Коммутаторы : Коммутаторы Cisco Nexus серии 7000

Ethanalyzer на руководстве по поиску и устранению проблем Nexus 7000

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (7 ноября 2015) | Отзыв

Содержание

Связанные обсуждения сообщества поддержки Cisco

Введение

Этот документ описывает Ethanalyzer, Cisco NX-OS интегрировал программное средство захвата пакета для управляющих пакетов, основанных на Wireshark.

Wireshark является открытым исходным кодом, сетевой протокол анализатор, широко используемый по многим отраслям и образовательным учреждениям. Это декодирует пакеты, перехваченные libpcap, библиотекой захвата пакета. Cisco NX-OS выполняется поверх Ядра Linux, которое пользуется libpcap библиотекой для поддержки захвата пакета.

С Ethanalyzer вы можете:

  • Пакеты перехвата, переданные или полученные Супервизором.
  • Определите номер пакетов, которые будут перехвачены.
  • Заставьте длину пакетов быть перехваченной.
  • Пакеты показа с информацией об итоговом или подробном протоколе.
  • Откройте и сохраните перехваченные данные пакета.
  • Пакеты фильтра перехвачены на многих критериях.
  • Пакеты фильтра, которые будут отображены на многих критериях.
  • Декодируйте внутренние 7000 заголовков управляющего пакета.

Ethanalyzer не может:

  • Предупредите вас, когда сеть испытает проблемы. Однако Ethanalyzer мог бы помочь вам определять причину проблемы.
  • Перехватите трафик плоскости данных, который передан в аппаратных средствах.
  • Поддержите интерфейсно-специфичный перехват.

Внесенный Джейн Гао, вирусным Bhutta, и Rahul Parameswaran, специалистами службы технической поддержки Cisco.

Выходные параметры

Это - итоговое представление выходных данных от ethanalyzer local interface внутриполосная команда.'?' опция отображает справку.

116136-trouble-ethanalyzer-nexus7000-01.png

Используйте 'подробную' опцию для получения информации о подробном протоколе.

116136-trouble-ethanalyzer-nexus7000-02.png

Параметры фильтрации

фильтр перехвата

Используйте опцию 'фильтра перехвата' для выбора который пакеты отобразить или сохранить на диск во время перехвата. Фильтр перехвата поддерживает высокую скорость перехвата, в то время как это фильтрует. Поскольку полное рассечение не было сделано на пакетах, поля фильтра предопределены и ограничены.

фильтр дисплейного отображения

Используйте опцию 'фильтра дисплейного отображения' для изменения представления перехвата файла (файл tmp). Фильтр дисплейного отображения использует полностью разделенные пакеты, таким образом, можно сделать очень сложное и усовершенствованное фильтрование при анализе сетевого файла трассировки. Однако файл tmp может заполниться быстро, так как он сначала перехватывает все пакеты и затем отображает только необходимые пакеты.

В данном примере 'limit-captured-frames' установлен в 5. С опцией 'фильтра перехвата' Ethanalyzer показывает вам пять пакетов, которые совпадают, фильтр 'размещают 10.10.10.2'. С опцией 'фильтра дисплейного отображения' Ethanalyzer сначала перехватывает пять пакетов, тогда отображает только пакеты, которые совпадают с фильтром 'ip.addr == 10.10.10.2'.

116136-trouble-ethanalyzer-nexus7000-03.png

Опции Write

write

Опция 'записи' позволяет вам писать данные перехвата в файл в одном из устройств хранения (таких как boothflash или logflash) на коммутаторе Cisco Nexus серии 7000 для последующего анализа. Размер перехвата файла ограничен 10 МБ.

Команда Ethanalyzer в качестве примера с опцией 'записи' является ethanalyzer local interface внутриполосная запись bootflash:capture_file_name. Пример опции 'записи' с 'фильтром перехвата' и названием выходного файла 'первого перехвата':

116136-trouble-ethanalyzer-nexus7000-04.png

Когда данные перехвата сохранены в файл, захваченные пакеты, по умолчанию, не отображены в окне терминала. Опция 'показа' вынуждает Cisco NX-OS отобразить пакеты, в то время как это сохраняет данные перехвата в файл.

кольцевой буфер перехвата

'Кольцевая буферная перехватом' опция создает множественные файлы после заданного номера секунд, заданного номера файлов или указанного размера файла. Определения тех опций находятся в этом снимке экрана:

116136-trouble-ethanalyzer-nexus7000-05.png

Считайте опции

Опция 'чтения' позволяет вам читать сохраненный файл на самом устройстве.

116136-trouble-ethanalyzer-nexus7000-06.png

Можно также передать файл серверу или ПК и считать его с Wireshark или любым другим приложением, которое может считать колпачок или pcap файлы.

