Cisco IOS ソフトウェア コンフィギュレーション ガイド リリース12.2(33)SXH以降
ミニ プロトコル アナライザの使用
ミニ プロトコル アナライザの使用
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

ミニ プロトコル アナライザの使用

ミニ プロトコル アナライザの機能概要

ミニ プロトコル アナライザの設定

キャプチャ対象パケットのフィルタリング

キャプチャの開始および停止

キャプチャ バッファの表示およびエクスポート

ミニ プロトコル アナライザの設定、操作、および表示の例

一般的な設定例

フィルタリングの設定例

操作例

表示例

設定の表示

キャプチャ セッション ステータスの表示

キャプチャ バッファの内容の表示

ミニ プロトコル アナライザの使用

この章では、Catalyst 6500 シリーズ スイッチ上で ミニ プロトコル アナライザを使用する方法について説明します。ミニ プロトコル アナライザ機能は Release12.2(33)SXI 以降のリリースでサポートされます。


) この章で使用しているコマンドの構文および使用方法の詳細については、次の URL の『Cisco IOS Master Command List, Release 12.2SX』を参照してください。

http://www.cisco.com/en/US/docs/ios/mcl/122sxmcl/12_2sx_mcl_book.html


 

この章で説明する内容は、次のとおりです。

「ミニ プロトコル アナライザの機能概要」

「ミニ プロトコル アナライザの設定」

「キャプチャの開始および停止」

「キャプチャ バッファの表示およびエクスポート」

「ミニ プロトコル アナライザの設定、操作、および表示の例」

ミニ プロトコル アナライザの機能概要

ミニ プロトコル アナライザは SPAN セッションからネットワーク トラフィックをキャプチャし、キャプチャしたパケットをローカル メモリ バッファに保存します。提供されているフィルタリング オプションを使用することで、キャプチャするパケットを次のパケットに制限できます。

選択した Virtual LAN(VLAN; 仮想 LAN)、Access Control List(ACL; アクセス コントロール リスト)、または Media Access Control(MAC; メディア アクセス制御)アドレスからのパケット

特定の EtherType のパケット

特定のパケット サイズのパケット

即時コマンドを入力してキャプチャを開始、終了したり、キャプチャをスケジューリングして特定の日時にキャプチャを開始できます。

キャプチャしたデータは、コンソールに表示したり、ローカル ファイル システムに保存したり、または標準的なファイル転送プロトコルを使用して外部サーバへエクスポートしたりできます。キャプチャしたファイルの形式は libpcap です。この形式は、多くのパケット分析プログラムおよびスニッファ プログラムによってサポートされています。このファイル形式の詳細については、次の URL を参照してください。

http://www.tcpdump.org/

デフォルトでは、各パケットの最初の 68 バイトだけがキャプチャされます。

ミニ プロトコル アナライザの設定

ミニ プロトコル アナライザを使用してキャプチャ セッションを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Router(config)# [ no ] monitor session number type capture

キャプチャ用としてプロセッサに転送されるパケットを使用して SPAN セッション番号を設定します。キャプチャ セッションのコンフィギュレーション モードを開始します。セッション番号の範囲は 1 ~ 80 です。

プレフィクスの no を使用するとセッションが削除されます。

ステップ 3

Router(config-mon-capture)# buffer-size buf_size

(任意)キャプチャ バッファのサイズを KB 単位で設定します。指定できる範囲は 32 ~ 65535 KB です。デフォルトは 2048 KB です。

ステップ 4

Router(config-mon-capture)# description session_description

(任意)キャプチャ セッションの説明を入力します。説明は最大 240 文字まで入力できますが、特殊文字は入力できません。説明にスペースを含める場合、引用符("")で囲む必要があります。

ステップ 5

Router(config-mon-capture)# rate-limit pps

(任意)1 秒間にキャプチャできるパケット数( pps )の上限を設定します。指定できる範囲は 10 ~ 100000 パケットで、デフォルトは 1 秒あたり 10000 パケットです。

