にあり、Wireshark ではキャプチャされません。

  • SPAN:Wireshark は SPAN 送信元または宛先として設定されたインターフェイス上でパケットを収集できません。

  • ACL が適用されていない場合、最大 1000 の VLAN からパケットを一度にキャプチャできます。 ACL が適用されている場合、Wireshark の使用できるハードウェア領域はより少なくなります。 結果として、パケット キャプチャに一度に使用できる VLAN の最大数は低くなります。 1000 以上の VLAN トンネルを一度に使用したり、ACL を多数使用すると予測されない結果が生じる可能性があります。 たとえば、モビリティがダウンする可能性があります。

    (注)  


    過剰な CPU 使用につながり、予測されないハードウェア動作の原因となる可能性があるため、過剰な数の接続ポイントを一度にキャプチャしないことを強くお勧めします。


Wireshark でのワイヤレス パケット キャプチャ

  • ワイヤレス トラフィックは CAPWAP パケット内にカプセル化されます。 ただし、CAPWAP トンネル内の特定のワイヤレス クライアントのトラフィックだけの検出は、CAPWAP トンネルを接続ポイントとして使用する場合はサポートされません。 特定のワイヤレス クライアントのトラフィックだけをキャプチャするには、クライアント VLAN を接続ポイントとして使用し、それに応じてコア フィルタを設定します。

  • 内部ワイヤレス トラフィックのデコードは制限付きでサポートされます。 暗号化された CAPWAP トンネル内の内部ワイヤレス パケットのデコードはサポートされません。

  • 同じキャプチャ ポイント上で他のインターフェイス タイプを CAPWAP トンネリング インターフェイスと併用することはできません。 CAPWAP トンネリング インターフェイスおよびレベル 2 ポートは、同じキャプチャ ポイントの接続ポイントにはできません。

  • CAPWAP トンネルを介して Wireshark にパケットをキャプチャする場合、コア フィルタの指定はできません。 ただし、Wireshark 表示フィルタを使用して、特定のワイヤレス クライアントに対してワイヤレス クライアントをフィルタすることができます。

  • ACL が適用されていない場合、最大 135 の CAPWAP トンネルからパケットを一度にキャプチャできます。 ACL が適用されている場合、Wireshark の使用できるハードウェア メモリ領域はより少なくなります。 結果として、パケット キャプチャに一度に使用できる CAPWAP トンネルの最大数は低くなります。 一度に 135 以上の CAPWAP トンネル、または多くの ACL を使用すると予測できない結果が生じる場合があります。 たとえば、モビリティがダウンする可能性があります。

    (注)  


    過剰な CPU 使用につながり、予測されないハードウェア動作の原因となる可能性があるため、過剰な数の接続ポイントを一度にキャプチャしないことを強くお勧めします。


Wireshark のガイドライン

  • Wireshark でのパケット キャプチャ中に、ハードウェア転送が同時に発生します。

  • Wireshark のキャプチャ プロセスを開始する前に、CPU 使用率が妥当であり、十分なメモリ(少なくとも 200 MB)が使用可能であることを確認します。

  • ストレージ ファイルにパケットを保存する予定の場合、Wireshark キャプチャ プロセスを開始する前に十分なスペースが利用可能であることを確認してください。

  • Wireshark のキャプチャ中の CPU 使用率は、設定された基準に一致するパケットの数と、一致したパケット用のアクション(ストア、デコードして表示、あるいはこの両方)によって異なります。

  • 高 CPU 使用率および他の不要な条件を避けるため、可能な限りキャプチャを最小限に抑えてください(パケット、期間による制限)。

  • パケット転送はハードウェアで通常実行されるため、パケットは、ソフトウェア処理のために CPU にコピーされません。 Wireshark のパケット キャプチャの場合、パケットは CPU にコピーされ、配信されて、これが CPU 使用率の増加につながります。

    CPU 使用率を高くしないようにするには、次の手順を実行します。

    • 関連ポートだけに接続します。

    • 一致条件を表すにはクラス マップを使用し、二次的にアクセス リストを使用してください。 いずれも実行可能でない場合は、明示的な、インライン フィルタを使用します。

    • フィルタ規則に正しく準拠させます。 緩和されたのではなく制限的な ACL で、トラフィック タイプを(IPv4 のみなどに)制限して、不要なトラフィックを引き出します。

  • パケット キャプチャを短い期間または小さなパケット番号に常に制限します。 capture コマンドのパラメータにより、次を指定することができます。

    • キャプチャ期間

    • キャプチャされたパケットの数

    • ファイル サイズ

    • パケットのセグメント サイズ

  • コア フィルタと一致するトラフィックが非常に少ないことが判明している場合は、制限なしでキャプチャ セッションを実行します。

  • 次の場合に高い CPU(またはメモリ)使用率になる可能性があります。

    • キャプチャ セッションをイネーブルにし長期間不在のままにして、予期しないトラフィックのバーストが起きた場合。

    • リング ファイルまたはキャプチャ バッファを使用してキャプチャ セッションを起動して、長期間不在のままにするとし、パフォーマンスまたはシステム ヘルスの問題が引き起こされます。

  • キャプチャ セッション中に、スイッチ のパフォーマンスやヘルスに影響する可能性のある Wireshark による高い CPU 使用率およびメモリ消費がないか監視します。 こうした状況が発生した場合、Wireshark セッションをすぐに停止します。

  • 大きなファイルの .pcap ファイルからのパケットをデコードして表示することは避けてください。 代わりに、PC に .pcap ファイルを転送し PC 上で Wireshark を実行します。

  • Wireshark インスタンスは最大 8 個まで定義できます。 .pcap ファイルまたはキャプチャ バッファからパケットをデコードして表示するアクティブな show コマンドは、1 個のインスタンスとしてカウントされます。 ただし、アクティブにできるインスタンスは 1 つだけです。

  • 実行中のキャプチャに関連付けられた ACL が変更された場合は常に、ACL 変更を有効にするにはキャプチャを再起動する必要があります。 キャプチャを再起動しないと、変更前の元の ACL が継続して使用されます。

  • パケット損失を防ぐには、次の点を考慮します。

    • ライブ パケットをキャプチャしている間は、CPU に負荷のかかる操作であるデコードと表示ではなく(特に detailed モードの場合)、保存のみを使用します(display オプションを指定しない場合)。

    • パケットをバッファ内に保存する複数のキャプチャがある場合、メモリ ロスを避けるため、新しいキャプチャを開始する前にバッファをクリアしてください。

    • デフォルト バッファ サイズを使用し、パケットが失われている場合、バッファ サイズを増加してパケットの喪失を防ぐことができます。

    • フラッシュ ディスクへの書き込みは、CPU に負荷のかかる操作であるため、キャプチャ レートが不十分な場合、バッファ キャプチャの使用をお勧めします。

    • Wireshark キャプチャ セッションは、パケットのキャプチャおよび処理の両方が行われるストリーミング モードで正常に動作しています。 ただし、32 MB 以上のバッファ サイズを指定すると、セッションは Wireshark のキャプチャ セッションがキャプチャおよびプロセスの 2 フェーズに分割されるロックステップ モードを自動的にオンにします。 キャプチャ フェーズでは、パケットは一時バッファに保存されます。 ロックステップ モードの duration パラメータは、セッション期間ではなくキャプチャ期間として機能します。 バッファがいっぱいになるかまたはキャプチャ期間またはパケット制限に到達すると、パケットの受け入れを停止してバッファのパケットの処理を開始するプロセス フェーズへセッションは移行します。 キャプチャを手動で停止することもできます。 キャプチャが停止した場合出力にメッセージが表示されます。 この 2 番目の方法(ロック ステップ モード)を使用して、より高いキャプチャ スループットを達成できます。

      (注)  


      バッファからパケットをキャプチャする場合、ファイル ストレージは定義されません。 したがって、バッファから静的ストレージ ファイルにキャプチャをエクスポートする必要があります。 monitor capture capture-name export file-location : file-name コマンドを使用します。


    • ストリーミング キャプチャ モードは約 1000 pps をサポートし、ロックステップ モードは約 2 Mbps(256 バイト パケットで測定)をサポートします。 一致するトラフィック レートがこの値を超えると、パケット損失が発生する可能性があります。

  • コンソール ウィンドウのライブ パケットをデコードして表示する場合は、Wireshark セッションが短いキャプチャ期間によって抑制されていることを確認します。


(注)  


警告:期間制限がより長いまたはキャプチャ期間がない(term len 0 コマンドを使用して auto-more サポートのない端末を使用した)Wireshark セッションでは、コンソールまたは端末が使用できなくなる場合があります。