116136-trouble-ethanalyzer-nexus7000-07.png

116136-trouble-ethanalyzer-nexus7000-08.png

декодируйте - внутренний с Подробной Опцией

'Декодируют - внутренняя' внутренняя информация отчётов об опции о том, как Nexus 7000 передает пакет. Эта информация помогает вам понимать и устранять неполадки потока пакетов через ЦПУ.

116136-trouble-ethanalyzer-nexus7000-09.png


Преобразуйте индекс NX-OS в шестнадцатеричный, затем используйте show system внутренняя pixm информация ltl x команда для сопоставления индекса логики локальной цели (LTL) с медосмотром или логическим интерфейсом.

Примеры Значений фильтра перехвата

Трафик перехвата к или от IP Host

host 1.1.1.1

Трафик перехвата к или из диапазона IP-адресов

net 172.16.7.0/24
net 172.16.7.0 mask 255.255.255.0

Трафик перехвата из диапазона IP-адресов

src net 172.16.7.0/24
src net 172.16.7.0 mask 255.255.255.0

Трафик перехвата к диапазону IP-адресов

dst net 172.16.7.0/24
dst net 172.16.7.0 mask 255.255.255.0

Трафик перехвата только на определенном, некоторый протоколе - перехватывает только трафик DNS

DNS является Протоколом Системы доменных имен.

port 53

Трафик перехвата только на определенном, некоторый протоколе - перехватывает только трафик DHCP

DHCP является протоколом динамической конфигурации хоста.

port 67 or port 68

Трафик перехвата не на определенном, некоторый протоколе - исключает трафик HTTP или трафик SMTP

SMTP является Простой протокол передачи почты.

host 172.16.7.3 and not port 80 and not port 25

Трафик перехвата не на определенном, некоторый протоколе - исключает трафик DNS и ARP

ARP является протоколом разрешения адресов.

port not 53 and not arp

Перехватите Только IP - трафик - Исключают Протоколы нижнего уровня как ARP и STP

STP является Протокол STP.

ip

Перехватите только трафик с конкретным адресом - исключают объявления широковещания и групповой адресации

not broadcast and not multicast

Трафик перехвата в диапазоне портов Уровня 4

tcp portrange 1501-1549

Трафик перехвата На основе Типа ethernet - Трафик EAPOL Перехвата

EAPOL является Расширяемый протокол аутентификации по LAN.

ether proto 0x888e

Обходной путь перехвата IPv6

ether proto 0x86dd

Трафик перехвата на основе типа IP - протокола

ip proto 89

Фреймы Ethernet отклонения на основе MAC-адреса - исключают трафик, который принадлежит группе многоадресной рассылки LLDP

LLDP является Протоколом обнаружения Уровня соединения.

not ether dst 01:80:c2:00:00:0e

UDLD перехвата, VTP или трафик CDP

UDLD является Поддержка соединений с однонаправленным обменом, VTP является Протокол магистральных каналов VLAN, и CDP является протоколом обнаружения Cisco.

ether host 01:00:0c:cc:cc:cc

Трафик перехвата к или от MAC-адреса

ether host 00:01:02:03:04:05

Примечание:
и = &&
или = ||
не =!
Формат MAC-адреса: xx:xx:xx:xx:xx:xx

Протоколы плоскости обычного управления

  • UDLD: Контроллер доступа интерфейса назначения (DMAC) = 01-00-0C-CC-CC-CC и EthType = 0x0111
  • LACP: DMAC = 01:80:C2:00:00:02 и EthType = 0x8809. LACP обозначает Протокол управления агрегацией каналов.
  • STP: DMAC = 01:80:C2:00:00:00 и EthType = 0x4242 - или - DMAC = 01:00:0C:CC:CC:CD и EthType = 0x010B
  • CDP: DMAC = 01-00-0C-CC-CC-CC и EthType = 0x2000
  • LLDP: DMAC = 01:80:C2:00:00:0E или 01:80:C2:00:00:03 или 01:80:C2:00:00:00 и EthType = 0x88CC
  • DOT1X: DMAC = 01:80:C2:00:00:03 и EthType = 0x888E. DOT1X обозначает IEEE 802.1x.
  • IPv6: EthType = 0x86DD
  • Список UDP и номеров порта TCP 

Типичные ошибки

Посмотрите идентификатор ошибки Cisco CSCue48854: фильтр перехвата Ethanalyzer не перехватывает трафик от ЦПУ на SUP2. Также посмотрите идентификатор ошибки Cisco CSCtx79409: не Может использовать фильтр перехвата с декодированием - внутренний.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 116136