ステップ 6

Router(config-mon-capture)# source {{ interface { single_interface | interface_list | interface_range | mixed_interface_list } | port-channel channel_id }} | { vlan { vlan_ID | vlan_list | vlan_range | mixed_vlan_list }}[ rx | tx | both ]

キャプチャ セッションと送信元ポートまたは VLAN を対応付けて、モニタするトラフィックの方向を選択します。デフォルトは双方向です。

ステップ 7

Router(config-mon-capture)# exit

キャプチャ セッションのコンフィギュレーション モードを終了します。

キャプチャ セッションを設定する場合、次の情報に注意してください。

一度に設定できるキャプチャ セッションは 1 つだけです。同時キャプチャ セッションは複数設定できません。

source interface コマンド引数は、単一のインターフェイス、2 つのインターフェイス番号(小さい番号が先、ダッシュで区切る)で指定するインターフェイスの範囲、またはインターフェイスと範囲をカンマで区切ったリストのいずれかです。


) 送信元インターフェイスのリストを設定する場合、カンマの前後にスペースを入れる必要があります。送信元インターフェイスの範囲を設定する場合、ダッシュの前後にスペースを入れる必要があります。


source vlan コマンド引数は、1 ~ 4094 の範囲の単一の VLAN 番号(予約済み VLAN を除く)、2 つの VLAN 番号(小さい番号が先、ダッシュで区切る)で指定する VLAN の範囲、または VLAN と範囲のリストのいずれかです。


) 送信元 VLAN のリストを設定する場合、カンマの前後にスペースを入れないでください。送信元 VLAN の範囲を設定する場合、ダッシュの前後にスペースを入れないでください。この要件は、送信元インターフェイスのリストと範囲を指定する場合の要件とは異なることに注意してください。


キャプチャ セッションの設定時は、データのキャプチャは開始されません。「キャプチャの開始および停止」に示すとおり、キャプチャは monitor capture start コマンドまたは monitor capture schedule コマンドによって開始されます。

キャプチャ バッファは、デフォルトでは linear ですが、 monitor capture start コマンドまたは monitor capture schedule コマンドのランタイム オプションとして circular に設定できます。

使用可能なハードウェア レート制限レジスタがない場合、キャプチャ セッションはディセーブルになります。

VLAN フィルタが設定されている場合、送信元 VLAN は変更できません。VLAN フィルタを削除してから、送信元 VLAN を変更してください。

キャプチャ対象パケットのフィルタリング

キャプチャ対象パケットのフィルタリング用にいくつかのオプションが提供されています。レート制限が適用される前に、ハードウェアでは ACL および VLAN によるフィルタリングが実行され、ソフトウェアではその他すべてのフィルタが実行されます。ソフトウェアのフィルタリングを実行すると、キャプチャ レートが下がる可能性があります。

ミニ プロトコル アナライザのキャプチャ対象パケットをフィルタリングするには、この作業をキャプチャ セッションのコンフィギュレーション モードで行います。

 

コマンド
目的

ステップ 1

Router(config-mon-capture)# filter access-group { acl_number | acl_name }

(任意)指定した ACL からのパケットだけをキャプチャします。

ステップ 2

Router(config-mon-capture)# filter vlan { vlan_ID | vlan_list | vlan_range | mixed_vlan_list }

(任意)指定した送信元 VLAN(1 つまたは複数)からのパケットをキャプチャします。

ステップ 3

Router(config-mon-capture)# filter ethertype type

(任意)指定した EtherType のパケットだけをキャプチャします。 type は、10 進数、16 進数、または 8 進数で指定できます。

ステップ 4

Router(config-mon-capture)# filter length min_len [ max_len ]

(任意)サイズが min_len max_len (両方の値を含む)の範囲のパケットだけをキャプチャします。 max_len が指定されていない場合は、サイズが min_len のパケットだけがキャプチャされます。 min_len の範囲は 0 ~ 9216 バイト、 max_len の範囲は 1 ~ 9216 バイトです。