  • 高 CPU 使用率につながるライブ トラフィックのキャプチャに Wireshark を使用している場合、QoS ポリシーを一時的に適用して、キャプチャ プロセスが終了するまで実際のトラフィックを制限することを考慮してください。

  • すべての Wireshark 関連のコマンドは EXEC モードで、コンフィギュレーション コマンドは、Wireshark にありません。

    Wireshark CLI でアクセス リストまたはクラス マップを使用する必要がある場合は、コンフィギュレーション コマンドでアクセス リストおよびクラス マップを定義する必要があります。

  • 特定の順序はキャプチャ ポイントを定義する場合には適用されません。CLI で許可されている任意の順序でキャプチャ ポイント パラメータを定義できます。 Wireshark CLI では、単一行のパラメータ数に制限はありません。 これはキャプチャ ポイントを定義するために必要なコマンドの数を制限します。

  • 接続ポイントを除くすべてのパラメータは、単一の値を取ります。 通常、コマンドを再入力することにより、値を新しいものに置き換えることができます。 ユーザの確認後にシステムが新しい値を受け入れ、古い値を上書きします。 コマンドの no 形式には新規値を入力する必要はありませんが、パラメータを削除する必要があります。

  • Wireshark では 1 つ以上の接続ポイントを指定することができます。 複数の接続ポイントを追加するには、新しい接続ポイントでコマンドを再入力します。 接続ポイントを削除するには、コマンドの no 形式を使用します。 接続ポイントとしてインターフェイス範囲を指定できます。 たとえば、monitor capture mycap interface GigabitEthernet1/0/1 in を入力します。ここではインターフェイス GigabitEthernet1/0/1 が接続ポイントです。

    またインターフェイス GigabitEthernet1/0/2 にも接続する必要がある場合、次のように、別の行で指定します。

    monitor capture mycap interface GigabitEthernet1/0/2 in

  • セッションがアクティブである間にキャプチャ ポイントの任意のパラメータを変更できますが、変更を有効にするにはセッションを再起動する必要があります。

  • 実行する処理は、いずれのパラメータが必須であるかを決定します。 Wireshark CLI では start コマンドを入力する前に任意のパラメータを指定または変更することができます。 start コマンドを入力すると、Wireshark はすべての必須パラメータが入力されたと判断した後でのみ開始します。

  • キャプチャ ファイルがすでに存在する場合、警告が表示され、継続するために確認が要求されます。 これにより、誤ってファイルが上書きされるのを防ぐことができます。

  • コア フィルタは明示的なフィルタ、アクセス リスト、またはクラス マップにできます。 これらのタイプの新しいフィルタを指定すると、既存のものを置き換えます。


    (注)  


    コア フィルタは、CAPWAP トンネル インターフェイスをキャプチャ ポイントの接続ポイントとして使用している場合を除き、必須です。


  • 明示的な stop コマンドを使用するか、automore モードに「q」を入力して、Wireshark のセッションを終了します。 セッションは、期間やパケット キャプチャの制限などの停止の条件が満たされたときに、自身を自動的に終了することができます。

デフォルトの Wireshark の設定

次の表は、デフォルトの Wireshark の設定を示しています。

機能 デフォルト設定
持続時間 制限なし
パケット 制限なし
パケット長 制限なし(フル パケット)
ファイル サイズ 制限なし
リング ファイル ストレージ なし
バッファのストレージ モード 線形

Wireshark の設定方法

Wireshark を設定するには、次の基本的な手順を実行します。

  1. キャプチャ ポイントを定義します。

  2. (任意)キャプチャ ポイントのパラメータを追加または変更します。

  3. キャプチャ ポイントをアクティブ化または非アクティブ化します。

  4. キャプチャ ポイントを今後使用しない場合は削除します。

キャプチャ ポイントの定義

この手順の例では、非常にシンプルなキャプチャ ポイントを定義します。 必要に応じて、monitor capture コマンドの 1 つのインスタンスを使用してキャプチャ ポイントとそのすべてのパラメータを定義できます。

(注)  


接続ポイント、キャプチャの方向、およびコア フィルタが機能するキャプチャ ポイントを持つよう定義する必要があります。

コア フィルタを定義する必要がないのは、CAPWAP トンネリング インターフェイスを使用してワイヤレス キャプチャ ポイントを定義する場合です。 この場合、コア フィルタは定義しません。 これは使用できません。


キャプチャ ポイントを定義するには、次の手順を実行します。

手順の概要

    1.    enable

    2.    show capwap summary

    3.    monitor capture {capture-name}{interface interface-type interface-id | control-plane}{in | out | both}

    4.    monitor capture {capture-name}[match {any | ipv4 any any | ipv6} any any}]

    5.    show monitor capture {capture-name}[ parameter]

    6.    show running-config

    7.    copy running-config startup-config


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Switch> enable
    
    
     

    特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。

     

    ステップ 2show capwap summary


    例:
    Switch# show capwap summary
     

    ワイヤレス キャプチャの接続ポイントとして使用できる CAPWAP トンネルを表示します。

    (注)      このコマンドは、ワイヤレス キャプチャを実行するために CAPWAP トンネルを接続ポイントとして使用している場合にのみ使用します。 例の項の CAPWAP の例を参照してください。
     
    ステップ 3monitor capture {capture-name}{interface interface-type interface-id | control-plane}{in | out | both}


    例:
    Switch# monitor capture mycap interface GigabitEthernet1/0/1 in
     

    キャプチャ ポイントを定義し、キャプチャ ポイントが関連付けられている接続ポイントを指定し、キャプチャの方向を指定します。

    キーワードの意味は次のとおりです。

    • capture-name:定義するキャプチャ ポイントの名前を指定します(例では mycap が使用されています)。

    • (任意)interface interface-type interface-id:キャプチャ ポイントが関連付けられる接続ポイントを指定します(例では GigabitEthernet1/0/1 が使用されています)。

      (注)     

      オプションで、このコマンド インスタンス 1 つでこのキャプチャ ポイントの複数の接続ポイントおよびパラメータすべてを定義できます。 これらのパラメータについては、キャプチャ ポイント パラメータの変更に関する手順で説明されています。 範囲のサポートは、接続ポイントを追加および削除するためにも使用できます。

      interface-type には次のいずれかを使用します。

      • GigabitEthernet:接続ポイントを GigabitEthernet として指定します。

      • vlan:接続ポイントを VLAN として指定します。

        (注)     

        このインターフェイスを接続ポイントとして使用する場合は、入力キャプチャのみが可能です。

      • capwap:接続ポイントを CAPWAP トンネルとして指定します。

        (注)     

        このインターフェイスを接続ポイントとして使用すると、コア フィルタは使用できません。

    • (任意)control-plane:接続ポイントとしてコントロール プレーンを指定します。

    • in | out | both:キャプチャの方向を指定します。

     
    ステップ 4monitor capture {capture-name}[match {any | ipv4 any any | ipv6} any any}]


    例:
    Switch# monitor capture mycap interface GigabitEthernet1/0/1 in match any
     

    コア システムのフィルタを定義します。

    (注)     

    コア フィルタが使用できなくなるため、CAPWAP のトンネリング インターフェイスを接続ポイントとして使用する場合はこの手順を実行しないでください。

    キーワードの意味は次のとおりです。

    • capture-name:定義するキャプチャ ポイントの名前を指定します(例では mycap が使用されています)。

    • match:フィルタを指定します。 定義されている最初のフィルタはコア フィルタです。

      (注)     

      キャプチャ ポイントは、コア システム フィルタと接続ポイントのどちらも定義されていない場合はアクティブにできません。 これらの要件を満たしていないキャプチャ ポイントをアクティブ化しようとすると、エラーが生成されます。

    • ipv4:IPバージョン 4 のフィルタを指定します。

    • ipv6:IPバージョン 6 のフィルタを指定します。

     
    ステップ 5show monitor capture {capture-name}[ parameter]


    例:
    Switch# show monitor capture mycap parameter
       monitor capture mycap interface GigabitEthernet1/0/1 in
       monitor capture mycap match any
     

    ステップ 2 で定義したキャプチャ ポイント パラメータを表示し、キャプチャ ポイントを定義したことを確認します。

     
    ステップ 6show running-config


    例:
    
    Switch# show running-config 
    
    
     

    入力を確認します。

     
    ステップ 7copy running-config startup-config


    例:
    Switch# copy running-config startup-config 
    
    
     

    (任意)コンフィギュレーション ファイルに設定を保存します。

     

    CAPWAP 接続ポイントでキャプチャ ポイントを定義するには次を実行します。

    Switch# show capwap summary
    
    CAPWAP Tunnels General Statistics:
      Number of Capwap Data Tunnels       = 1
      Number of Capwap Mobility Tunnels   = 0
      Number of Capwap Multicast Tunnels  = 0
    
