Catalyst 4500 シリーズ スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド リリース IOS XE 3.3.0SG および IOS 15.1(1)SG
Wireshark の設定
Wireshark の設定
発行日;2012/09/05 | 英語版ドキュメント(2012/04/23 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 14MB) | フィードバック

目次

Wireshark の設定

Wireshark について

キャプチャ ポイント

接続ポイント:インターフェイスとトラフィックの方向

フィルタ

コア システム フィルタ

キャプチャ フィルタ

表示フィルタ

処理

キャプチャされたパケットのメモリ内バッファへの保存

.pcap ファイルへのキャプチャされたパケットの保存

パケットのデコードと表示

Wireshark のキャプチャ ポイントをアクティブまたは非アクティブにする

機能の相互作用

Wireshark の設定

デフォルトの Wireshark の設定

Wireshark の設定時の注意事項

キャプチャ ポイントの定義、変更、削除

キャプチャ ポイントをアクティブまたは非アクティブにする

注意事項および制約事項

ベスト プラクティス

Wireshark CLI で注意する項目

Wireshark 情報の表示

.pcap ファイルからの概要出力の表示

.pcap ファイルからの詳細出力の表示

.pcap ファイルからの 16 進ダンプ出力の表示

表示フィルタを使用した .pcap ファイルからのパケットの表示

使用例

例 1:単純なキャプチャおよび表示

例 2:単純なキャプチャおよび保存

例 3:バッファのキャプチャの使用

例 4:キャプチャ セッション

Wireshark の設定

IP Base および Enterprise Services フィーチャ セットでは、Cisco IOS Release XE 3.3.0SG 以降、Catalyst 4500 シリーズ スイッチは、パケット アナライザ プログラム Wireshark(旧名 Ethereal)をサポートします。これは、複数のプロトコルをサポートし、テキスト ベースのユーザ インターフェイスで情報を提供します。

この章で説明する内容は、次のとおりです。

「Wireshark について」

「機能の相互作用」

「Wireshark の設定」

「注意事項および制約事項」

「Wireshark 情報の表示」

「使用例」


) この章で使用するスイッチ コマンドの構文および使用方法の詳細については、次の URL で『Cisco Catalyst 4500 Series Switch Command Reference』と関連資料を参照してください。

http://www.cisco.com/en/US/products//hw/switches/ps4324/index.html

『Catalyst 4500 Series Switch Command Reference』に掲載されていないコマンドについては、より詳細な Cisco IOS ライブラリを参照してください。次の URL でCisco IOS コマンド リファレンスと関連資料を参照してください。

http://www.cisco.com/en/US/products/ps6350/index.html


Wireshark について

ネットワーク内で何が起きているかを理解するには、トラフィックをキャプチャし、分析する機能が必要です。Cisco IOS XE Release 3.3.0SG 以前は、Catalyst 4500 シリーズ スイッチはこの要件に対応するため、SPAN と debug platform packet という機能を提供していましたが、この両機能には制限があります。SPAN は、パケットをキャプチャするのに理想的ですが、指定したローカルまたはリモートの宛先にパケットを転送することによりこれを実現しているだけで、ローカル表示や分析をサポートしていません。debug platform packet コマンドは、Catalyst 4500 シリーズ スイッチに固有で、ソフトウェア プロセス フォワーディング パスから生成されたパケットだけで動作します。限定的なローカル表示機能がありますが、分析機能のサポートはありません。

したがって、ハードウェアとおよびソフトウェアの両方によって転送されるトラフィックに適用可能で、かつ強力なパケット キャプチャ、表示、および分析機能をサポートする(既知のインターフェイスの使用が望ましい)、トラフィックのキャプチャと分析のメカニズムが求められています。

Wireshark は、広く使用されている無償のオープンソース パケット アナライザ プログラムで、以前は Ethereal という名前でした。そのアナライザは何百ものにプロトコルをサポートし、グラフィカルとテキスト ベースの両方のユーザ インターフェイスを備えています。

Wireshark は、.pcap と呼ばれる既知の形式を使用して、ファイルへのパケットのダンプをサポートします。パケットのキャプチャと分析サービスを提供するために Wireshark を使用する他のシスコ デバイスには、Catalyst 6500、Nexus 7000、ISR があります。

Wireshark 機能は、個々 のインターフェイス上で適用されるかイネーブルになります。Cisco IOS XE Release 3.3.0SG では、Wireshark のパケット キャプチャをグローバルにイネーブルにすることはサポートされません。

インターフェイスは、フィルタおよび他のパラメータとともに EXEC モードで指定されます。機能は、実際には start コマンドを入力した際にのみ適用され、Wireshark が自動または手動でキャプチャを停止した際に除外されます。

ここでは、Wireshark の一部の重要な概念について説明します。

「キャプチャ ポイント」

「接続ポイント:インターフェイスとトラフィックの方向」

「フィルタ」

「処理」

「キャプチャされたパケットのメモリ内バッファへの保存」

キャプチャ ポイント

キャプチャ ポイントとは、Wireshark 機能の中央ポリシー定義です。これは Wireshark の特定のインスタンスに関連付けられたすべての特性(キャプチャ対象のパケット、パケットのキャプチャ元、キャプチャされたパケットについての処理内容、パケットのキャプチャ停止時点)を定義します。キャプチャ ポイントは作成後に変更される場合があり、別個の start コマンドで明示的にオンになるまではアクティブになりません。このプロセスは、「キャプチャ ポイントをアクティブにする」または「キャプチャ ポイントを開始する」と呼ばれます。キャプチャ ポイントは名前で識別され、手動または自動でも非アクティブ化または停止する場合があります。

複数のキャプチャ ポイントが同時に定義され、アクティブになる可能性があります。

接続ポイント:インターフェイスとトラフィックの方向

接続ポイントとは、キャプチャ ポイントに関連付けられている論理パケットのプロセス パスでのポイントです。(キャプチャ ポイント属性としての接続ポイントを考えてください)。アクティブ キャプチャ ポイントに関連付けられた接続ポイントに影響するパケットは、キャプチャ ポイントのフィルタに対してテストされます。一致するパケットは、キャプチャ ポイントの関連 Wireshark インスタンスにコピーされ、送信されます。特定のキャプチャ ポイントは、以下に示すように、異なるタイプの混合接続ポイントに制限のある複数の接続ポイントに関連付けられている可能性があります。接続ポイントは、常に双方向であるレイヤ 2 VLAN の接続ポイントを除き、方向性あり(入力/出力/両方)です。

フィルタ

フィルタは、Wireshark にコピーされ、渡されるキャプチャ ポイントの接続ポイントを移行するトラフィックのサブセットを指定し、制限するキャプチャ ポイントの属性です。最終的に Wireshark により表示されるには、パケットが、接続ポイントとキャプチャ ポイントに関連付けられたすべてのフィルタを通過する必要があります。

フィルタには次の 3 種類があります。

コア システム フィルタ:コア システム フィルタはハードウェアによって適用され、一致基準はハードウェアによって制限されます。このフィルタは、ハードウェア転送トラフィックが Wireshark の目的でソフトウェアにコピーするかどうかを決定します。

キャプチャ フィルタ:キャプチャ フィルタは、Wireshark によって適用されます。その一致基準は、コア フィルタによってサポートされるものよりも詳細に表示されます。コア フィルタを通過するが、キャプチャ フィルタを通過しないパケットは、引き続きソフトウェアにキャプチャされますが、Wireshark プロセスによって廃棄されます。以下で説明するように、キャプチャ フィルタの構文は、表示フィルタの構文に一致します。


) Wireshark はキャプチャ フィルタ構文を使用しません。


表示フィルタ:表示フィルタは、Wireshark によって適用され、一致基準は、アプリケーション フィルタと同様です。表示フィルタに失敗したパケットは表示されません。

コア システム フィルタ

複数の方法で(class-map、ACL または CLI によって明示的に)コア システム フィルタの一致基準を指定できます。

一部のインストール済み環境では、承認プロセスが長い場合さらに遅延を引き起こす可能性があるスイッチの設定を変更する権限を取得する必要があります。これにより、ネットワーク管理者の機能を、トラフィックの監視および分析に制限します。この問題に対処するため、Wireshark は、EXEC モード CLI から、コア システム フィルタ一致基準の明示的な仕様をサポートします。この対処方法の欠点は、指定できる一致基準が、クラス マップがサポートする対象の限定的なサブセットである(基本的に、MAC、IP 送信元アドレスおよび宛先アドレス、イーサネット タイプ、IP プロトコル、および TCP/UDP の発信元および宛先ポート)ことです。