ステップ 5

Router(config-mon-capture)# filter mac-address mac_addr

(任意)指定した MAC アドレスからのパケットだけをキャプチャします。

ステップ 6

Router(config-mon-capture)# end

コンフィギュレーション モードを終了します。

キャプチャに関するフィルタリングを設定する場合は、次の点に注意してください。

filter vlan 引数は、1 ~ 4094 の範囲の単一の VLAN 番号(予約済み VLAN を除く)、2 つの VLAN 番号(小さい番号が先、ダッシュで区切る)で指定する VLAN 範囲、または VLAN と範囲のリストのいずれかです。


) フィルタリング用 VLAN リストを設定する場合、カンマの前後にスペースを入れる必要があります。フィルタリング用 VLAN の範囲を設定する場合、ダッシュの前後にスペースを入れる必要があります。この要件は、前述した送信元の VLAN リストと範囲を指定する場合の要件とは異なることに注意してください。


EtherType を 10 進数値として入力するには、先頭にゼロの付かない値(1 ~ 65535)を入力します。16 進数値を入力するには、4 文字の 16 進数の前にプレフィクスの 0x を入力します。8 進数値を入力するには、先頭にゼロを付けた数値(0 ~ 7)を入力します。たとえば、802.1Q EtherType を入力する場合、10 進数値では 33024、16 進数値では 0x8100、8 進数値では 0100400 となります。

MAC アドレスは、ドット付き 16 進表記の 3 つの 2 バイト値で入力します。例:0123.4567.89ab

no キーワードを使用するとフィルタが削除されます。


no キーワードを使用して VLAN フィルタを削除した後は、コンフィギュレーション モードを終了してから、キャプチャ コンフィギュレーション モードを再開する必要があります。次に、source vlan コマンドを実行して、その他のキャプチャ設定を変更します。


VLAN フィルタの設定時は、キャプチャの送信元または宛先は VLAN であることが必要です。ポート フィルタの設定時は、キャプチャの送信元または宛先はポートであることが必要です。

キャプチャの開始および停止

キャプチャを開始および停止するコマンドは、コンフィギュレーション設定として保存されていません。これらのコマンドは、コンソールから EXEC モードで実行されます。キャプチャをすぐに開始することも、キャプチャを開始する将来の日時を設定することもできます。次のいずれかの状況が発生すると、キャプチャが終了します。

コンソールから、停止コマンドまたはクリア コマンドが入力された。

キャプチャ バッファがいっぱいになった(循環バッファとして設定されていない場合)。

オプションで指定した秒数が経過した。

オプションで指定したパケット数がキャプチャされた。

キャプチャが停止すると、SPAN セッションが終了し、キャプチャ セッションのパケットはこれ以上プロセッサに転送されなくなります。

パケットのキャプチャを開始するときに、一部のコンフィギュレーション設定を上書きするかどうかを選択できます。

キャプチャを開始、停止、またはキャンセルするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# monitor capture [ buffer size buf_size ][ length cap_len ][ linear | circular ][ filter acl_number | acl_name ] { start [ for count ( packets | seconds }] | schedule at time date }

オプションのランタイム設定を変更してキャプチャを開始します。キャプチャはただちに開始することも、指定した日時に開始することもできます。

buffer size オプションでは、設定済みまたはデフォルトのキャプチャ バッファ サイズを上書きします。

length オプションでは、各パケットからキャプチャするバイト数を決定します。 cap_len に指定できる範囲は、0 ~ 9216 バイトで、デフォルトは 68 バイトです。値 に 0 を指定すると、パケット全体がキャプチャされます。

circular オプションは、キャプチャ バッファがいっぱいになった時点で、先のエントリを上書きするよう指定します。 linear オプションは、キャプチャ バッファがいっぱいになった時点でキャプチャを停止するよう指定します。デフォルトは linear です。

filter オプションにより、指定された ACL が適用されます。

for オプションでは、秒単位で指定した時間が経過するか、または指定した数のパケットがキャプチャされた後、キャプチャを停止するよう指定します。

ステップ 2

Router# monitor capture stop

キャプチャを停止します。

ステップ 3

Router# monitor capture clear [ filter ]