    
    Name   APName                           Type PhyPortIf Mode      McastIf
    ------ -------------------------------- ---- --------- --------- -------
    Ca0    AP442b.03a9.6715                 data Gi3/0/6   unicast   -
    
    
    Name   SrcIP           SrcPort DestIP          DstPort DtlsEn MTU   Xact
    ------ --------------- ------- --------------- ------- ------ ----- ----
    Ca0    10.10.14.32     5247    10.10.14.2      38514   No     1449  0
    
    Switch# monitor capture mycap interface capwap 0 both
    Switch# monitor capture mycap file location flash:mycap.pcap
    Switch# monitor capture mycap file buffer-size 1
    Switch# monitor capture mycap start
    
    *Aug 20 11:02:21.983: %BUFCAP-6-ENABLE: Capture Point mycap enabled.on
    
    Switch# show monitor capture mycap parameter
       monitor capture mycap interface capwap  0 in
       monitor capture mycap interface capwap  0 out
       monitor capture mycap file location flash:mycap.pcap buffer-size 1
    Switch# 
    Switch# show monitor capture mycap
    
    Status Information for Capture mycap
      Target Type:
      Interface: CAPWAP,
        Ingress:
     0
        Egress:
     0
       Status : Active
      Filter Details:
        Capture all packets
      Buffer Details:
       Buffer Type: LINEAR (default)
      File Details:
       Associated file name: flash:mycap.pcap
       Size of buffer(in MB): 1
      Limit Details:
       Number of Packets to capture: 0 (no limit)
       Packet Capture duration: 0 (no limit)
       Packet Size to capture: 0 (no limit)
       Packets per second: 0 (no limit)
       Packet sampling rate: 0 (no sampling)
    Switch# 
    Switch# show monitor capture file flash:mycap.pcap
      1   0.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........
      2   0.499974 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........
      3   2.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........
      4   2.499974 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........
      5   3.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........
      6   4.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........
      7   4.499974 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........
      8   5.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........
      9   5.499974 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........
     10   6.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........
     11   8.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........
     12   9.225986   10.10.14.2 -> 10.10.14.32  DTLSv1.0 Application Data
     13   9.225986   10.10.14.2 -> 10.10.14.32  DTLSv1.0 Application Data
     14   9.225986   10.10.14.2 -> 10.10.14.32  DTLSv1.0 Application Data
     15   9.231998   10.10.14.2 -> 10.10.14.32  DTLSv1.0 Application Data
     16   9.231998   10.10.14.2 -> 10.10.14.32  DTLSv1.0 Application Data
     17   9.231998   10.10.14.2 -> 10.10.14.32  DTLSv1.0 Application Data
     18   9.236987   10.10.14.2 -> 10.10.14.32  DTLSv1.0 Application Data
     19  10.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........
     20  10.499974 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........
     21  12.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........
     22  12.239993   10.10.14.2 -> 10.10.14.32  DTLSv1.0 Application Data
     23  12.244997   10.10.14.2 -> 10.10.14.32  DTLSv1.0 Application Data
     24  12.244997   10.10.14.2 -> 10.10.14.32  DTLSv1.0 Application Data
     25  12.250994   10.10.14.2 -> 10.10.14.32  DTLSv1.0 Application Data
     26  12.256990   10.10.14.2 -> 10.10.14.32  DTLSv1.0 Application Data
     27  12.262987   10.10.14.2 -> 10.10.14.32  DTLSv1.0 Application Data
     28  12.499974 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........
     29  12.802012   10.10.14.3 -> 10.10.14.255 NBNS Name query NB WPAD.<00>
     30  13.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........
    次の作業

    さらなる接続ポイントを追加して、キャプチャ ポイントのパラメータを変更し、アクティブ化できます。または、キャプチャ ポイントをそのまま使用したい場合はすぐにアクティブ化することもできます。


    (注)  


    このトピックで説明されているメソッドを使用してキャプチャ ポイントのパラメータを変更することはできません。


    キャプチャ ポイント パラメータの追加または変更

    パラメータの値を指定する手順は、順番にリストされますが、任意の順序で実行できます。 1 行、2 行、または複数行で指定できます。 複数指定が可能な接続ポイントを除き、同じオプションを再定義することで、任意の値をより最近の値に置き換えることができます。

    キャプチャ ポイントのパラメータを変更するには、次の手順を実行します。

    はじめる前に

    以下の手順を実行する前にキャプチャ ポイントを定義する必要があります。

    手順の概要

      1.    enable

      2.    monitor capture {capture-name} match {any | mac mac-match-string | ipv4 {any | host | protocol}{any | host} | ipv6 {any | host | protocol}{any | host}}

      3.    monitor capture {capture-name} limit {[duration seconds][packet-length size][packets num]}

      4.    monitor capture {capture-name} file {location filename}

      5.    monitor capture {capture-name} file {buffer-size size}

      6.    show monitor capture {capture-name}[ parameter]

      7.    end

      8.    show running-config

      9.    copy running-config startup-config


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 enable


      例:
      Switch> enable
      
      
       

      特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。

       

      ステップ 2monitor capture {capture-name} match {any | mac mac-match-string | ipv4 {any | host | protocol}{any | host} | ipv6 {any | host | protocol}{any | host}}


      例:
      Switch# monitor capture mycap match ipv4 any any
       

      明示的に、または ACL を介して、またはクラス マップを介して定義されたコア システム フィルタ(ipv4 any any)を定義します。

      (注)     

      CAPWAP トンネリング インターフェイスを使用してワイヤレス キャプチャを定義している場合、このコマンドには効果がないので使用しないでください。

       
      ステップ 3monitor capture {capture-name} limit {[duration seconds][packet-length size][packets num]}


      例:
      Switch# monitor capture mycap limit duration 60 packet-len 400
       

      秒単位のセッション制限(60)、キャプチャされたパケット、または Wireshark によって保持されるパケット セグメント長(400)を指定します。

       
      ステップ 4monitor capture {capture-name} file {location filename}


      例:
      Switch# monitor capture mycap file location flash:mycap.pcap
       

      キャプチャ ポイントがパケットを表示するだけでなくキャプチャできるようにする場合は、ファイルのアソシエーションを指定します。

       
      ステップ 5monitor capture {capture-name} file {buffer-size size}


      例:
      Switch# monitor capture mycap file buffer-size 100
       

      トラフィック バーストの処理に Wireshark で使用されるメモリ バッファのサイズを指定します。

       
      ステップ 6show monitor capture {capture-name}[ parameter]


      例:
      Switch# show monitor capture mycap parameter
         monitor capture mycap interface GigabitEthernet1/0/1 in
         monitor capture mycap match ipv4  any any
         monitor capture mycap limit duration 60 packet-len 400
         monitor capture point mycap file location bootdisk:mycap.pcap
         monitor capture mycap file buffer-size 100
       

      以前に定義したキャプチャ ポイント パラメータを表示します。

       
      ステップ 7end


      例:
      
      Switch(config)# end
      
      
       

      特権 EXEC モードに戻ります。

       
      ステップ 8show running-config


      例:
      
      Switch# show running-config 
      
      
       

      入力を確認します。

       
      ステップ 9copy running-config startup-config


      例:
      Switch# copy running-config startup-config 
      
      
       

      (任意)コンフィギュレーション ファイルに設定を保存します。

       

      キャプチャ ファイルの関連付けまたは関連付け解除

      Switch# monitor capture point mycap file location flash:mycap.pcap
      Switch# no monitor capture mycap file

      パケット バーストの処理にメモリ バッファ サイズを指定する

      Switch# monitor capture mycap buffer size 100

      IPv4 と IPv6 の両方に一致するように、明示的なコア システム フィルタを定義する

      Switch# monitor capture mycap match any
      次の作業

      キャプチャ ポイントに必要なパラメータがすべて含まれている場合はアクティブ化します。

      キャプチャ ポイント パラメータの削除

      順番に表示されていますが、パラメータを削除する手順は任意の順序で実行できます。 1 行、2 行、または複数行で削除できます。 複数が可能な接続ポイントを除いて、任意のパラメータを削除できます。

      キャプチャ ポイントのパラメータを削除するには、次の手順を実行します。

      はじめる前に

      キャプチャ ポイント パラメータは、以下の手順を使用して削除する前に定義する必要があります。

      手順の概要

        1.    enable

        2.    no monitor capture {capture-name} match

        3.    no monitor capture {capture-name} limit [duration][packet-length][packets]

        4.    no monitor capture {capture-name} file [location] [buffer-size]

        5.    show monitor capture {capture-name}[ parameter]

