Ethanalyzer en el guía de Troubleshooting del nexo 7000
Contenido
Introducción
Este documento describe el Ethanalyzer, una herramienta integrada Cisco NX-OS de la captura de paquetes para los paquetes de control basados sobre Wireshark.
Wireshark es un analizador de fuente abierta, del Network Protocol ampliamente utilizado a través de muchas industrias y instituciones educativas. Decodifica los paquetes capturados por el libpcap, la biblioteca de la captura de paquetes. El Cisco NX-OS se ejecuta encima del núcleo de Linux, que utiliza la biblioteca del libpcap para apoyar a la captura de paquetes.
Con Ethanalyzer, usted puede:
- Capture los paquetes enviados o recibidos por el supervisor.
- Fije el número de paquetes que se capturarán.
- Fije la longitud de los paquetes que se capturarán.
- Visualice los paquetes con la información sobre protocolo sumaria o detallada.
- Abra y salve los datos del paquete capturados.
- Filtre los paquetes capturados en muchos criterios.
- Filtre los paquetes que se visualizarán en muchos criterios.
- Decodifique la encabezado interna 7000 del paquete de control.
Ethanalyzer no puede:
- Adviértale cuando su red experimenta los problemas. Sin embargo, Ethanalyzer pudo ayudarle a determinar la causa del problema.
- Capture el tráfico del plano de los datos que se remite en hardware.
- Soporte la captura interfaz-específica.
Opciones de resultado
Ésta es una vista sumaria de la salida del comando inband de la interfaz local del ethanalyzer. “?” ayuda de las visualizaciones de la opción.
Utilice la opción del “detalle” para la información sobre protocolo detallada. el ^C se puede utilizar para abortar y para conseguir el prompt del Switch detrás en el medio de una captura si procede.
Opciones de filtro
captura-filtro
Utilice la opción del “captura-filtro” para seleccionar que los paquetes a visualizar o a salvar al disco durante la captura. Un filtro de la captura mantiene una alta velocidad de la captura mientras que filtra. Porque la disección completa no se ha hecho en los paquetes, se predefinen y se limitan los campos del filtro.
visualización-filtro
Utilice la opción del “visualización-filtro” para cambiar la vista de un capturar archivo (archivo de tmp). Un filtro de la visualización utiliza los paquetes completamente disecados, así que usted puede hacer la filtración muy compleja y avanzada cuando usted analiza una red tracefile. Sin embargo, el archivo de tmp puede llenar rápidamente, puesto que primero captura todos los paquetes y en seguida visualiza solamente los paquetes deseados.
En este ejemplo, las “límite-capturar-tramas” se fijan a 5. Con el “captura-filtro” la opción, Ethanalyzer le muestra cinco paquetes qué coincidencia host 10.10.10.2' del filtro el '. Con la opción del “visualización-filtro”, Ethanalyzer primero captura cinco paquetes después visualiza solamente los paquetes que hacen juego el filtro 'ip.addr==10.10.10.2.
Escriba las opciones
escriba
“Escriba” la opción le deja escribir los datos de la captura a un archivo en uno de los dispositivos de almacenamiento (tales como boothflash o logflash) en el 7000 Series Switch del nexo de Cisco para la análisis posterior. El tamaño del capturar archivo se limita al 10 MB.
Un comando de Ethanalyzer del ejemplo con “escribe” la opción es interfaz local del ethanalyzer inband escribe el bootflash: capture_file_name. Un ejemplo del “escribe” la opción con el “captura-filtro” y un nombre del archivo de la salida de la “primero-captura” es:
Cuando los datos de la captura se guardan a un archivo, los paquetes capturados, por abandono, no se visualizan en la ventana de terminal. La opción de la “visualización” fuerza el Cisco NX-OS para visualizar los paquetes mientras que guarda los datos de la captura a un archivo.
captura-timbre-buffer
La opción del “captura-timbre-buffer” crea los Archivos múltiples después de un número especificado de segundos, de un número especificado de archivos, o de un tamaño del archivo especificado. Las definiciones de esas opciones están en esta captura de pantalla:
Lea las opciones
La opción “leída” le deja leer el archivo guardado en el dispositivo sí mismo.