すべてのランタイム コンフィギュレーション設定、すべての保留中のスケジュールされたキャプチャ、およびキャプチャ バッファをクリアします。 filter オプションを指定すると、ランタイム フィルタ設定だけがクリアされます。

上記のコマンドを使用する際は、次の点に注意してください。

time および date の形式は、hh:mm:ss dd mmm yyyy です。時間は 24 時間表記で指定し、月は 3 文字の略語で指定します。たとえば、キャプチャの開始時刻を 2006 年 10 月 31 日の午後 7 時半に設定するには、19:30:00 31 oct 2006 と指定します。時間帯は、Greenwich Mean Time(GMT; グリニッジ標準時)で指定します。

開始コマンドでキャプチャ フィルタの ACL を使用する場合、設定済みの ACL が新しい ACL によって上書きされることはありません。新しい ACL はソフトウェアで実行されます。

キャプチャ バッファの表示およびエクスポート

キャプチャされたパケットまたはキャプチャ セッションに関する情報を表示したり、キャプチャされたパケットを分析用にエクスポートするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# show monitor capture

キャプチャ セッションの設定を表示します。

ステップ 2

Router# show monitor capture status

キャプチャ セッションのステート、モード、パケットの統計情報を表示します。

ステップ 3

Router# show monitor capture buffer [ start [ end ]]
[ detail ][ dump [ nowrap [ dump_length ]]
[ acl acl_number | acl_name ]]

キャプチャ バッファの内容を表示します。

start パラメータおよび end パラメータでは、キャプチャ バッファ内のパケット番号インデックスを指定します。 start インデックスが指定され、 end インデックスが指定されていない場合、 start インデックスの 1 つのパケットだけが表示されます。 start および end インデックスが共に指定されている場合、この 2 つのインデックス間にあるすべてのパケットが表示されます。範囲は 1 ~ 4294967295 です。

detail オプションでは、各パケットについて、拡張およびフォーマットされたプロトコルとエンベロープ情報(パケットの到着時刻など)が追加されます。

dump オプションは、パケットの内容を 16 進数で表示します。 nowrap dump_length と共に指定されている場合、パケットの内容を示す dump_length 文字の 16 進数が各パケットについて 1 行で表示されます。 dump_length が指定されていない場合、72 文字の行が 1 行表示されます。 dump_length の範囲は 14 ~ 256 です。

acl オプションにより、指定した ACL に一致するパケットだけが表示されます。

ステップ 4

Router# show monitor capture buffer [ start [ end ]] brief [ acl acl_number | acl_name ]

パケットのヘッダ情報だけを表示します。

ステップ 5

Router# monitor capture export buffer url

指定したファイル システムまたはファイル転送メカニズムにキャプチャ バッファの内容をコピーします。

ミニ プロトコル アナライザの設定、操作、および表示の例

ここでは、ミニ プロトコル アナライザの設定、キャプチャ セッションの開始と停止、およびキャプチャ セッションの結果表示の例をそれぞれ示します。

一般的な設定例

次に、ミニ プロトコル アナライザの最小限の設定を行う例を示します。

Router#
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# monitor session 1 type capture
Router(config-mon-capture)# end
 
Router# show mon cap
Capture instance [1] :
======================
Capture Session ID : 1
Session status : up
rate-limit value : 10000
redirect index : 0x807
buffer-size : 2097152
capture state : OFF
capture mode : Linear
capture length : 68
 
Router#
 

次に、バッファ サイズ、セッションの説明、およびレート制限を設定する例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# monitor session 1 type capture
Router(config-mon-capture)# buffer-size 4096
Router(config-mon-capture)# description “Capture from ports, no filtering.”
Router(config-mon-capture)# rate-limit 20000
Router(config-mon-capture)# end
Router#
Router# show monitor capture
Capture instance [1] :
======================
Capture Session ID : 1
Session status : up
rate-limit value : 20000
redirect index : 0x807
buffer-size : 4194304
capture state : OFF
capture mode : Linear
capture length : 68
 