        6.    end

        7.    show running-config

        8.    copy running-config startup-config


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 enable


        例:
        Switch> enable
        
        
         

        特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。

         

        ステップ 2no monitor capture {capture-name} match


        例:
        Switch# no monitor capture mycap match
         

        キャプチャ ポイント(mycap)で定義されているすべてのフィルタを削除します。

         
        ステップ 3no monitor capture {capture-name} limit [duration][packet-length][packets]


        例:
        Switch# no monitor capture mycap limit duration packet-len
        Switch# no monitor capture mycap limit
         

        Wireshark によって保持されるセッション タイム制限およびパケット セグメント長を削除します。 その他の指定された制限はそのままになります。

        Wireshark のすべての制限をクリアします。

         
        ステップ 4no monitor capture {capture-name} file [location] [buffer-size]


        例:
        Switch# no monitor capture mycap file
        Switch# no monitor capture mycap file location
         

        ファイルの関連付けを削除します。 キャプチャ ポイントはパケットをキャプチャしなくなります。 表示だけが実行されます。

        ファイル位置の関連付けを削除します。 ファイル位置はキャプチャ ポイントとは関連付けられなくなります。 ただし、他の定義されたファイル関連付けはこのアクションによっては影響を受けません。

         
        ステップ 5show monitor capture {capture-name}[ parameter]


        例:
        Switch# show monitor capture mycap parameter
           monitor capture mycap interface GigabitEthernet1/0/1 in
         

        パラメータの削除操作後にまだ定義されているキャプチャ ポイント パラメータを表示します。 このコマンドは、キャプチャ ポイントと関連付けられるパラメータを確認するために手順の任意の地点で実行できます。

         
        ステップ 6end


        例:
        
        Switch(config)# end
        
        
         

        特権 EXEC モードに戻ります。

         
        ステップ 7show running-config


        例:
        
        Switch# show running-config 
        
        
         

        入力を確認します。

         
        ステップ 8copy running-config startup-config


        例:
        Switch# copy running-config startup-config 
        
        
         

        (任意)コンフィギュレーション ファイルに設定を保存します。

         
        次の作業

        キャプチャ ポイントに必要なパラメータがすべて含まれている場合はアクティブ化します。

        キャプチャ ポイントの削除

        キャプチャ ポイントを削除するには、次の手順を実行します。

        はじめる前に

        キャプチャ ポイントは、以下の手順を使用して削除する前に定義する必要があります。

        手順の概要

          1.    enable

          2.    no monitor capture {capture-name}

          3.    show monitor capture {capture-name}[ parameter]

          4.    end

          5.    show running-config

          6.    copy running-config startup-config


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 enable


          例:
          Switch> enable
          
          
           

          特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。

           

          ステップ 2no monitor capture {capture-name}


          例:
          Switch# no monitor capture mycap
           

          指定されたキャプチャ ポイント(mycap)を削除します。

           
          ステップ 3show monitor capture {capture-name}[ parameter]


          例:
          Switch# show monitor capture mycap parameter
             Capture mycap does not exist
           

          指定されたキャプチャ ポイントは削除されたため存在しないことを示すメッセージを表示します。

           
          ステップ 4end


          例:
          
          Switch(config)# end
          
          
           

          特権 EXEC モードに戻ります。

           
          ステップ 5show running-config


          例:
          
          Switch# show running-config 
          
          
           

          入力を確認します。

           
          ステップ 6copy running-config startup-config


          例:
          Switch# copy running-config startup-config 
          
          
           

          (任意)コンフィギュレーション ファイルに設定を保存します。

           
          次の作業

          削除したものと同じ名前の新規キャプチャ ポイントを定義できます。 これらの手順は通常、キャプチャ ポイントの定義をやり直したい場合に実行します。

          キャプチャ ポイントをアクティブまたは非アクティブにする

          キャプチャ ポイントをアクティブまたは非アクティブにするには、次の手順を実行します。

          はじめる前に

          接続ポイントとコア システム フィルタが定義され、関連するファイル名(存在する場合)が存在していなければ、キャプチャ ポイントをアクティブにできません。 関連するファイル名のないキャプチャ ポイントは、表示するためだけにアクティブにできます。 キャプチャ フィルタまたは表示フィルタが指定されていない場合、コア システム フィルタによってキャプチャされたすべてのパケットが表示されます。 デフォルトの表示モードは brief です。


          (注)  


          CAPWAP のトンネリング インターフェイスを接続ポイントとして使用すると、コア フィルタは使用されないため、この場合は定義する必要はありません。


          手順の概要

            1.    enable

            2.    monitor capture {capture-name} start[display [display-filter filter-string]][brief | detailed | dump]

            3.    monitor capture {capture-name} stop

            4.    end

            5.    show running-config

            6.    copy running-config startup-config


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1 enable


            例:
            Switch> enable
            
            
             

            特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。

             

            ステップ 2 monitor capture {capture-name} start[display [display-filter filter-string]][brief | detailed | dump]


            例:
            Switch# monitor capture mycap start display display-filter "stp"
             

            キャプチャ ポイントをアクティブ化し、「stp」を含むパケットだけが表示されるように表示をフィルタします。

             
            ステップ 3 monitor capture {capture-name} stop


            例:
            Switch# monitor capture name stop
             

            キャプチャ ポイントを非アクティブにします。

             
            ステップ 4end


            例:
            
            Switch(config)# end
            
            
             

            特権 EXEC モードに戻ります。

             
            ステップ 5show running-config


            例:
            
            Switch# show running-config 
            
            
             

            入力を確認します。

             
            ステップ 6copy running-config startup-config


            例:
            Switch# copy running-config startup-config 
            
            
             

            (任意)コンフィギュレーション ファイルに設定を保存します。

             

            キャプチャ ポイント バッファのクリア

            次の手順に従ってバッファ コンテンツをクリアするか、外部ファイルにストレージとして保存します。


            (注)  


            パケットをバッファ内に保存する複数のキャプチャがある場合、メモリ ロスを避けるため、新しいキャプチャを開始する前にバッファをクリアしてください。
            手順の概要

              1.    enable

              2.    monitor capture {capture-name} [clear | export filename]

              3.    end

              4.    show running-config

              5.    copy running-config startup-config


            手順の詳細
               コマンドまたはアクション目的
              ステップ 1 enable


              例:
              Switch> enable
              
              
               

              特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。

               

              ステップ 2 monitor capture {capture-name} [clear | export filename]


              例:
              Switch# monitor capture mycap clear
               

              キャプチャ バッファ コンテンツをクリアするか、パケットをファイルに保存します。

               
              ステップ 3end


              例:
              
              Switch(config)# end
              
              
               

              特権 EXEC モードに戻ります。

               
              ステップ 4show running-config


              例:
              
              Switch# show running-config 
              
              
               

              入力を確認します。

               
              ステップ 5copy running-config startup-config


              例:
              Switch# copy running-config startup-config 
              
              
               

              (任意)コンフィギュレーション ファイルに設定を保存します。

               

              例:キャプチャ ポイント バッファの処理

              キャプチャのファイルへのエクスポート

              Switch# monitor capture mycap export flash:mycap.pcap
              
              Storage configured as File for this capture

              キャプチャ ポイント バッファのクリア

              Switch# monitor capture mycap clear
              
               Capture configured with file options

              Wireshark のモニタリング

              このテーブルのコマンドは Wireshark のモニタリングに使用されます。

              コマンド 目的

              show monitor capture [capture-name ]

              キャプチャ ポイント ステートが表示され、キャプチャ ポイントの定義状況、属性、アクティブ状況を確認することができます。 キャプチャ ポイントの名前を指定すると、特定のキャプチャ ポイントの細部が表示されます。

              show monitor capture [capture-name parameter]

              キャプチャ ポイント パラメータを表示します。

              show capwap summary

              スイッチ のすべての CAPWAP トンネルを表示します。 このコマンドを使用して、ワイヤレス キャプチャにどの CAPWAP トンネルを使用できるかを判断します。