コンフィギュレーション モードにアクセスできる場合は、ACL を定義することができます。あるいは、クラス マップが ACL へのキャプチャ ポイントを指します。内部的には、明示的な ACL ベースの一致基準がクラスマップとポリシー マップを構築するために使用されます。これらの暗黙的に構築されたクラス マップはスイッチの実行コンフィギュレーションに反映されず、NVGEN の対象ではありません。

キャプチャ フィルタ

キャプチャ フィルタはさまざまな条件に基づいて着信パケットをさらにフィルタリングするように Wireshark に指示することができます。Wireshark は、パケットを受信するとただちにキャプチャ フィルタを適用します。キャプチャ フィルタに失敗したパケットは格納も表示もされません。

スイッチはこのパラメータを受信し、Wireshark にそれを変更せずに渡します。Wireshark がアプリケーションのフィルタ定義を解析するため、定義の構文は、Wireshark の表示フィルタによって提供される構文となります。この構文と標準 IOS の構文は異なり、標準構文では表現できない ACL 一致基準を指定することができます。


) キャプチャ フィルタの構文は、Wireshark の表示フィルタのものと同じです。このように、キャプチャの構文と表示フィルタの構文は、Catalyst 4500 シリーズ スイッチの Wireshark の実装と同じです。


表示フィルタの構文の詳細については、 http://wiki.wireshark.org/DisplayFilters を参照してください。

表示フィルタ

表示フィルタを使用すると、ユーザは、表示するパケットの集合をさらに狭めるように Wireshark に指示することができます。表示フィルタの構文はキャプチャ フィルタと同じです。表示フィルタは、キャプチャ フィルタも定義されている場合は過剰です。表示フィルタの用途は、.pcap ファイルからデコードして表示するときに表示されるパケットの集合を絞り込むことです。表示フィルタの状態のいくつかの組み合わせを使用して Wireshark を実行すると、対象のパケットにまで絞り込むことができます。

キャプチャ フィルタおよび表示フィルタの構文の詳細については、http://wiki.wireshark.org/DisplayFilters を参照してください。

処理

Wireshark はライブ トラフィックまたは前の既存 .pcap ファイルで呼び出すことができます。ライブ トラフィックで呼び出されたときは、必要に応じて設定されたキャプチャおよび表示フィルタを通過するパケットで、4 つのタイプのアクション(デコードと分析、およびストレージの一方または両方のメモリ内のバッファへのキャプチャ、.pcap ファイルへの保存、デコードおよび分析、または保存とディスプレイの両方)を実行できます。.pcap ファイルで呼び出されたときは、デコードと表示のアクションだけが適用されます。

キャプチャされたパケットのメモリ内バッファへの保存

パケットは、後続のデコードおよび分析と、.pcap ファイルへの今後のストレージの一方または両方のために、メモリ内のキャプチャ バッファに保存できます。キャプチャ バッファは線形または循環にできます。線形モードでは、バッファがいっぱいになると、新しいパケットが廃棄されます。循環モードでは、バッファがいっぱいになると新しいパケットを格納するために最も古いパケットは廃棄されます。必要に応じてバッファもクリアできますが、このモードは、ネットワーク トラフィックをデバッグするためにで主に使用されます。

.pcap ファイルへのキャプチャされたパケットの保存

Wireshark は .pcap ファイルにキャプチャされたパケットを保存できます。.pcap ファイルへのパケットの保存は、ライブ トラフィックに適用されるキャプチャ ポイントに限り可能です。

キャプチャ ファイルは次のストレージ デバイスに配置可能です。

Catalyst 4500 シリーズ スイッチのオンボード フラッシュ ストレージ(bootflash:)

外部フラッシュ ディスク(slot:)

USB ドライブ(usb0:)


) 他のデバイスを使用しないでください。


Wireshark のキャプチャ ポイントを設定するときには、ファイル名を関連付けることができます。キャプチャ ポイントをアクティブにすると、Wireshark は指定された名前でファイルを作成し、パケットを書き込みます。ファイルを関連付けるか、キャプチャ ポイント アクティブにするときにファイルがすでに存在する場合、ファイルが上書きできるかどうかをユーザに確認します。これは、1 つのキャプチャ ポイントのみが、特定のファイル名に関連付けられている可能性があることを意味します。

Wireshark が書き込んでいるファイルシステムが一杯になると、Wireshark はファイルの一部のデータで失敗します。ただし、キャプチャ セッションを開始する前に、ファイルシステムに十分な領域が存在することを確認する必要があります。リリース IOS XE 3.3.0SG では、ファイルシステムの完全な状態は一部のストレージ デバイスに検出されません。

パケット全体ではなくセグメントだけを保持して、必要な記憶域を減らすことができます。通常、最初の 64 または 128 バイトを超える詳細は必要ではありません。デフォルトの動作は、パケット全体を保存することです。

ファイルシステムを処理し、ファイルシステムへの書き込みを行うときに発生する可能性のあるパケットのドロップを避けるため、Wireshark はオプションでメモリ バッファを使用してパケットの到着時に一時的に保持できます。メモリ バッファのサイズは、キャプチャ ポイントが .pcap ファイルに関連付けられている間に指定できます。

パケットのデコードと表示

Wireshark はコンソールにパケットをデコードして表示できます。この機能は、ライブ トラフィックに適用されるキャプチャ ポイントと前の既存 .pcap ファイルに適用されるキャプチャ ポイントで使用可能です。


) パケットをデコードして表示すると、CPU への負荷が高い場合があります。


Wireshark は、次の方法で詳細を表示する、さまざまなパケット形式の詳細をデコードして表示できます。

要約:パケット(デフォルト)ごとに 1 行を表示します。

詳細:プロトコルがサポートされているすべてのパケットのすべてのフィールドをデコードして表示します。このモードでは、他の 2 種類のモードよりも多くの CPU が必要です。

16 進ダンプ:パケット データの 16 進ダンプおよび各パケットの印刷可能文字として、パケットごとに 1 行を表示します。

Wireshark の出力は、IOS に戻り、変更せずにコンソールに表示されます。

ライブ トラフィックの表示

このモードでは、Wireshark は、Catalyst 4500 シリーズ スイッチのコア システムからのパケットのコピーを受信します。Wireshark は、残りのパケットをデコードして表示する不要なパケットを廃棄するため、キャプチャおよび表示フィルタを適用します。

.pcap ファイルからの表示

事前に保存された .pcap ファイルからのパケットをデコードして表示できます。その場合、対象のパケットだけを表示するため、表示フィルタを指定できます。キャプチャ フィルタは、このモードでは適用されません。

パケットの保存と表示

これは、機能的には、直近 2 件のアクションの組み合わせです。Wireshark は指定された .pcap ファイルにパケットを保存し、これらをコンソールにデコードおよび表示します。すでに説明したように、コアおよびキャプチャ フィルタだけがこのシナリオに適用されます。

Wireshark のキャプチャ ポイントをアクティブまたは非アクティブにする

Wireshark のキャプチャ ポイントが、接続ポイント、フィルタ、アクション、およびその他のオプションで定義されている場合、Wireshark はアクティブである必要があります。それまでは、キャプチャ ポイントは、実際にパケットをキャプチャしません。

キャプチャ ポイントがアクティブになる前に、一部の健全性チェックが実行されます。キャプチャ ポイントは、コア システム フィルタと接続ポイントのどちらも定義されていない場合はアクティブにできません。このチェックに失敗したキャプチャ ポイントをアクティブにしようとすると、エラーが生成されます。

キャプチャおよび表示フィルタを必要に応じて指定します。

Wireshark のキャプチャ ポイントは、数多くの方法で、アクティブになると、非アクティブにすることができます。.pcap ファイルにパケットを保存するだけのキャプチャ ポイントは、手動で停止するか、キャプチャ ポイントが自動的に停止する時間かパケットの制限を指定して設定できます。Wireshark のキャプチャ フィルタを通過するパケットのみが、パケットの制限のしきい値としてカウントされます。

Wireshark のキャプチャ ポイントがアクティブになると、固定レート フィルタがハードウェアに自動的に適用され、CPU が Wireshark によって指示されたパケットでフラッディングしないようになります。レート フィルタの短所は、より多くのリソースが使用可能になっても、(必要な場合)レートを超えて連続するパケットをキャプチャできないということです。