Router#
 

次に、送信元をポートの混合リストとして設定する例を示します。

Router(config-mon-capture)# source interface gig 3/1 - 3 , gig 3/5
 

次に、送信元を VLAN の混合リストとして設定する例を示します。

Router(config-mon-capture)# source vlan 123,234-245
 

フィルタリングの設定例

次に、次の属性を持つパケットをキャプチャするよう設定する例を示します。

パケットは 123 または 234 ~ 245 の VLAN に属する

パケットは 802.1Q EtherType(16 進数値 0x8100、10 進数値 33024)である

パケット サイズは 8192 バイトである

送信元 MAC アドレスは 01:23:45:67:89:ab である

パケットは ACL 番号 99 に準拠する

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# monitor session 1 type capture
Router(config-mon-capture)# source vlan 123,234-245

Router(config-mon-capture)# filter ethertype 0x8100

Router(config-mon-capture)# filter length 8192
Router(config-mon-capture)# filter mac-address 0123.4567.89ab
Router(config-mon-capture)# filter access-group 99
Router(config-mon-capture)# end
 
Router# show monitor capture
Capture instance [1] :
======================
Capture Session ID : 1
Session status : up
rate-limit value : 20000
redirect index : 0x7E07
Capture vlan : 1019
buffer-size : 4194304
capture state : OFF
capture mode : Linear
capture length : 68
Sw Filters :
ethertype : 33024
src mac : 0123.4567.89ab
Hw acl : 99
 
Router# show monitor session 1
Session 1
---------
Type : Capture Session
Description : capture from ports
Source VLANs :
Both : 123,234-245
Capture buffer size : 4096 KB
Capture rate-limit
value : 20000
Capture filters :
ethertype : 33024
src mac : 0123.4567.89ab
acl : 99
 
Egress SPAN Replication State:
Operational mode : Centralized
Configured mode : Distributed (default)
 
Router#
 

次に、サイズが 128 バイト未満のパケットをキャプチャする例を示します。

Router(config-mon-capture)# filter length 0 128

 

次に、サイズが 256 バイトを超えるパケットをキャプチャする例を示します。

Router(config-mon-capture)# filter length 256 9216

 

操作例

次に、キャプチャを開始および停止する例を示します。

Router# monitor capture start
Router# monitor capture stop
Router#
 

次に、キャプチャを開始して 60 秒後に停止する例を示します。

Router# monitor capture start for 60 seconds
Router#
 

次に、キャプチャを将来のある日時に開始する例を示します。

Router# monitor capture schedule at 11:22:33 30 jun 2008
capture will start at : <11:22:33 UTC Mon Jun 30 2008> after 32465825 secs
Router#
 

次に、バッファ サイズの上書きと循環バッファへの変更を行うオプションを指定して、キャプチャを開始する例を示します。

Router# monitor capture buffer size 65535 circular start
Router#
 

次に、キャプチャ バッファを外部サーバとローカル ディスクにエクスポートする例を示します。

Router# monitor capture export buffer tftp://server/user/capture_file.cap
Router# monitor capture export buffer disk1:capture_file.cap
 

表示例

次に、設定情報、セッション ステータス、およびキャプチャ バッファの内容を表示する例を示します。

設定の表示

キャプチャ セッションの設定を表示するには、 show monitor capture コマンドを入力します。

Router# show monitor capture
Capture instance [1] :
======================
Capture Session ID : 1
Session status : up
rate-limit value : 10000
redirect index : 0x807
buffer-size : 2097152
capture state : OFF
capture mode : Linear
capture length : 68

 

次に、 show monitor session n コマンドを使用して詳細を表示する例を示します。

Router# show monitor session 1
Session 1
---------
Type : Capture Session
Source Ports :
Both : Gi3/1-3,Gi3/5
Capture buffer size : 32 KB
Capture filters : None
 
Egress SPAN Replication State:
Operational mode : Centralized
Configured mode : Distributed (default)

 