              Wireshark の設定例

              例:.pcap ファイルからの概要出力の表示

              次のように入力して、.pcap ファイルからの出力を表示できます。

              Switch# show monitor capture file flash:mycap.pcap
              
                1   0.000000   10.1.1.140 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                2   1.000000   10.1.1.141 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                3   2.000000   10.1.1.142 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                4   3.000000   10.1.1.143 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                5   4.000000   10.1.1.144 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                6   5.000000   10.1.1.145 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                7   6.000000   10.1.1.146 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                8   7.000000   10.1.1.147 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                9   8.000000   10.1.1.148 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               10   9.000000   10.1.1.149 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               11  10.000000   10.1.1.150 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               12  11.000000   10.1.1.151 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               13  12.000000   10.1.1.152 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               14  13.000000   10.1.1.153 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               15  14.000000   10.1.1.154 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               16  15.000000   10.1.1.155 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               17  16.000000   10.1.1.156 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               18  17.000000   10.1.1.157 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               19  18.000000   10.1.1.158 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               20  19.000000   10.1.1.159 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               21  20.000000   10.1.1.160 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               22  21.000000   10.1.1.161 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               23  22.000000   10.1.1.162 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               24  23.000000   10.1.1.163 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               25  24.000000   10.1.1.164 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               26  25.000000   10.1.1.165 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               27  26.000000   10.1.1.166 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               28  27.000000   10.1.1.167 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               29  28.000000   10.1.1.168 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               30  29.000000   10.1.1.169 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               31  30.000000   10.1.1.170 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               32  31.000000   10.1.1.171 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               33  32.000000   10.1.1.172 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               34  33.000000   10.1.1.173 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               35  34.000000   10.1.1.174 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               36  35.000000   10.1.1.175 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               37  36.000000   10.1.1.176 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               38  37.000000   10.1.1.177 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               39  38.000000   10.1.1.178 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               40  39.000000   10.1.1.179 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               41  40.000000   10.1.1.180 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               42  41.000000   10.1.1.181 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               43  42.000000   10.1.1.182 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               44  43.000000   10.1.1.183 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               45  44.000000   10.1.1.184 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               46  45.000000   10.1.1.185 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               47  46.000000   10.1.1.186 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               48  47.000000   10.1.1.187 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               49  48.000000   10.1.1.188 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               50  49.000000   10.1.1.189 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               51  50.000000   10.1.1.190 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               52  51.000000   10.1.1.191 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               53  52.000000   10.1.1.192 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               54  53.000000   10.1.1.193 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               55  54.000000   10.1.1.194 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               56  55.000000   10.1.1.195 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               57  56.000000   10.1.1.196 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               58  57.000000   10.1.1.197 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               59  58.000000   10.1.1.198 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002

              例:.pcap ファイルからの詳細出力の表示

              次のように入力して、.pcap ファイルの出力詳細を表示できます。

              Switch# show monitor capture file flash:mycap.pcap detailed
              
              Frame 1: 256 bytes on wire (2048 bits), 256 bytes captured (2048 bits)
                  Arrival Time: Mar 21, 2012 14:35:09.111993000 PDT
                  Epoch Time: 1332365709.111993000 seconds
                  [Time delta from previous captured frame: 0.000000000 seconds]
                  [Time delta from previous displayed frame: 0.000000000 seconds]
                  [Time since reference or first frame: 0.000000000 seconds]
                  Frame Number: 1
                  Frame Length: 256 bytes (2048 bits)
                  Capture Length: 256 bytes (2048 bits)
                  [Frame is marked: False]
                  [Frame is ignored: False]
                  [Protocols in frame: eth:ip:udp:data]
              Ethernet II, Src: 00:00:00:00:03:01 (00:00:00:00:03:01), Dst: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
                  Destination: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
                      Address: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
                      .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
                      .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
                  Source: 00:00:00:00:03:01 (00:00:00:00:03:01)
                      Address: 00:00:00:00:03:01 (00:00:00:00:03:01)
                      .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
                      .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
                  Type: IP (0x0800)
                  Frame check sequence: 0x03b07f42 [incorrect, should be 0x08fcee78]
              Internet Protocol, Src: 10.1.1.140 (10.1.1.140), Dst: 20.1.1.2 (20.1.1.2)
                  Version: 4
                  Header length: 20 bytes
                  Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
                      0000 00.. = Differentiated Services Codepoint: Default (0x00)
                      .... ..0. = ECN-Capable Transport (ECT): 0
                      .... ...0 = ECN-CE: 0
                  Total Length: 238
                  Identification: 0x0000 (0)
                  Flags: 0x00
                      0... .... = Reserved bit: Not set
                      .0.. .... = Don't fragment: Not set
                      ..0. .... = More fragments: Not set
                  Fragment offset: 0
                  Time to live: 64
                  Protocol: UDP (17)
                  Header checksum: 0x5970 [correct]
                      [Good: True]
                      [Bad: False]
                  Source: 10.1.1.140 (10.1.1.140)
                  Destination: 20.1.1.2 (20.1.1.2)
              User Datagram Protocol, Src Port: 20001 (20001), Dst Port: 20002 (20002)
                  Source port: 20001 (20001)
                  Destination port: 20002 (20002)
                  Length: 218
                  Checksum: 0x6e2b [validation disabled]
                      [Good Checksum: False]
                      [Bad Checksum: False]
              Data (210 bytes)
              
              0000  00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f   ................
              0010  10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f   ................
              0020  20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f    !"#$%&'()*+,-./
              0030  30 31 32 33 34 35 36 37 38 39 3a 3b 3c 3d 3e 3f   0123456789:;<=>?
              0040  40 41 42 43 44 45 46 47 48 49 4a 4b 4c 4d 4e 4f   @ABCDEFGHIJKLMNO
              0050  50 51 52 53 54 55 56 57 58 59 5a 5b 5c 5d 5e 5f   PQRSTUVWXYZ[\]^_
              0060  60 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f   `abcdefghijklmno
              0070  70 71 72 73 74 75 76 77 78 79 7a 7b 7c 7d 7e 7f   pqrstuvwxyz{|}~.
              0080  80 81 82 83 84 85 86 87 88 89 8a 8b 8c 8d 8e 8f   ................
              0090  90 91 92 93 94 95 96 97 98 99 9a 9b 9c 9d 9e 9f   ................
              00a0  a0 a1 a2 a3 a4 a5 a6 a7 a8 a9 aa ab ac ad ae af   ................
              00b0  b0 b1 b2 b3 b4 b5 b6 b7 b8 b9 ba bb bc bd be bf   ................
              00c0  c0 c1 c2 c3 c4 c5 c6 c7 c8 c9 ca cb cc cd ce cf   ................
              00d0  d0 d1                                             ..
                  Data: 000102030405060708090a0b0c0d0e0f1011121314151617...
                  [Length: 210]
              
              Frame 2: 256 bytes on wire (2048 bits), 256 bytes captured (2048 bits)
                  Arrival Time: Mar 21, 2012 14:35:10.111993000 PDT
              Example: Displaying a Hexadecimal Dump Output from a .pcap File
              You can display the hexadecimal dump output by entering:
              Switch# show monitor capture file bootflash:mycap.pcap dump
                1   0.000000   10.1.1.140 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
              
              0000  54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00   Tu.:.?........E.
              0010  00 ee 00 00 00 00 40 11 59 70 0a 01 01 8c 14 01   ......@.Yp......
              0020  01 02 4e 21 4e 22 00 da 6e 2b 00 01 02 03 04 05   ..N!N"..n+......
              0030  06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15   ................
              0040  16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25   .......... !"#$%
              0050  26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35   &'()*+,-./012345
              0060  36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45   6789:;<=>?@ABCDE
              0070  46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55   FGHIJKLMNOPQRSTU
              0080  56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65   VWXYZ[\]^_`abcde
              0090  66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75   fghijklmnopqrstu
              00a0  76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85   vwxyz{|}~.......
              00b0  86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95   ................
              00c0  96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5   ................
              00d0  a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5   ................
              00e0  b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5   ................
              00f0  c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 03 b0 7f 42   ...............B
              
                2   1.000000   10.1.1.141 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
              
              0000  54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00   Tu.:.?........E.
              0010  00 ee 00 00 00 00 40 11 59 6f 0a 01 01 8d 14 01   ......@.Yo......
              0020  01 02 4e 21 4e 22 00 da 6e 2a 00 01 02 03 04 05   ..N!N"..n*......
              0030  06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15   ................
              0040  16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25   .......... !"#$%
              0050  26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35   &'()*+,-./012345
              0060  36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45   6789:;<=>?@ABCDE
              0070  46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55   FGHIJKLMNOPQRSTU
              0080  56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65   VWXYZ[\]^_`abcde
              0090  66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75   fghijklmnopqrstu
              00a0  76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85   vwxyz{|}~.......
              00b0  86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95   ................
              00c0  96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5   ................
              00d0  a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5   ................
              00e0  b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5   ................
              00f0  c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 95 2c c3 3f   .............,.?
              