機能の相互作用

ここでは、Wireshark と他の既存機能間の相互対話について説明します。

レイヤ 2 セキュリティ機能:レイヤ 2 セキュリティ機能(ポート セキュリティ、MAC アドレス フィルタリングおよびスパニングツリーなど)によってドロップされたパケットは、Wireshark によってキャプチャされません (これは、SPAN の動作とは異なります)。

分類ベースのセキュリティ機能:ACL および IPSG などの入力分類ベースのセキュリティ機能によってドロップされたパケットは、同じ層での接続ポイント(レイヤ 2 またはレイヤ 3)に接続する Wireshark のキャプチャ ポイントによってキャプチャされません。出力分類ベースのセキュリティ機能によってドロップされたパケットは、同じ層での接続ポイントに接続する Wireshark のキャプチャ ポイントによってキャプチャされます。論理モデルは、Wireshark の接続ポイントが、入力側のセキュリティ機能のルックアップ後、およびこれとは対称的に出力側のセキュリティ機能のルックアップ前に発生することです。

入力方向のレイヤ 2 接続ポイントに接続する Wireshark のキャプチャ ポリシーは、レイヤ 3 分類ベースのセキュリティ機能によりドロップされたパケットをキャプチャします。対照的に、出力方向のレイヤ 3 接続ポイントに接続する Wireshark のキャプチャ ポリシーは、レイヤ 2 分類ベースのセキュリティ機能によりドロップされたパケットをキャプチャします。

ルーテッド ポートおよびレイヤ 3 ポート チャネル:ルーテッド ポートまたはレイヤ 3 のポート チャネルが Wireshark の接続ポイントとして使用されている場合、ポリシーはレイヤ 3. で接続されたとして扱われます。このように、Wireshark はインターフェイスによってルーティングされるパケットだけをキャプチャします。

VLAN:VLAN が Wireshark の接続ポイントとして使用されている場合、パケットは両方向でキャプチャされます。VLAN でブリッジングされるパケットは、2 つのコピー(1 つは入力用、もう 1 つは出力用)を生成します。

プライベート VLAN:セカンダリ PVLAN は Wireshark の接続ポイントとして拒否されます。Wireshark 接続ポイントとしてプライマリ PVLAN を使用すると、プライマリおよび関連するすべてのセカンダリのパケットのキャプチャをイネーブル化します。実質的には、PV ドメイン全体が接続ポイントです。

リダイレクション機能:PBR と WCCP などのレイヤ 3 リダイレクト トラフィックが、入力方向のレイヤ 3 の Wireshark の接続ポイントより論理的に後である機能。したがって、Wireshark は最後に他のレイヤ 3 インターフェイスからリダイレクトされても、このようなパケットをキャプチャします。これとは対照的に、出力機能では、出力 WCCP などのレイヤ 3 リダイレクト トラフィックが、レイヤ 3 の Wireshark の接続ポイントより論理的に前となります。したがって、Wireshark はこれらをキャプチャしません。

他の分類のコピー機能:ロール ベースおよびセキュリティ検索の種類からパケットのコピーを生成し、このようなパケットの複数のコピーが生成される他の分類ベースの機能は、Wireshark と互換性があります。

SPAN:Wireshark と SPAN 送信元には互換性があります。SPAN 送信元および Wireshark 接続ポイントとしてインターフェイスを設定すると、同時にサポートされます。Wireshark の接続ポイントとして SPAN 宛先ポートを設定することはサポートされていません。

入力および出力分類には 4 つの分類の結果があります。入力方向は、ロール ベース、セキュリティ、QoS、転送の上書きの順序になります。出力方向は、転送の上書き、ロール ベース、セキュリティ、QoS の順序になります。

入力側では、Wireshark のキャプチャ機能は、転送の上書きの結果タイプになり、他の FO 機能(マルチキャスト ローカル ソースのキャプチャ、PBR、入力 WCCP など)の上で優先されます。これは、Wireshark でキャプチャされたパケットが、PBR または WCCP によるすべてのリダイレクトの前にあることを意味します。また、セキュリティ ACL が FO 関連機能よりも前に適用されるため、セキュリティ ACL によってドロップされたパケットは、Wireshark がキャプチャされません。

出力側では、Wireshark のキャプチャ機能は、転送上書きの結果タイプになり、他の FO 機能(出力 WCCP など)の下で優先されます。これは、他の出力 FO 機能が適用されない場合にだけ、Wireshark がパケットをキャプチャすることを意味します。

Wireshark の設定

Wireshark 機能を設定するための CLI は、この機能が EXEC モードで実際に使用できる要件のため、標準です。設定サブモード(キャプチャ ポイントの定義など)で通常発生するアクションは、EXEC モードで代わりに処理されます。すべての主要コマンドは EXEC モード コマンドであるため、NVGEN の対象ではなく、NSF/SSO のシナリオのスタンバイ スーパーバイザに同期されません。

ここでは、Wireshark の設定方法について説明します。

「デフォルトの Wireshark の設定」

「Wireshark の設定時の注意事項」

「キャプチャ ポイントの定義、変更、削除」

「キャプチャ ポイントをアクティブまたは非アクティブにする」

デフォルトの Wireshark の設定

表 56-1 に、デフォルトの Wireshark の設定を示します。

 

表 56-1 デフォルトの Wireshark の設定

機能
デフォルト設定

時間

制限なし

パケット

制限なし

パケット長

制限なし(フル パケット)

ファイル サイズ

制限なし

リング ファイル ストレージ

No

バッファのストレージ モード

線形

Wireshark の設定時の注意事項

Wireshark を設定する場合は、次の点を確認します。

トラフィックは、Wireshark ポリシーが適用されているインターフェイスでアクティブです。

フィルタ規則がトラフィックに一致します。

必須パラメータが設定されます。

キャプチャ ポイントの定義、変更、削除

オプションの値を指定する手順は、順番にリストされますが、任意の順序で実行できます。1 行、2 行、または複数行で指定できます。複数となる接続ポイントを除き、次の順序で同じオプションを再指定することにより、値を最新の値で置き換えることができます。


ステップ 1 キャプチャ ポイントを識別する名前を定義します。

ステップ 2 キャプチャ ポイントが関連付けられている接続ポイントを指定します。

複数の接続ポイントが指定されることがあります。範囲のサポートは、接続ポイントを追加および削除するにも使用できます。

ステップ 3 ACL または class-map で明示的に定義されたコア システム フィルタを定義します。

ステップ 4 セッション制限を指定します(キャプチャされた秒単位またはパケット単位で)。

ステップ 5 Wireshark が保持するパケット セグメント長を指定します。

ステップ 6 キャプチャ ポイントがパケットを表示するだけでなくキャプチャできるようにする場合は、ファイルのアソシエーションを指定します。

ステップ 7 トラフィック バーストの処理に Wireshark で使用されるメモリ バッファのサイズを指定します。


 

キャプチャ ポイントを定義、変更、または削除するには、次のコマンドを入力します。

 

コマンド
目的

コア フィルタとしてアクセス リストまたはクラス マップを指定するには、monitor capture {access-list | class-map} コマンドを使用します。フィルタを削除するには、このコマンドの no 形式を使用します。

monitor capture name {access-list name | class-map name}
 

キャプチャ バッファの内容をクリアするか、ファイルにパケットを保存するには、 monitor capture [clear | export filename] コマンドを使用します。

monitor capture name [clear] [export filename]

キャプチャ ポイントを指定されたパラメータで定義します。

 

コマンド
目的

方向を持つ 1 つ以上の接続ポイントを指定するには、 monitor capture [interface | vlan | control-plane] コマンドを使用します。接続ポイントを削除するには、このコマンドの no 形式を使用します。

monitor capture name [{interface name | vlan num | control-plane} {in | out | both}
 

キャプチャ宛先を指定するには、 monitor capture コマンドを使用します。詳細を削除するには、このコマンドの no 形式を使用します。

monitor capture name [[file location filename [buffer-size <1-100>] [ring <2-10>] [size <1-100>]] | [buffer [circular] size <1-100>]]
 

キャプチャの制限を指定するには、 monitor capture limit コマンドを使用します。制限を削除するには、このコマンドの no 形式を使用します。

[no] monitor capture name limit {duration seconds] [packet-length size] [packets num]
 

明示的にインライン コア フィルタを定義するには、monitor capture mycap match コマンドを使用します。これを削除するには、このコマンドの no 形式を使用します。