Usted puede también transferir el archivo a un servidor o a un PC y leerlo con Wireshark o cualquier otra aplicación que puedan leer los archivos del casquillo o del pcap.
decodificar-interno con la opción del detalle
La opción “decodificar-interna” señala la información interna en cómo el nexo 7000 adelante el paquete. Esta información le ayuda a entender y a resolver problemas el flujo de paquetes con el CPU.
Convierta el índice NX-OS al hexadecimal, después utilice el comando x interno LTL de la información del pixm del sistema de la demostración para asociar el índice de la lógica de destino local (LTL) a una comprobación o a una interfaz lógica.
Ejemplos de los valores del captura-filtro
Tráfico de la captura a o desde un host IP
host 1.1.1.1
Tráfico de la captura a o desde un rango de los IP Addresses
net 172.16.7.0/24
net 172.16.7.0 mask 255.255.255.0
Tráfico de la captura de un rango de los IP Addresses
src net 172.16.7.0/24
src net 172.16.7.0 mask 255.255.255.0
Tráfico de la captura a un rango de los IP Addresses
dst net 172.16.7.0/24
dst net 172.16.7.0 mask 255.255.255.0
Tráfico de la captura solamente en cierto protocolo - tráfico de la captura solamente DNS
El DNS es el protocolo del Sistema de nombres de dominio (DNS).
port 53
Tráfico de la captura solamente en cierto protocolo - tráfico del DHCP de la captura solamente
El DHCP es el protocolo DHCP.
port 67 or port 68
Tráfico de la captura no en cierto protocolo - excluya el tráfico HTTP o S TP
El S TP es el protocolo simple mail transfer.
host 172.16.7.3 and not port 80 and not port 25
Tráfico de la captura no en cierto protocolo - excluya el tráfico ARP y DNS
El ARP es el protocolo Protocolo de resolución de la dirección (ARP).
port not 53 and not arp
Tráfico IP de la captura solamente - Excluya los protocolos de la capa inferior como el ARP y el STP
El STP es el Spanning Tree Protocol.
ip
Tráfico de unidifusión de la captura solamente - Excluya los avisos del broadcast y del Multicast
not broadcast and not multicast
Capture el tráfico dentro de un rango de los puertos de la capa 4
tcp portrange 1501-1549
Capture el tráfico basado en el tipo Ethernet - Capture el tráfico EAPOL
El EAPOL es el protocolo extensible authentication sobre el LAN.
ether proto 0x888e
Workaround de la captura del IPv6
ether proto 0x86dd
Tráfico de la captura basado en el tipo de protocolo IP
ip proto 89
Tramas Ethernet del rechazo basadas en la dirección MAC - Excluya el tráfico que pertenece al grupo de multidifusión LLDP
LLDP es el Discovery Protocol de la capa de link.
not ether dst 01:80:c2:00:00:0e
Captura UDLD, VTP, o tráfico CDP
El UDLD es detección de link unidireccional, el VTP es el protocolo VLAN trunking, y el CDP es el protocolo cisco discovery.
ether host 01:00:0c:cc:cc:cc
Tráfico de la captura a o desde una dirección MAC
ether host 00:01:02:03:04:05
Protocolos planos del control común
- UDLD: Regulador del acceso de los medios de destino (DMAC) = 01-00-0C-CC-CC-CC y EthType = 0x0111
- LACP: DMAC = 01:80:C2:00:00:02 y EthType = 0x8809. Protocolo link aggregation control de la significa LACP.
- STP: DMAC = 01:80:C2:00:00:00 y EthType = 0x4242 - o - DMAC = 01:00:0C:CC:CC:CD y EthType = 0x010B
- CDP: DMAC = 01-00-0C-CC-CC-CC y EthType = 0x2000
- LLDP: DMAC = 01:80:C2:00:00:0E o 01:80:C2:00:00:03 o 01:80:C2:00:00:00 y EthType = 0x88CC
- DOT1X: DMAC = 01:80:C2:00:00:03 y EthType = 0x888E. IEEE 802.1X de la significa del DOT1X.
- IPv6: EthType = 0x86DD
- Lista de UDP y de números del puerto TCP
Problemas conocidos
Vea el Id. de bug Cisco CSCue48854: El captura-filtro de Ethanalyzer no captura el tráfico del CPU en el SUP2. También vea el Id. de bug Cisco CSCtx79409: No puede utilizar el filtro de la captura con decodificar-interno.
Información Relacionada
ComentariosDéjenos ayudarlo
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)