                3   2.000000   10.1.1.142 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
              
              0000  54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00   Tu.:.?........E.
              0010  00 ee 00 00 00 00 40 11 59 6e 0a 01 01 8e 14 01   ......@.Yn......
              0020  01 02 4e 21 4e 22 00 da 6e 29 00 01 02 03 04 05   ..N!N"..n)......
              0030  06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15   ................
              0040  16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25   .......... !"#$%
              0050  26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35   &'()*+,-./012345
              0060  36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45   6789:;<=>?@ABCDE
              0070  46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55   FGHIJKLMNOPQRSTU
              0080  56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65   VWXYZ[\]^_`abcde
              0090  66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75   fghijklmnopqrstu
              00a0  76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85   vwxyz{|}~.......
              00b0  86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95   ................
              00c0  96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5   ................
              00d0  a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5   ................
              00e0  b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5   ................
              00f0  c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 6c f8 dc 14   ............l...
              
                4   3.000000   10.1.1.143 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
              
              0000  54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00   Tu.:.?........E.
              0010  00 ee 00 00 00 00 40 11 59 6d 0a 01 01 8f 14 01   ......@.Ym......
              0020  01 02 4e 21 4e 22 00 da 6e 28 00 01 02 03 04 05   ..N!N"..n(......
              0030  06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15   ................
              0040  16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25   .......... !"#$%
              0050  26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35   &'()*+,-./012345
              Example: Displaying Packets from a .pcap File with a Display Filter
              You can display the .pcap file packets output by entering:
              Switch# show monitor capture file bootflash:mycap.pcap display-filter "ip.src == 10.1.1.140" dump
                1   0.000000   10.1.1.140 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
              
              0000  54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00   Tu.:.?........E.
              0010  00 ee 00 00 00 00 40 11 59 70 0a 01 01 8c 14 01   ......@.Yp......
              0020  01 02 4e 21 4e 22 00 da 6e 2b 00 01 02 03 04 05   ..N!N"..n+......
              0030  06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15   ................
              0040  16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25   .......... !"#$%
              0050  26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35   &'()*+,-./012345
              0060  36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45   6789:;<=>?@ABCDE
              0070  46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55   FGHIJKLMNOPQRSTU
              0080  56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65   VWXYZ[\]^_`abcde
              0090  66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75   fghijklmnopqrstu
              00a0  76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85   vwxyz{|}~.......
              00b0  86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95   ................
              00c0  96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5   ................
              00d0  a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5   ................
              00e0  b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5   ................
              00f0  c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 03 b0 7f 42   ...............B
              

              例:単純なキャプチャおよび表示

              次の例は、レイヤ 3 インターフェイス ギガビット イーサネット 1/0/1 でトラフィックをモニタする方法を示しています。

              ステップ 1:次のように入力して関連トラフィックで一致するキャプチャ ポイントを定義します。

              Switch# monitor capture mycap interface GigabitEthernet1/0/1 in
              Switch# monitor capture mycap match ipv4 any any
              Switch# monitor capture mycap limit duration 60 packets 100
              Switch# monitor capture mycap buffer size 100

              CPU 使用率の上昇を避けるため、制限として最も低いパケット数および時間が設定されています。

              ステップ 2:次のように入力してキャプチャ ポイントが正確に定義されていることを確認します。

              Switch# show monitor capture mycap parameter
                 monitor capture mycap interface GigabitEthernet1/0/1 in
                 monitor capture mycap match ipv4  any any
                 monitor capture mycap buffer size 100
                 monitor capture mycap limit packets 100 duration 60
              
              Switch# show monitor capture mycap
              
              Status Information for Capture mycap
                Target Type:
                 Interface: GigabitEthernet1/0/1, Direction: in
                 Status : Inactive
                Filter Details:
                 IPv4
                  Source IP:  any
                  Destination IP:  any
                 Protocol: any
                Buffer Details:
                 Buffer Type: LINEAR (default)
                 Buffer Size (in MB): 100
                File Details:
                 File not associated
                Limit Details:
                 Number of Packets to capture: 100
                 Packet Capture duration: 60
                 Packet Size to capture: 0 (no limit)
                 Packets per second: 0 (no limit)
                 Packet sampling rate: 0 (no sampling)

              ステップ 3:キャプチャ プロセスを開始し、結果を表示します。

              Switch# monitor capture mycap start display
                0.000000    10.1.1.30 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                1.000000    10.1.1.31 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                2.000000    10.1.1.32 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                3.000000    10.1.1.33 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                4.000000    10.1.1.34 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                5.000000    10.1.1.35 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                6.000000    10.1.1.36 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                7.000000    10.1.1.37 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                8.000000    10.1.1.38 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                9.000000    10.1.1.39 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
              

              ステップ 4:次のように入力してキャプチャ ポイントを削除します。

              Switch# no monitor capture mycap

              例:単純なキャプチャおよび保存

              次の例は、フィルタにパケットをキャプチャする方法を示しています。

              ステップ 1:次のように入力して、関連トラフィックで一致するキャプチャ ポイントを定義し、それをファイルに関連付けます。

              Switch# monitor capture mycap interface GigabitEthernet1/0/1 in
              Switch# monitor capture mycap match ipv4 any any
              Switch# monitor capture mycap limit duration 60 packets 100
              Switch# monitor capture mycap file location flash:mycap.pcap

              ステップ 2:次のように入力してキャプチャ ポイントが正確に定義されていることを確認します。

              Switch# show monitor capture mycap parameter
                 monitor capture mycap interface GigabitEthernet1/0/1 in
                 monitor capture mycap match ipv4  any any
                 monitor capture mycap file location flash:mycap.pcap
                 monitor capture mycap limit packets 100 duration 60
              
              Switch# show monitor capture mycap
              
              Status Information for Capture mycap
                Target Type:
                 Interface: GigabitEthernet1/0/1, Direction: in
                 Status : Inactive
                Filter Details:
                 IPv4
                  Source IP:  any
                  Destination IP:  any
                 Protocol: any
                Buffer Details:
                 Buffer Type: LINEAR (default)
                File Details:
                 Associated file name: flash:mycap.pcap
                Limit Details:
                 Number of Packets to capture: 100
                 Packet Capture duration: 60
                 Packet Size to capture: 0 (no limit)
                 Packets per second: 0 (no limit)
                 Packet sampling rate: 0 (no sampling)

              ステップ 3:次のように入力してパケットを開始します。

              Switch# monitor capture mycap start
              

              ステップ 4:十分な時間の経過後に、次のように入力してキャプチャを停止します。

              Switch# monitor capture mycap stop
              

              (注)  


              あるいは、時間の経過またはパケット カウントが一致した後に、キャプチャ操作を自動的に停止させることもできます。

              mycap.pcap ファイルには、キャプチャしたパケットが含まれます。


              ステップ 5:次のように入力してパケットを表示します。

              Switch# show monitor capture file flash:mycap.pcap
              
                0.000000    10.1.1.30 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                1.000000    10.1.1.31 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                2.000000    10.1.1.32 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                3.000000    10.1.1.33 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                4.000000    10.1.1.34 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                5.000000    10.1.1.35 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                6.000000    10.1.1.36 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                7.000000    10.1.1.37 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                8.000000    10.1.1.38 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                9.000000    10.1.1.39 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
              

              ステップ 6:次のように入力してキャプチャ ポイントを削除します。

              Switch# no monitor capture mycap

              例:バッファのキャプチャの使用

              次に、バッファのキャプチャを使用する例を示します。

              ステップ 1:次のように入力してバッファ キャプチャ オプションでキャプチャ セッションを起動します。

              Switch# monitor capture mycap interface GigabitEthernet1/0/1 in
              Switch# monitor capture mycap match ipv4 any any
              Switch# monitor capture mycap buffer circular size 1
              Switch# monitor capture mycap start

              ステップ 2:次のように入力してキャプチャがアクティブであるかどうかを決定します。

              Switch# show monitor capture mycap
              
              Status Information for Capture mycap
                Target Type:
                 Interface: GigabitEthernet1/0/1, Direction: in
                 Status : Active
                Filter Details:
                 IPv4
                  Source IP:  any
                  Destination IP:  any
                 Protocol: any
                Buffer Details:
                 Buffer Type: CIRCULAR
                 Buffer Size (in MB): 1
                File Details:
                 File not associated
                Limit Details:
                 Number of Packets to capture: 0 (no limit)
                 Packet Capture duration: 0 (no limit)
                 Packet Size to capture: 0 (no limit)
                 Packets per second: 0 (no limit)
                 Packet sampling rate: 0 (no sampling)