Switch# [no] monitor capture mycap match {any | mac mac-match-string | ipv4 ipv4-match-string | ipv6 ipv6-match-string}
 

MAC 用のフィルタを使用するには、次の形式を使用します。

Switch# [no] monitor capture mycap match mac {src-mac-addr src-mac-mask | any | host src-mac-addr} | {dest-mac-addr dest-mac-mask | any | host dest-mac-addr}
 

IPv4/IPv6 用のフィルタを使用するには、次の形式の 1 つを使用します。

Switch# [no] monitor capture mycap match {ipv4 | ipv6} [src-prefix/length | any | host src-ip-addr] [dest-prefix/length | any | host dest-ip-addr]
 
Switch# [no] monitor capture mycap match {ipv4 | ipv6} proto {tcp | udp} [src-prefix/length | any | host src-ip-addr] [eq | gt | lt | neq <0-65535>] [dest-prefix/length | any | host dest-ip-addr] [eq | gt | lt | neq <0-65535>]
 

キャプチャ ポイントを開始または停止するには、 monitor capture コマンドを使用します。

monitor capture name start [capture-filter filter-string] [display [display-filter filter-string]] [brief | detailed | dump | stop]

キャプチャ ポイントを指定されたパラメータで定義します。

キャプチャ ファイルの関連付け/関連付け解除

Switch# monitor capture point mycap file location bootdisk:mycap.pcap
 
Switch# no monitor capture mycap file

パケット バーストの処理にメモリ バッファ サイズを指定する

Switch# monitor capture mycap buffer-size 1000000

IPv4 と IPv6 の両方の TCP トラフィックに一致するように、明示的なコア システム フィルタを定義する

Switch# monitor capture mycap match any protocol tcp

既存の ACL またはクラス マップを使用してコア システム フィルタを定義する

Switch# monitor capture mycap match access-list myacl
 
Switch# monitor capture mycap match class-map mycm

キャプチャ ポイントをアクティブまたは非アクティブにする

接続ポイントとコア システム フィルタが定義されておらず、関連するファイル名(存在する場合)がすでにある場合、キャプチャ ポイントをアクティブにできません。関連するファイル名のないキャプチャ ポイントだけが、表示するためにアクティブにできます。キャプチャ フィルタまたは表示フィルタが指定されていない場合、コア システム フィルタによってキャプチャされたすべてのパケットが表示されます。デフォルトの表示モードは brief です。

キャプチャ ポイントをアクティブまたは非アクティブにするには、このコマンドを入力します。

 

コマンド
目的
Switch# monitor capture name start [capture-filter filter-string] [display [display-filter filter-string]] [brief | detailed | dump]
 
Switch# monitor capture name stop

キャプチャ ポイントをアクティブにします。


キャプチャ ポイントを非アクティブにします。

キャプチャ フィルタを使用したキャプチャ ポイントのアクティブ化

Switch# monitor capture mycap start capture-filter "net 10.1.1.0 0.0.0.255 and port 80"

ライブ トラフィック用の表示フィルタを使用したキャプチャ ポイントのアクティブ化

Switch# monitor capture mycap start display display-filter "net 10.1.1.0 0.0.0.255 and port 80"

注意事項および制約事項

次の点に注意してください。

パケット キャプチャが入力方向でイネーブルの場合、一致するパケットは、最初の 15 秒間、CPU でのソフトウェア ベースの検索が行われます。この間に、CPU 使用率が高く、キャプチャ レートが低くなります。

パケット キャプチャが出力方向でイネーブルの場合、パケットは最初の 15 秒でキャプチャされません。

インターフェイスの出力方向にキャプチャされたパケットは、スイッチの書き換えによって行われた変更(TTL、VLAN タグ cos、チェックサム、および MAC アドレスなど)が反映されないこともあります。

別の論理ポートに属する物理ポートでのキャプチャはサポートされない場合があります。たとえば、EtherChannel メンバー ポートのキャプチャはサポートされません。

ファイル サイズによる循環ファイル ストレージおよび制限はサポートされません。

Wireshark は、キャプチャ ポイントの class-map フィルタを次のいずれかに一致させようとすると、IPv6 パケットをキャプチャできません。

拡張ヘッダーの次にホップバイホップ ヘッダーが続く(CSCtt16385 経由)

DSCP 値(CSCtx75765 経由)

ベスト プラクティス

次の点に注意してください。

Wireshark のパケット キャプチャが進行していても、ハードウェア転送が同時に発生します。

Wireshark のキャプチャを起動する前に、CPU 使用率が過剰になっていないことと、十分なメモリが利用できることを必ず確認してください。

ストレージでファイルにパケットを保存する場合は、キャプチャを開始する前に十分なスペースが利用できることを確認します。

Wireshark のキャプチャ中の CPU 使用率は、Wireshark のキャプチャ用に設定された基準に一致するパケットの数と、一致したパケット用のアクション(ストア、デコードして表示、あるいはこの両方)によって異なります。

Wireshark のキャプチャ ポイント コマンドから利用できるように、(パケット番号やキャプチャ期間などの)パラメータで、パケット キャプチャをほぼ常時制限する必要があります。

パケット転送はハードウェアで通常発生するため、パケットは、ソフトウェア処理のために CPU にコピーされません。Wireshark のパケット キャプチャの場合、パケットは CPU にコピーされ、配信されて、これが CPU 使用率の増加につながります。

CPU 使用率を高くしないようにするには、次の手順を実行します。

関連ポートだけに接続します。

一致条件を表現するには、クラス マップを、二次的に、アクセス リストを使用します。どちらも最適ではない場合は、明示的な、インライン フィルタを使用します。

フィルタ規則に正しく準拠させます。不要なトラフィックを引き起こす、緩やかな ACL を使用してではなく、非常に制限されたアクセス リストを使用して、関心のある正確なトラフィックで一致させるため、トラフィック タイプ(たとえば、IPv4 のみ)を制限できます。

パケット キャプチャを短い期間または小さなパケット番号に常に制限します。次のパラメータにより、これができるようになります。

キャプチャ期間

キャプチャされたパケットの数

ファイル サイズ

パケットのセグメント サイズ

コア フィルタに一致するトラフィックが非常に小さいことがわかっている場合、制限なしでセッションを起動できます。

予期しないトラフィックのバーストで CPU 使用率が増加するため、キャプチャ セッションをイネーブルにし、長時間不在にしないでください。

キャプチャ セッション中に、スイッチのパフォーマンスまたはヘルスに影響する可能性のある Wireshark により、高 CPU の使用状況およびメモリ使用状況がないか監視します。こうした状況が発生した場合、Wireshark セッションをすぐに停止します。

大きなファイルの .pcap ファイルからのパケットをデコードして表示することは避けてください。可能であれば、.pcap ファイルを PC に転送し、PC で Wireshark のアプリケーションを使用します。

Wireshark インスタンスは最大 8 個まで使用できます。.pcap ファイルまたはキャプチャ バッファからパケットをデコードして表示するアクティブな show コマンドは、1 個のインスタンスとしてカウントされます。スイッチでは多くのインスタンスを使用できますが、CPU またはメモリ リソースの浪費を回避するためには、インスタンスの数を 1 個または 2 個に制限する必要があります。

ACL が入力方向のスイッチでインストールまたは変更されるときは常に、最初の 15 秒間、ソフトウェアは、ハードウェアによって送信されるパケット分類の細部を無視し、CPU で受信されるパケットに対してソフトウェア ベースの分類を使用します。これは、システムが少数のパケットだけを最初にキャプチャでき、CPU 使用率がこの時間中に高くなることを意味します。


) 出力方向では、パケットは最初の 15 秒間キャプチャされません。


次の項目は、パケット損失の回避を扱います。

高い処理である(特に detailed モード)デコードおよび表示ではなく、 ライブ パケットをキャプチャしている間は、ストアのみ使用されます。

バッファ サイズを増やすには、buffer-size パラメータを使用します。

フラッシュ ディスクへの書き込みは依然として CPU 中心の操作であるため、キャプチャ レートが十分ではない可能性があります。

Wireshark のキャプチャ セッションは、パケットがキャプチャされ、処理されるストリーミング モードで正常に動作しています。ただし、少なくとも 32MB のバッファ サイズを指定すると、Wireshark のキャプチャ セッションが、2 つのフェーズ(キャプチャおよびプロセス)に分割されるロックステップ モードを自動的にオンにします。キャプチャ フェーズでは、パケットは一時バッファに保存されます。ロックステップ モードの duration パラメータは、セッション期間ではなくキャプチャ期間として機能します。バッファがいっぱいになったか、またはキャプチャ期間が終了すると、セッションはプロセス フェーズに移行します。このフェーズでは、パケットの受信を停止し、バッファでのパケットの処理を開始します。このアプローチを使用すると、より高いキャプチャのスループットを達成できます。