次に、 show monitor session n detail コマンドを使用して、詳細を完全に表示する例を示します。

Router# show monitor session 1 detail
Session 1
---------
Type : Capture Session
Description : -
Source Ports :
RX Only : None
TX Only : None
Both : Gi3/1-3,Gi3/5
Source VLANs :
RX Only : None
TX Only : None
Both : None
Source RSPAN VLAN : None
Destination Ports : None
Filter VLANs : None
Dest RSPAN VLAN : None
Source IP Address : None
Source IP VRF : None
Source ERSPAN ID : None
Destination IP Address : None
Destination IP VRF : None
Destination ERSPAN ID : None
Origin IP Address : None
IP QOS PREC : 0
IP TTL : 255
Capture dst_cpu_id : 1
Capture vlan : 0
Capture buffer size : 32 KB
Capture rate-limit
value : 10000
Capture filters : None
 
Egress SPAN Replication State:
Operational mode : Centralized
Configured mode : Distributed (default)

キャプチャ セッション ステータスの表示

キャプチャ セッション ステータスを表示するには、 show monitor capture status コマンドを入力します。

Router# show monitor capture status
capture state : ON
capture mode : Linear
Number of packets
received : 253
dropped : 0
captured : 90
 

キャプチャ バッファの内容の表示

キャプチャ セッションの内容を表示するには、 show monitor capture buffer コマンドを入力します。次に、このコマンドのいくつかのオプションを使用した場合の表示例を示します。

Router# show monitor capture buffer
1 IP: s=10.12.0.5 , d=224.0.0.10, len 60
2 346 0180.c200.000e 0012.44d8.5000 88CC 020707526F7
3 60 0180.c200.0000 0004.c099.06c5 0026 42420300000
4 60 ffff.ffff.ffff 0012.44d8.5000 0806 00010800060
5 IP: s=7.0.84.23 , d=224.0.0.5, len 116
6 IP: s=10.12.0.1 , d=224.0.0.10, len 60
 
 
Router# show monitor capture buffer detail
1 Arrival time : 09:44:30 UTC Fri Nov 17 2006
Packet Length : 74 , Capture Length : 68
Ethernet II : 0100.5e00.000a 0008.a4c8.c038 0800
IP: s=10.12.0.5 , d=224.0.0.10, len 60, proto=88
2 Arrival time : 09:44:31 UTC Fri Nov 17 2006
Packet Length : 346 , Capture Length : 68
346 0180.c200.000e 0012.44d8.5000 88CC 020707526F757463031
 
 
Router# show monitor capture buffer dump
1 IP: s=10.12.0.5 , d=224.0.0.10, len 60
08063810: 0100 5E00000A ..^...
08063820: 0008A4C8 C0380800 45C0003C 00000000 ..$H@8..E@.<....
08063830: 0258CD8F 0A0C0005 E000000A 0205EE6A .XM.....`.....nj
08063840: 00000000 00000000 00000000 00000064 ...............d
08063850: 0001000C 01000100 0000000F 0004 ..............
2 346 0180.c200.000e 0012.44d8.5000 88CC 020707526F757465720415
3 60 0180.c200.0000 0004.c099.06c5 0026 4242030000000000800000
4 60 ffff.ffff.ffff 0012.44d8.5000 0806 0001080006040001001244
5 IP: s=7.0.84.23 , d=224.0.0.5, len 116
0806FCB0: 0100 5E000005 ..^...
0806FCC0: 0015C7D7 AC000800 45C00074 00000000 ..GW,...E@.t....
0806FCD0: 01597D55 07005417 E0000005 0201002C .Y}U..T.`......,
0806FCE0: 04040404 00000000 00000002 00000010 ................
0806FCF0: 455D8A10 FFFF0000 000A1201 0000 E]............
 
 
Router# show monitor capture buffer dump nowrap
1 74 0100.5e00.000a 0008.a4c8.c038 0800 45C0003C000000
2 346 0180.c200.000e 0012.44d8.5000 88CC 020707526F7574
3 60 0180.c200.0000 0004.c099.06c5 0026 42420300000000
4 60 ffff.ffff.ffff 0012.44d8.5000 0806 00010800060400