              ステップ 3:次のように入力してバッファのパケットを表示します。

              Switch# show monitor capture mycap buffer brief
              
                0.000000   10.1.1.215 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                1.000000   10.1.1.216 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                2.000000   10.1.1.217 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                3.000000   10.1.1.218 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                4.000000   10.1.1.219 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                5.000000   10.1.1.220 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                6.000000   10.1.1.221 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                7.000000   10.1.1.222 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                8.000000   10.1.1.223 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                9.000000   10.1.1.224 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               10.000000   10.1.1.225 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               11.000000   10.1.1.226 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               12.000000   10.1.1.227 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               13.000000   10.1.1.228 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               14.000000   10.1.1.229 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               15.000000   10.1.1.230 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               16.000000   10.1.1.231 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               17.000000   10.1.1.232 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               18.000000   10.1.1.233 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               19.000000   10.1.1.234 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               20.000000   10.1.1.235 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               21.000000   10.1.1.236 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
              

              パケットがバッファに入ったことに注意してください。

              ステップ 4:他の表示モードでパケットを表示します。

              Switch# show monitor capture mycap buffer detailed
              
              Frame 1: 256 bytes on wire (2048 bits), 256 bytes captured (2048 bits)
                  Arrival Time: Apr 15, 2012 15:50:02.398966000 PDT
                  Epoch Time: 1334530202.398966000 seconds
                  [Time delta from previous captured frame: 0.000000000 seconds]
                  [Time delta from previous displayed frame: 0.000000000 seconds]
                  [Time since reference or first frame: 0.000000000 seconds]
                  Frame Number: 1
                  Frame Length: 256 bytes (2048 bits)
                  Capture Length: 256 bytes (2048 bits)
                  [Frame is marked: False]
                  [Frame is ignored: False]
                  [Protocols in frame: eth:ip:udp:data]
              Ethernet II, Src: 00:00:00:00:03:01 (00:00:00:00:03:01), Dst: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
                  Destination: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
                      Address: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
                      .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
                      .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
                  Source: 00:00:00:00:03:01 (00:00:00:00:03:01)
                      Address: 00:00:00:00:03:01 (00:00:00:00:03:01)
                      .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
                      .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
              …
              Switch# show monitor capture mycap buffer dump
              
                0.000000   10.1.1.215 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
              
              0000  54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00   Tu.:.?........E.
              0010  00 ee 00 00 00 00 40 11 59 25 0a 01 01 d7 14 01   ......@.Y%......
              0020  01 02 4e 21 4e 22 00 da 6d e0 00 01 02 03 04 05   ..N!N"..m.......
              0030  06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15   ................
              0040  16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25   .......... !"#$%
              0050  26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35   &'()*+,-./012345
              0060  36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45   6789:;<=>?@ABCDE
              0070  46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55   FGHIJKLMNOPQRSTU
              0080  56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65   VWXYZ[\]^_`abcde
              0090  66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75   fghijklmnopqrstu
              00a0  76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85   vwxyz{|}~.......
              00b0  86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95   ................
              00c0  96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5   ................
              00d0  a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5   ................
              00e0  b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5   ................
              00f0  c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 03 3e d0 33   .............>.3
              

              ステップ 5a:次のように入力してバッファをクリアします。

              Switch# monitor capture mycap clear
              
              

              ステップ 5b:10 秒待ちます。

              ステップ 5c:次のように入力してトラフィックを停止します。

              Switch# monitor capture mycap stop
              
              

              ステップ 6:次のように入力して、同じパケット セットがこの時間空白の後に表示されることを確認します。

              Switch# show monitor capture mycap buffer brief
              
                0.000000     10.1.1.2 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                1.000000     10.1.1.3 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                2.000000     10.1.1.4 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                3.000000     10.1.1.5 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                4.000000     10.1.1.6 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                5.000000     10.1.1.7 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                6.000000     10.1.1.8 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                7.000000     10.1.1.9 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                8.000000    10.1.1.10 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                9.000000    10.1.1.11 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
              

              ステップ 7:10 秒待ってから、次のように入力して待機後も同じパケットのセットが表示されることを確認します。

              Switch# show monitor capture mycap buffer brief
              
                0.000000     10.1.1.2 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                1.000000     10.1.1.3 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                2.000000     10.1.1.4 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                3.000000     10.1.1.5 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                4.000000     10.1.1.6 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                5.000000     10.1.1.7 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                6.000000     10.1.1.8 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                7.000000     10.1.1.9 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                8.000000    10.1.1.10 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                9.000000    10.1.1.11 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
              

              ステップ 8:ステップ 7 を繰り返します。

              ステップ 9:次のように入力してバッファをクリアします。

              Switch# monitor capture mycap clear
              
              

              ステップ 10:次のように入力してバッファが現在空であることを確認します。

              Switch# show monitor capture mycap buffer brief
              
              

              ステップ 11:約 10 秒待ってから、次のように入力してコンテンツをさらに表示します。

              Switch# show monitor capture mycap buffer brief
              
              

              ステップ 12:トラフィックを再開し、10 秒待ってから次のように入力してバッファ コンテンツを表示します。

              Switch# monitor capture mycap start
              wait for 10 seconds...
              Switch# show monitor capture mycap buffer brief
              
                0.000000     10.1.1.2 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                1.000000     10.1.1.3 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                2.000000     10.1.1.4 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                3.000000     10.1.1.5 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                4.000000     10.1.1.6 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                5.000000     10.1.1.7 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                6.000000     10.1.1.8 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                7.000000     10.1.1.9 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                8.000000    10.1.1.10 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                9.000000    10.1.1.11 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
              

              ステップ 13:次のように入力して、内部 flash: storage デバイス内の mycap1.pcap ファイルにバッファ コンテンツを保存します。

              Switch# monitor capture mycap export flash:mycap1.pcap
              Exported Successfully
              
              

              ステップ 14:次のように入力して、ファイルが作成されたこと、また、そこにパケットが含まれていることを確認します。

              Switch# dir flash:mycap1.pcap
              Directory of flash:/mycap1.pcap
              
              14758  -rw-       20152  Apr 15 2012 16:00:28 -07:00  mycap1.pcap
              
              831541248 bytes total (831340544 bytes free)
              Switch# show monitor capture file flash:mycap1.pcap brief
                1   0.000000     10.1.1.2 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                2   1.000000     10.1.1.3 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                3   2.000000     10.1.1.4 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                4   3.000000     10.1.1.5 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                5   4.000000     10.1.1.6 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                6   5.000000     10.1.1.7 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                7   6.000000     10.1.1.8 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                8   7.000000     10.1.1.9 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                9   8.000000    10.1.1.10 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               10   9.000000    10.1.1.11 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               11  10.000000    10.1.1.12 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               12  11.000000    10.1.1.13 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               13  12.000000    10.1.1.14 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               14  13.000000    10.1.1.15 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               15  14.000000    10.1.1.16 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               16  15.000000    10.1.1.17 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
              

              ステップ 15:次のように入力して、パケット キャプチャを停止し、バッファの内容を表示します。

              Switch# monitor capture mycap stop
              Switch# show monitor capture mycap buffer brief
              
                0.000000     10.1.1.2 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                1.000000     10.1.1.3 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                2.000000     10.1.1.4 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                3.000000     10.1.1.5 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                4.000000     10.1.1.6 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                5.000000     10.1.1.7 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                6.000000     10.1.1.8 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                7.000000     10.1.1.9 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                8.000000    10.1.1.10 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                9.000000    10.1.1.11 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               10.000000    10.1.1.12 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
               11.000000    10.1.1.13 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
              

              ステップ 16:次のように入力して、バッファをクリアしてから、バッファからのパケットを表示します。

              Switch# monitor capture mycap clear
              Switch# show monitor capture mycap buffer brief
              
              

              ステップ 17:次のように入力して、キャプチャ ポイントを削除します。

              Switch# no monitor capture mycap
              
              

              例:キャプチャ セッション

              Switch# monitor capture mycap start display display-filter "stp"
                0.000000 20:37:06:cf:08:b6 -> 01:80:c2:00:00:00 STP Conf. Root = 32768/100/20:37:06:ce:f0:80  Cost = 0  Port = 0x8136
                2.000992 20:37:06:cf:08:b6 -> 01:80:c2:00:00:00 STP Conf. Root = 32768/100/20:37:06:ce:f0:80  Cost = 0  Port = 0x8136
                2.981996 20:37:06:cf:08:b6 -> 20:37:06:cf:08:b6 LOOP Reply
                4.000992 20:37:06:cf:08:b6 -> 01:80:c2:00:00:00 STP Conf. Root = 32768/100/20:37:06:ce:f0:80  Cost = 0  Port = 0x8136
                6.000000 20:37:06:cf:08:b6 -> 01:80:c2:00:00:00 STP Conf. Root = 32768/100/20:37:06:ce:f0:80  Cost = 0  Port = 0x8136
                7.998001 20:37:06:cf:08:b6 -> 01:80:c2:00:00:00 STP Conf. Root = 32768/100/20:37:06:ce:f0:80  Cost = 0  Port = 0x8136
                9.998001 20:37:06:cf:08:b6 -> 01:80:c2:00:00:00 STP Conf. Root = 32768/100/20:37:06:ce:f0:80  Cost = 0  Port = 0x8136
              Capture test is not active Failed to Initiate Wireshark
              Switch# show monitor capture mycap parameter
                 monitor capture mycap control-plane both
                 monitor capture mycap match any
                 monitor capture mycap file location flash:mycap1.1 buffer-size 90
                 monitor capture mycap limit duration 10
              