ストリーミングのキャプチャ モードは約 1500 pps をサポートします。ロックステップ モードは約 45Mbps(256 バイト パケットで測定)をサポートします。

コンソール ウィンドウのライブ パケットをデコードして表示する場合は、Wireshark セッションが短いキャプチャ期間によって抑制されていることを確認します。(term len 0 コマンドで auto-more サポートのない端末を使用している)期間が長い、またはキャプチャ期間がない Wireshark セッションでは、コンソールまたは端末が使用できなくなる可能性があります。

リング ファイルまたはキャプチャ バッファのキャプチャ セッションを起動せず、長時間不在にしないでください。これにより、高い CPU/メモリの使用状況が原因でパフォーマンスまたはシステム状態の問題を引き起こす可能性があります。

高 CPU を引き起こすライブ トラフィックをキャプチャする必要が避けられない状況では、キャプチャが完了するまでは実際のトラフィックを制限するように、QoS ポリシーを一時的に適用することを考慮してください。

Wireshark CLI で注意する項目

次の点に注意してください。

Wireshark に関連するすべてのコマンドは、EXEC コマンドです。config コマンドは、Wireshark にありません。コンフィギュレーション コマンドで、アクセス リストおよびクラス マップを定義する必要があります。

キャプチャ ポイントを定義する場合には、特定の順序は適用されません。パラメータは任意の順序で定義できるため、CLI を許可します。CLI により、1 行にできるだけ多くのパラメータを割り当て、キャプチャ ポイントを定義するために必要なコマンドの数を制限します。

接続ポイントを除くすべてのパラメータが 1 つの値を取ります。通常、コマンドを再発行することにより、値を新しいものに置き換えることができます。ユーザの確認後にシステムが新しい値を受け入れ、古い値を上書きします。コマンドの no 形式は、新しい値の入力が不要です。ただし、パラメータを削除するには、このコマンドの no 形式を使用する必要があります。

Wireshark では 1 つ以上の接続ポイントを指定することができます。複数の接続ポイントを追加するには、新しい接続ポイントでコマンドを再入力します。接続ポイントを削除するには、no 形式を使用します。接続ポイントとしてインターフェイス範囲を指定できます。

セッションがアクティブな間、キャプチャ ポイントのパラメータは変更できません。いずれかのパラメータを変更するには、セッションを停止し、変更を行い、セッションを再開します。ただし、Wireshark のキャプチャ セッションは、スイッチに汎用で Wireshark プロセスに関係しないため、このセッションがアクティブな間、アクセス リストを変更できます。

実行するアクションに応じて、一部のパラメータは必須となり、一部は任意となります。CLI により、start コマンドを入力する前に、パラメータを指定または変更することができます。start コマンドを発行すると、必須パラメータが指定されているかどうかを確認し、指定されている場合のみ開始します。

キャプチャ ファイルがすでに存在する場合、警告を出し、続行する前に確認を受信するため、ファイルが誤って上書きされません。

コア フィルタは明示的なフィルタ、アクセス リスト、またはクラス マップにできます。これらのタイプのいずれかのフィルタを新しく指定すると、古いフィルタが置き換えられます。

明示的な stop コマンドを使用するか、automore モードに「q」を入力して、Wireshark のセッションを終了します。セッションは、期間やパケット キャプチャの制限などの停止の条件が満たされたときに、自身を自動的に終了することができます。

Wireshark 情報の表示

2 種類の show コマンドが Wireshark でサポートされます( 表 56-2 )。

 

表 56-2 MLD スヌーピング情報表示用のコマンド

コマンド
目的
show monitor capture point name

キャプチャ ポイント ステートが表示され、キャプチャ ポイントの定義状況、属性、アクティブ状況を確認することができます。キャプチャ ポイントの名前を指定すると、特定のキャプチャ ポイントの細部が表示されます。

show monitor capture file name [display-filter filter-string] [brief | detailed | dump]

パケットの送信元として既存の .pcap ファイルを使用して Wireshark をアクティブにします。表示フィルタが指定されていない場合は、ファイルのすべてのパケットが表示されます。デフォルトの表示モードは brief です。

.pcap ファイルからの概要出力の表示

次のコマンドを入力します。

Switch# show monitor capture file bootflash:mycap.pcap
1 0.000000 10.1.1.140 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2 1.000000 10.1.1.141 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3 2.000000 10.1.1.142 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4 3.000000 10.1.1.143 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5 4.000000 10.1.1.144 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6 5.000000 10.1.1.145 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7 6.000000 10.1.1.146 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8 7.000000 10.1.1.147 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9 8.000000 10.1.1.148 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
10 9.000000 10.1.1.149 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
11 10.000000 10.1.1.150 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
12 11.000000 10.1.1.151 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
13 12.000000 10.1.1.152 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
14 13.000000 10.1.1.153 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
15 14.000000 10.1.1.154 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
16 15.000000 10.1.1.155 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
17 16.000000 10.1.1.156 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
18 17.000000 10.1.1.157 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
19 18.000000 10.1.1.158 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
20 19.000000 10.1.1.159 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
21 20.000000 10.1.1.160 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
22 21.000000 10.1.1.161 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
23 22.000000 10.1.1.162 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
24 23.000000 10.1.1.163 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
25 24.000000 10.1.1.164 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
26 25.000000 10.1.1.165 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
27 26.000000 10.1.1.166 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
28 27.000000 10.1.1.167 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
29 28.000000 10.1.1.168 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
30 29.000000 10.1.1.169 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
31 30.000000 10.1.1.170 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
32 31.000000 10.1.1.171 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
33 32.000000 10.1.1.172 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
34 33.000000 10.1.1.173 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
35 34.000000 10.1.1.174 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
36 35.000000 10.1.1.175 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
37 36.000000 10.1.1.176 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
38 37.000000 10.1.1.177 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
39 38.000000 10.1.1.178 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
40 39.000000 10.1.1.179 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
41 40.000000 10.1.1.180 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
42 41.000000 10.1.1.181 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
43 42.000000 10.1.1.182 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
44 43.000000 10.1.1.183 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
45 44.000000 10.1.1.184 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
46 45.000000 10.1.1.185 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
47 46.000000 10.1.1.186 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
48 47.000000 10.1.1.187 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
49 48.000000 10.1.1.188 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
50 49.000000 10.1.1.189 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
51 50.000000 10.1.1.190 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
52 51.000000 10.1.1.191 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
53 52.000000 10.1.1.192 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
54 53.000000 10.1.1.193 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
55 54.000000 10.1.1.194 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
56 55.000000 10.1.1.195 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
57 56.000000 10.1.1.196 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
58 57.000000 10.1.1.197 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
59 58.000000 10.1.1.198 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

.pcap ファイルからの詳細出力の表示

次のコマンドを入力します。

Switch# show monitor capture file bootflash:mycap.pcap detailed
Frame 1: 256 bytes on wire (2048 bits), 256 bytes captured (2048 bits)
Arrival Time: Mar 21, 2012 14:35:09.111993000 PDT
Epoch Time: 1332365709.111993000 seconds
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 256 bytes (2048 bits)
Capture Length: 256 bytes (2048 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ip:udp:data]
Ethernet II, Src: 00:00:00:00:03:01 (00:00:00:00:03:01), Dst: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
Destination: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
Address: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Source: 00:00:00:00:03:01 (00:00:00:00:03:01)
Address: 00:00:00:00:03:01 (00:00:00:00:03:01)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Type: IP (0x0800)
Frame check sequence: 0x03b07f42 [incorrect, should be 0x08fcee78]
Internet Protocol, Src: 10.1.1.140 (10.1.1.140), Dst: 20.1.1.2 (20.1.1.2)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 238
Identification: 0x0000 (0)
Flags: 0x00
0... .... = Reserved bit: Not set
.0.. .... = Don't fragment: Not set
..0. .... = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: UDP (17)
Header checksum: 0x5970 [correct]
[Good: True]
[Bad: False]
Source: 10.1.1.140 (10.1.1.140)
Destination: 20.1.1.2 (20.1.1.2)
User Datagram Protocol, Src Port: 20001 (20001), Dst Port: 20002 (20002)
Source port: 20001 (20001)
Destination port: 20002 (20002)
Length: 218
Checksum: 0x6e2b [validation disabled]
[Good Checksum: False]
[Bad Checksum: False]
Data (210 bytes)
 
0000 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f ................
0010 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f ................
0020 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f !"#$%&'()*+,-./
0030 30 31 32 33 34 35 36 37 38 39 3a 3b 3c 3d 3e 3f 0123456789:;<=>?
0040 40 41 42 43 44 45 46 47 48 49 4a 4b 4c 4d 4e 4f @ABCDEFGHIJKLMNO
0050 50 51 52 53 54 55 56 57 58 59 5a 5b 5c 5d 5e 5f PQRSTUVWXYZ[\]^_
0060 60 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f `abcdefghijklmno
0070 70 71 72 73 74 75 76 77 78 79 7a 7b 7c 7d 7e 7f pqrstuvwxyz{|}~.
0080 80 81 82 83 84 85 86 87 88 89 8a 8b 8c 8d 8e 8f ................
0090 90 91 92 93 94 95 96 97 98 99 9a 9b 9c 9d 9e 9f ................
00a0 a0 a1 a2 a3 a4 a5 a6 a7 a8 a9 aa ab ac ad ae af ................
00b0 b0 b1 b2 b3 b4 b5 b6 b7 b8 b9 ba bb bc bd be bf ................
00c0 c0 c1 c2 c3 c4 c5 c6 c7 c8 c9 ca cb cc cd ce cf ................
00d0 d0 d1 ..
Data: 000102030405060708090a0b0c0d0e0f1011121314151617...
[Length: 210]
 
Frame 2: 256 bytes on wire (2048 bits), 256 bytes captured (2048 bits)
Arrival Time: Mar 21, 2012 14:35:10.111993000 PDT

.pcap ファイルからの 16 進ダンプ出力の表示

次のコマンドを入力します。

Switch# show monitor capture file bootflash:mycap.pcap dump
1 0.000000 10.1.1.140 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 
0000 54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00 Tu.:.?........E.
0010 00 ee 00 00 00 00 40 11 59 70 0a 01 01 8c 14 01 ......@.Yp......
0020 01 02 4e 21 4e 22 00 da 6e 2b 00 01 02 03 04 05 ..N!N"..n+......
0030 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 ................
0040 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 .......... !"#$%
0050 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 &'()*+,-./012345
0060 36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45 6789:;<=>?@ABCDE
0070 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 FGHIJKLMNOPQRSTU
0080 56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65 VWXYZ[\]^_`abcde
0090 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 fghijklmnopqrstu
00a0 76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85 vwxyz{|}~.......
00b0 86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95 ................
00c0 96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5 ................
00d0 a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5 ................
00e0 b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5 ................
00f0 c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 03 b0 7f 42 ...............B
 
2 1.000000 10.1.1.141 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 
0000 54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00 Tu.:.?........E.
0010 00 ee 00 00 00 00 40 11 59 6f 0a 01 01 8d 14 01 ......@.Yo......
0020 01 02 4e 21 4e 22 00 da 6e 2a 00 01 02 03 04 05 ..N!N"..n*......
0030 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 ................
0040 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 .......... !"#$%
0050 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 &'()*+,-./012345
0060 36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45 6789:;<=>?@ABCDE
0070 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 FGHIJKLMNOPQRSTU
0080 56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65 VWXYZ[\]^_`abcde
0090 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 fghijklmnopqrstu
00a0 76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85 vwxyz{|}~.......
00b0 86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95 ................
00c0 96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5 ................
00d0 a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5 ................
00e0 b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5 ................
00f0 c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 95 2c c3 3f .............,.?
 
3 2.000000 10.1.1.142 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 
0000 54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00 Tu.:.?........E.
0010 00 ee 00 00 00 00 40 11 59 6e 0a 01 01 8e 14 01 ......@.Yn......
0020 01 02 4e 21 4e 22 00 da 6e 29 00 01 02 03 04 05 ..N!N"..n)......
0030 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 ................
0040 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 .......... !"#$%
0050 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 &'()*+,-./012345
0060 36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45 6789:;<=>?@ABCDE
0070 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 FGHIJKLMNOPQRSTU
0080 56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65 VWXYZ[\]^_`abcde
0090 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 fghijklmnopqrstu
00a0 76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85 vwxyz{|}~.......
00b0 86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95 ................
00c0 96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5 ................
00d0 a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5 ................
00e0 b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5 ................
00f0 c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 6c f8 dc 14 ............l...
 
4 3.000000 10.1.1.143 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 
0000 54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00 Tu.:.?........E.
0010 00 ee 00 00 00 00 40 11 59 6d 0a 01 01 8f 14 01 ......@.Ym......
0020 01 02 4e 21 4e 22 00 da 6e 28 00 01 02 03 04 05 ..N!N"..n(......
0030 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 ................
0040 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 .......... !"#$%
0050 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 &'()*+,-./012345

表示フィルタを使用した .pcap ファイルからのパケットの表示

次のコマンドを入力します。

Switch# show monitor capture file bootflash:mycap.pcap display-filter "ip.src == 10.1.1.140" dump
1 0.000000 10.1.1.140 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 
0000 54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00 Tu.:.?........E.
0010 00 ee 00 00 00 00 40 11 59 70 0a 01 01 8c 14 01 ......@.Yp......
0020 01 02 4e 21 4e 22 00 da 6e 2b 00 01 02 03 04 05 ..N!N"..n+......
0030 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 ................
0040 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 .......... !"#$%
0050 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 &'()*+,-./012345
0060 36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45 6789:;<=>?@ABCDE
0070 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 FGHIJKLMNOPQRSTU
0080 56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65 VWXYZ[\]^_`abcde
0090 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 fghijklmnopqrstu
00a0 76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85 vwxyz{|}~.......
00b0 86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95 ................
00c0 96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5 ................
00d0 a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5 ................
00e0 b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5 ................
00f0 c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 03 b0 7f 42 ...............B

使用例

ここでは、次の例を示します。

「例 1:単純なキャプチャおよび表示」

「例 2:単純なキャプチャおよび保存」

「例 3:バッファのキャプチャの使用」

「例 4:キャプチャ セッション」

例 1:単純なキャプチャおよび表示

L3 インターフェイス ギガビット 3/1 でトラフィックを監視するとします。


ステップ 1 関連するトラフィックで一致するキャプチャ ポイントを定義します

Switch# monitor capture mycap interface gi 3/1 in match ipv4 any any
Switch# monitor capture mycap limit duration 60 packets 100

) CPU 使用率の上昇を避けるには、制限として最も低いパケット数および時間を設定します。


ステップ 2 キャプチャ ポイントが正しく定義されていることを確認します。

Switch# show monitor capture mycap parameter
monitor capture mycap interface GigabitEthernet3/1 in
monitor capture mycap match ipv4 any any
monitor capture mycap limit packets 100 duration 60
Switch# show monitor capture mycap
Status Information for Capture mycap
Target Type:
Interface: GigabitEthernet3/1, Direction: in
Status : Inactive
Filter Details:
IPv4
Source IP: any
Destination IP: any
Protocol: any
File Details:
File not associated
Buffer Details:
Buffer Type: LINEAR (default)
Limit Details:
Number of Packets to capture: 100
Packet Capture duration: 60
 

ステップ 3 キャプチャ プロセスを開始し、brief 表示モードを使用して画面に結果を表示します。

Switch# monitor capture mycap start display
0.000000 10.1.1.30 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
1.000000 10.1.1.31 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2.000000 10.1.1.32 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3.000000 10.1.1.33 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4.000000 10.1.1.34 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5.000000 10.1.1.35 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6.000000 10.1.1.36 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7.000000 10.1.1.37 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8.000000 10.1.1.38 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9.000000 10.1.1.39 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 

ステップ 4 次のように、キャプチャ ポイントを削除します。

Switch# no monitor capture mycap


 

例 2:単純なキャプチャおよび保存

この例は、前のキャプチャおよび表示のシナリオと同様です。ライブ ストリームからのパケットを直接確認する代わりに、パケットはファイルにキャプチャされます。


ステップ 1 関連するトラフィックに一致するキャプチャ ポイントを定義し、これをファイルに関連付けます。

Switch# monitor capture mycap interface gi 3/1 in match ipv4 any any
Switch# monitor capture mycap limit duration 60 packets 100
Switch# monitor cap mycap file location bootflash:mycap.pcap
 