              Switch# monitor capture mycap start display display-filter "udp.port == 20002"
              A file by the same capture file name already exists, overwrite?[confirm] [ENTER]
              after a minute or so...
              Capture mycap is not active Failed to Initiate Wireshark
              *Oct 13 15:00:44.649: %BUFCAP-6-ENABLE: Capture Point mycap enabled.
              *Oct 13 15:00:46.657: %BUFCAP-6-DISABLE_ASYNC: Capture Point mycap disabled. Rea
              son : Wireshark Session Ended
              
              Switch# monitor capture mycap start display display-filter "udp.port == 20002" dump
              A file by the same capture file name already exists, overwrite?[confirm]
              after a minute or so...
              Capture mycap is not active Failed to Initiate Wireshark
              *Oct 13 15:00:44.649: %BUFCAP-6-ENABLE: Capture Point mycap enabled.
              *Oct 13 15:00:46.657: %BUFCAP-6-DISABLE_ASYNC: Capture Point mycap disabled. Rea
              son : Wireshark Session Ended
              
              Switch# no monitor capture mycap file
              Switch# monitor capture mycap start display display-filter "udp.port == 20002" dump
               Please associate capture file/buffer
              Unable to activate Capture.
              
              Switch# monitor capture mycap start display display-filter "udp.port == 20002"
               Please associate capture file/buffer
              Unable to activate Capture.
              
              Switch# monitor capture mycap start display detailed
               Please associate capture file/buffer
              Unable to activate Capture.
              

              例:ロック ステップ モードのキャプチャおよび保存

              ここでは、リアルタイムのトラフィックをキャプチャし、パケットをロック ステップ モードにすることで例を示しています。


              (注)  


              キャプチャ レートは最初の 15 秒間遅延する場合があります。 可能な場合、必要に応じてトラフィックをキャプチャ セッション開始後 15 秒後に開始してください。

              ステップ 1:次のように入力して、関連トラフィックで一致するキャプチャ ポイントを定義し、それをファイルに関連付けます。

              Switch# monitor capture mycap interface GigabitEthernet1/0/1 in
              Switch# monitor capture mycap match ipv4 any any
              Switch# monitor capture mycap limit duration 60 packets 100
              Switch# monitor capture mycap file location flash:mycap.pcap buffer-size 64

              ステップ 2:次のように入力してキャプチャ ポイントが正確に定義されていることを確認します。

              Switch# show monitor capture mycap parameter
                 monitor capture mycap interface GigabitEthernet1/0/1 in
                 monitor capture mycap file location flash:mycap.pcap buffer-size 64
                 monitor capture mycap limit packets 100 duration 60
              
              Switch# show monitor capture mycap
              
              Status Information for Capture mycap
                Target Type:
                 Interface: GigabitEthernet1/0/1, Direction: in
                 Status : Inactive
                Filter Details:
                 Filter not attached
                Buffer Details:
                 Buffer Type: LINEAR (default)
                File Details:
                 Associated file name: flash:mycap.pcap
                 Size of buffer(in MB): 64
                Limit Details:
                 Number of Packets to capture: 100
                 Packet Capture duration: 60
                 Packet Size to capture: 0 (no limit)
                 Packets per second: 0 (no limit)
                 Packet sampling rate: 0 (no sampling)

              ステップ 3:次のように入力してパケットを開始します。

              Switch# monitor capture mycap start
              A file by the same capture file name already exists, overwrite?[confirm]
              Turning on lock-step mode
              
              Switch#
              *Oct 14 09:35:32.661: %BUFCAP-6-ENABLE: Capture Point mycap enabled.

              ステップ 4:次のように入力してパケットを表示します。

              Switch# show monitor capture file flash:mycap.pcap
                0.000000    10.1.1.30 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                1.000000    10.1.1.31 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                2.000000    10.1.1.32 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                3.000000    10.1.1.33 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                4.000000    10.1.1.34 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                5.000000    10.1.1.35 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                6.000000    10.1.1.36 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                7.000000    10.1.1.37 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                8.000000    10.1.1.38 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                9.000000    10.1.1.39 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
              

              ステップ 5:次のように入力してキャプチャ ポイントを削除します。

              Switch# no monitor capture mycap

              例:出方向のパケットの簡単なキャプチャおよび保存

              次の例は、フィルタにパケットをキャプチャする方法を示しています。

              ステップ 1:次のように入力して、関連トラフィックで一致するキャプチャ ポイントを定義し、それをファイルに関連付けます。

              Switch# monitor capture mycap interface Gigabit 1/0/1 out match ipv4 any any
              Switch# monitor capture mycap limit duration 60 packets 100
              Switch# monitor capture mycap file location flash:mycap.pcap buffer-size 90
              

              ステップ 2:次のように入力してキャプチャ ポイントが正確に定義されていることを確認します。

              Switch# show monitor capture mycap parameter
                 monitor capture mycap interface GigabitEthernet1/0/1 out
                 monitor capture mycap match ipv4  any any
                 monitor capture mycap file location flash:mycap.pcap buffer-size 90
                 monitor capture mycap limit packets 100 duration 60
              
              Switch# show monitor capture mycap
              
              Status Information for Capture mycap
                Target Type:
                 Interface: GigabitEthernet1/0/1, Direction: out
                 Status : Inactive
                Filter Details:
                 IPv4
                  Source IP:  any
                  Destination IP:  any
                 Protocol: any
                Buffer Details:
                 Buffer Type: LINEAR (default)
                File Details:
                 Associated file name: flash:mycap.pcap
                 Size of buffer(in MB): 90
                Limit Details:
                 Number of Packets to capture: 100
                 Packet Capture duration: 60
                 Packet Size to capture: 0 (no limit)
                 Packets per second: 0 (no limit)
                 Packet sampling rate: 0 (no sampling)

              ステップ 3:次のように入力してパケットを開始します。

              Switch# monitor capture mycap start
              A file by the same capture file name already exists, overwrite?[confirm]
              Turning on lock-step mode
              
              Switch#
              *Oct 14 09:35:32.661: %BUFCAP-6-ENABLE: Capture Point mycap enabled.
              

              (注)  


              時間の経過またはパケット カウントが一致した後に、キャプチャ操作を自動的に停止させてください。 出力に次のメッセージが表示された場合は、キャプチャ処理が停止していることを意味します。

              *Oct 14 09:36:34.632: %BUFCAP-6-DISABLE_ASYNC: Capture Point mycap disabled. Rea
              son : Wireshark Session Ended
              

              mycap.pcap ファイルには、キャプチャしたパケットが含まれます。


              ステップ 4:次のように入力してパケットを表示します。

              Switch# show monitor capture file flash:mycap.pcap
                0.000000    10.1.1.30 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                1.000000    10.1.1.31 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                2.000000    10.1.1.32 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                3.000000    10.1.1.33 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                4.000000    10.1.1.34 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                5.000000    10.1.1.35 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                6.000000    10.1.1.36 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                7.000000    10.1.1.37 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                8.000000    10.1.1.38 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
                9.000000    10.1.1.39 -> 20.1.1.2     UDP Source port: 20001  Destination port: 20002
              

              ステップ 5:次のように入力してキャプチャ ポイントを削除します。

              Switch# no monitor capture mycap
              
              

              その他の関連資料

              関連資料

              関連項目 マニュアル タイトル

              一般的なパケット フィルタリング

              一般的なパケット フィルタリングについては、次を参照してください。

              フィルタ リファレンスの表示

              エラー メッセージ デコーダ

              説明 Link

              このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。

              https:/​/​www.cisco.com/​cgi-bin/​Support/​Errordecoder/​index.cgi

              標準および RFC

              標準/RFC タイトル

              なし

              -

              MIB

              MIB MIB のリンク

              本リリースでサポートするすべての MIB

              選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB のダウンロードには、次の URL にある Cisco MIB Locator を使用します。

              http:/​/​www.cisco.com/​go/​mibs

              テクニカル サポート

              説明 リンク

              シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングに役立てていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

              お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

              シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

              http:/​/​www.cisco.com/​support

              関連コンセプト

              WireShark の機能履歴と情報

              リリース

              変更内容

              Cisco IOS XE 3.3SE

              この機能が導入されました。