ステップ 2 キャプチャ ポイントが正しく定義されていることを確認します。

Switch# show monitor capture mycap parameter
monitor capture mycap interface GigabitEthernet3/1 in
monitor capture mycap match ipv4 any any
monitor capture mycap file location bootflash:mycap.pcap
monitor capture mycap limit packets 100 duration 60
Switch# show monitor capture mycap
Target Type:
Interface: GigabitEthernet3/1, Direction: in
Status : Inactive
Filter Details:
IPv4
Source IP: any
Destination IP: any
Protocol: any
File Details:
Associated file name: bootflash:mycap.pcap
Buffer Details:
Buffer Type: LINEAR (default)
Limit Details:
Number of Packets to capture: 100
Packet Capture duration: 60
 

ステップ 3 パケット キャプチャを起動します

Switch# monitor capture mycap start
 

ステップ 4 十分な時間が経過すると、キャプチャを停止します。

Switch# monitor capture mycap stop

) あるいは、時間の経過またはパケット カウントが一致した後に、キャプチャ操作を自動的に停止させることもできます。


mycap.pcap ファイルには、キャプチャしたパケットが含まれます。

ステップ 5 パケットを表示します

Switch# show monitor capture file bootflash:mycap.pcap
0.000000 10.1.1.30 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
1.000000 10.1.1.31 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2.000000 10.1.1.32 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3.000000 10.1.1.33 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4.000000 10.1.1.34 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5.000000 10.1.1.35 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6.000000 10.1.1.36 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7.000000 10.1.1.37 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8.000000 10.1.1.38 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9.000000 10.1.1.39 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 

ステップ 6 キャプチャ ポイントを削除します

Switch# no monitor capture mycap


 

例 3:バッファのキャプチャの使用

次に、バッファのキャプチャ機能を使用する例を示します。


ステップ 1 バッファのキャプチャ オプションでキャプチャ セッションを起動します。

Switch# monitor capture mycap interface gi 3/1 in
Switch# monitor capture mycap match ipv4 any any
Switch# monitor capture mycap buffer circular size 1
Switch# monitor capture mycap start
 

ステップ 2 キャプチャがアクティブかどうかを確認します。

Switch# show monitor capture mycap
 
Status Information for Capture mycap
Target Type:
Interface: GigabitEthernet3/1, Direction: in
Status : Active
Filter Details:
IPv4
Source IP: any
Destination IP: any
Protocol: any
File Details:
File not associated
Buffer Details:
Buffer Type: CIRCULAR
Buffer Size (in MB): 1
Limit Details:
limit not set
 

ステップ 3 バッファ内のパケットを表示します。

Switch# show monitor capture mycap buffer brief
0.000000 10.1.1.215 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
1.000000 10.1.1.216 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2.000000 10.1.1.217 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3.000000 10.1.1.218 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4.000000 10.1.1.219 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5.000000 10.1.1.220 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6.000000 10.1.1.221 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7.000000 10.1.1.222 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8.000000 10.1.1.223 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9.000000 10.1.1.224 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
10.000000 10.1.1.225 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
11.000000 10.1.1.226 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
12.000000 10.1.1.227 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
13.000000 10.1.1.228 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
14.000000 10.1.1.229 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
15.000000 10.1.1.230 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
16.000000 10.1.1.231 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
17.000000 10.1.1.232 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
18.000000 10.1.1.233 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
19.000000 10.1.1.234 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
20.000000 10.1.1.235 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
21.000000 10.1.1.236 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 

パケットがバッファリングされたことがわかります。

ステップ 4 他の表示モードでパケットを表示します。

Switch# show monitor capture mycap buffer detailed
Frame 1: 256 bytes on wire (2048 bits), 256 bytes captured (2048 bits)
Arrival Time: Apr 15, 2012 15:50:02.398966000 PDT
Epoch Time: 1334530202.398966000 seconds
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 256 bytes (2048 bits)
Capture Length: 256 bytes (2048 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ip:udp:data]
Ethernet II, Src: 00:00:00:00:03:01 (00:00:00:00:03:01), Dst: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
Destination: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
Address: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Source: 00:00:00:00:03:01 (00:00:00:00:03:01)
Address: 00:00:00:00:03:01 (00:00:00:00:03:01)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
...
Switch# show monitor capture mycap buffer dump
0.000000 10.1.1.215 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 
0000 54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00 Tu.:.?........E.
0010 00 ee 00 00 00 00 40 11 59 25 0a 01 01 d7 14 01 ......@.Y%......
0020 01 02 4e 21 4e 22 00 da 6d e0 00 01 02 03 04 05 ..N!N"..m.......
0030 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 ................
0040 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 .......... !"#$%
0050 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 &'()*+,-./012345
0060 36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45 6789:;<=>?@ABCDE
0070 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 FGHIJKLMNOPQRSTU
0080 56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65 VWXYZ[\]^_`abcde
0090 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 fghijklmnopqrstu
00a0 76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85 vwxyz{|}~.......
00b0 86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95 ................
00c0 96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5 ................
00d0 a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5 ................
00e0 b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5 ................
00f0 c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 03 3e d0 33 .............>.3
 

ステップ 5 バッファを一度クリアし、10 秒待機した後トラフィックを停止します。

Switch# monitor capture mycap clear
 

10 秒待機し、トラフィックを停止します。

時間の空白で繰り返されるパケットを表示し、同じセットのパケットが表示されることを確認します。

Switch# show monitor capture mycap buffer brief
0.000000 10.1.1.2 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
1.000000 10.1.1.3 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2.000000 10.1.1.4 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3.000000 10.1.1.5 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4.000000 10.1.1.6 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5.000000 10.1.1.7 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6.000000 10.1.1.8 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7.000000 10.1.1.9 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8.000000 10.1.1.10 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9.000000 10.1.1.11 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 
[Wait for about 10 secs]
 
Switch# show monitor capture mycap buffer brief
0.000000 10.1.1.2 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
1.000000 10.1.1.3 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2.000000 10.1.1.4 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3.000000 10.1.1.5 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4.000000 10.1.1.6 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5.000000 10.1.1.7 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6.000000 10.1.1.8 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7.000000 10.1.1.9 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8.000000 10.1.1.10 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9.000000 10.1.1.11 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 
[Wait for about 10 secs]
 
Switch# show monitor capture mycap buffer brief
0.000000 10.1.1.2 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
1.000000 10.1.1.3 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2.000000 10.1.1.4 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3.000000 10.1.1.5 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4.000000 10.1.1.6 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5.000000 10.1.1.7 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6.000000 10.1.1.8 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7.000000 10.1.1.9 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8.000000 10.1.1.10 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9.000000 10.1.1.11 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 

ステップ 6 バッファからのパケットをクリアします。

Switch# monitor capture mycap clear
 

ステップ 7 バッファが空になったことを確認します。

Switch# show monitor capture mycap buffer brief
 

ステップ 8 約 10 秒待機してから、次を実行します。

Switch# show monitor capture mycap buffer brief
 

ステップ 9 トラフィックを再起動してから、約 10 秒待機し、次の手順を実行します。

Switch# show monitor capture mycap buffer brief
0.000000 10.1.1.2 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
1.000000 10.1.1.3 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2.000000 10.1.1.4 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3.000000 10.1.1.5 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4.000000 10.1.1.6 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5.000000 10.1.1.7 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6.000000 10.1.1.8 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7.000000 10.1.1.9 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8.000000 10.1.1.10 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9.000000 10.1.1.11 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
10.000000 10.1.1.12 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 

ステップ 10 内部「bootflash:」ストレージ デバイスにあるファイル mycap1.pcap に、バッファ内のパケットを保存します。

Switch# monitor capture mycap export bootflash:mycap1.pcap
Exported Successfully
 

ステップ 11 ファイルが作成され、パケットがあることを確認します。

Switch# dir bootflash:mycap1.pcap
Directory of bootflash:/mycap1.pcap
 
14758 -rw- 20152 Apr 15 2012 16:00:28 -07:00 mycap1.pcap
 
831541248 bytes total (831340544 bytes free)
Switch# show monitor capture file bootflash:mycap1.pcap brief
1 0.000000 10.1.1.2 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2 1.000000 10.1.1.3 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3 2.000000 10.1.1.4 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4 3.000000 10.1.1.5 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5 4.000000 10.1.1.6 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6 5.000000 10.1.1.7 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7 6.000000 10.1.1.8 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8 7.000000 10.1.1.9 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9 8.000000 10.1.1.10 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
10 9.000000 10.1.1.11 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
11 10.000000 10.1.1.12 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
12 11.000000 10.1.1.13 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
13 12.000000 10.1.1.14 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
14 13.000000 10.1.1.15 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
15 14.000000 10.1.1.16 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
16 15.000000 10.1.1.17 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 

ステップ 12 パケット キャプチャを停止し、バッファの内容を表示します。

Switch# monitor capture mycap stop
Switch# show monitor capture mycap buffer brief
0.000000 10.1.1.2 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
1.000000 10.1.1.3 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2.000000 10.1.1.4 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3.000000 10.1.1.5 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4.000000 10.1.1.6 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5.000000 10.1.1.7 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6.000000 10.1.1.8 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7.000000 10.1.1.9 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8.000000 10.1.1.10 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9.000000 10.1.1.11 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
10.000000 10.1.1.12 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
11.000000 10.1.1.13 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 

ステップ 13 バッファをクリアし、バッファからのパケットを表示します

Switch# monitor capture mycap clear
Switch# show monitor capture mycap buffer brief
 

ステップ 14 キャプチャ ポイントを削除します。

Switch# no monitor capture mycap


 

例 4:キャプチャ セッション

次の例に、さまざまなモードでのキャプチャ セッションの開始と停止の例を示します。

Switch# monitor capture mycap int gi 3/1 in match ipv4 any any
Switch# monitor capture mycap file location bootflash:mycap.pcap
Switch# monitor capture mycap limit packets 100 duration 60
 
Switch# monitor capture mycap start
Switch#
Switch# monitor capture mycap stop
Switch# monitor capture mycap start capture-filter "udp.port == 20001"
Switch# monitor capture mycap stop
Switch# monitor capture mycap start capture-filter "udp.port == 20001" display
A file by the same capture file name already exists, overwrite?[confirm]
 
0.000000 10.1.1.9 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.10 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.11 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.12 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.13 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.14 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.15 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.16 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.17 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.18 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.19 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.20 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.21 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.22 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.23 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.24 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.25 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.26 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.27 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.28 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.29 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.30 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 
Switch# monitor capture mycap start capture-filter "udp.port == 20001" display display-filter "udp.port == 20002"
%Display-filter cannot be specified when capture is associated to a file. Ignoring display filter%
A file by the same capture file name already exists, overwrite?[confirm]
 
0.000000 10.1.1.96 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.97 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.98 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.99 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.100 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.101 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.102 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.103 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.104 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.105 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.106 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.107 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.108 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0.000000 10.1.1.109 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 
Switch# monitor capture mycap start capture-filter "udp.port == 20001" display display-filter "udp.port == 20002" detailed
%Display-filter cannot be specified when capture is associated to a file. Ignoring display filter%
A file by the same capture file name already exists, overwrite?[confirm]
 
Frame 1: 256 bytes on wire (2048 bits), 256 bytes captured (2048 bits)
Arrival Time: Dec 31, 1969 17:00:00.000000000 PDT
Epoch Time: 0.000000000 seconds
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 256 bytes (2048 bits)
Capture Length: 256 bytes (2048 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ip:udp:data]
Ethernet II, Src: 00:00:00:00:03:01 (00:00:00:00:03:01), Dst: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
Destination: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
Address: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Source: 00:00:00:00:03:01 (00:00:00:00:03:01)
Address: 00:00:00:00:03:01 (00:00:00:00:03:01)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
 
Switch# monitor capture mycap start capture-filter "udp.port == 20001" display dump
A file by the same capture file name already exists, overwrite?[confirm]
 
0.000000 10.1.1.6 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 
0000 54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00 Tu.:.?........E.
0010 00 ee 00 00 00 00 40 11 59 f6 0a 01 01 06 14 01 ......@.Y.......
0020 01 02 4e 21 4e 22 00 da 6e b1 00 01 02 03 04 05 ..N!N"..n.......
0030 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 ................
0040 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 .......... !"#$%
0050 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 &'()*+,-./012345
0060 36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45 6789:;<=>?@ABCDE
0070 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 FGHIJKLMNOPQRSTU
0080 56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65 VWXYZ[\]^_`abcde
0090 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 fghijklmnopqrstu
00a0 76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85 vwxyz{|}~.......
00b0 86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95 ................
00c0 96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5 ................
00d0 a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5 ................
00e0 b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5 ................
00f0 c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 ac 69 6e fd .............in.
 
0.000000 10.1.1.7 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 
Switch# monitor capture mycap start display display-filter "udp.port == 20002"
%Display-filter cannot be specified when capture is associated to a file. Ignoring display filter%
A file by the same capture file name already exists, overwrite?[confirm]
 
0.000000 10.1.1.41 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
1.000000 10.1.1.42 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2.000000 10.1.1.43 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3.000000 10.1.1.44 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4.000000 10.1.1.45 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5.000000 10.1.1.46 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5.998993 10.1.1.47 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6.998993 10.1.1.48 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7.998993 10.1.1.49 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8.998993 10.1.1.50 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9.998993 10.1.1.51 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
10.998993 10.1.1.52 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 
Switch# monitor capture mycap start display display-filter "udp.port == 20002" dump
%Display-filter cannot be specified when capture is associated to a file. Ignoring display filter%
A file by the same capture file name already exists, overwrite?[confirm]
 
0.000000 10.1.1.117 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 
0000 54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00 Tu.:.?........E.
0010 00 ee 00 00 00 00 40 11 59 87 0a 01 01 75 14 01 ......@.Y....u..
0020 01 02 4e 21 4e 22 00 da 6e 42 00 01 02 03 04 05 ..N!N"..nB......
0030 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 ................
0040 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 .......... !"#$%
0050 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 &'()*+,-./012345
0060 36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45 6789:;<=>?@ABCDE
0070 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 FGHIJKLMNOPQRSTU
0080 56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65 VWXYZ[\]^_`abcde
0090 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 fghijklmnopqrstu
00a0 76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85 vwxyz{|}~.......
00b0 86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95 ................
00c0 96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5 ................
00d0 a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5 ................
00e0 b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5 ................
00f0 c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 41 0c b4 5d ............A..]
 
1.000000 10.1.1.118 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 
 
Switch# no monitor capture mycap file
 
Switch# monitor capture mycap start display display-filter "udp.port == 20002" dump
 
0.000000 10.1.1.160 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 
0000 54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00 Tu.:.?........E.
0010 00 ee 00 00 00 00 40 11 59 5c 0a 01 01 a0 14 01 ......@.Y\......
0020 01 02 4e 21 4e 22 00 da 6e 17 00 01 02 03 04 05 ..N!N"..n.......
0030 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 ................
0040 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 .......... !"#$%
0050 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 &'()*+,-./012345
0060 36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45 6789:;<=>?@ABCDE
0070 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 FGHIJKLMNOPQRSTU
0080 56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65 VWXYZ[\]^_`abcde
0090 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 fghijklmnopqrstu
00a0 76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85 vwxyz{|}~.......
00b0 86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95 ................
00c0 96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5 ................
00d0 a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5 ................
00e0 b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5 ................
00f0 c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 9f 20 8a e5 ............. ..
 
1.000000 10.1.1.161 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 
Switch# monitor capture mycap start display display-filter "udp.port == 20002"
 
0.000000 10.1.1.173 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
1.000000 10.1.1.174 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2.000000 10.1.1.175 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3.000000 10.1.1.176 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4.000000 10.1.1.177 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5.000000 10.1.1.178 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6.000000 10.1.1.179 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7.000000 10.1.1.180 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8.000000 10.1.1.181 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9.000000 10.1.1.182 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
10.000000 10.1.1.183 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
11.000000 10.1.1.184 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
12.000000 10.1.1.185 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
 
Switch# monitor capture mycap start display detailed
 
Frame 1: 256 bytes on wire (2048 bits), 256 bytes captured (2048 bits)
Arrival Time: Apr 12, 2012 11:46:54.245974000 PDT
Epoch Time: 1334256414.245974000 seconds
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 256 bytes (2048 bits)
Capture Length: 256 bytes (2048 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ip:udp:data]
Ethernet II, Src: 00:00:00:00:03:01 (00:00:00:00:03:01), Dst: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
Destination: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
Address: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Source: 00:00:00:00:03:01 (00:00:00:00:03:01)
Address: 00:00:00:00:03:01 (00:00:00:00:03:01)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
 
Switch#