Avez-vous un compte?
Ce document décrit comment configurer la caractéristique de Wireshark pour le Commutateurs de la gamme Cisco Catalyst 4500.
Afin d'utiliser la caractéristique de Wireshark, vous devez remplir ces conditions :
Les informations dans ce document sont basées sur le Commutateurs de la gamme Cisco Catalyst 4500 qui exécutent l'engine 7-E de superviseur.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Le Commutateurs de la gamme Cisco Catalyst 4500 qui exécutent l'engine 7-E de superviseur a une nouvelle fonctionnalité intégrée avec le Cisco IOS? - Versions 3.3(0) XE/151.1 ou plus tard. Cette caractéristique de Wireshark de fonction intégrée a la capacité de capturer des paquets d'une manière dont remplace l'utilisation traditionnelle du Switch Port Analyzer (ENVERGURE) par un PC relié afin de capturer des paquets dans un scénario de dépannage.
Cette section sert de guide de démarrage rapide afin de commencer une capture. Les informations fournies sont très générales, et vous devez implémenter des filtres et des configurations de mémoire tampon en tant que nécessaire afin de limiter la capture excessive des paquets si vous fonctionnez dans un réseau de production.
Terminez-vous ces étapes afin de configurer la caractéristique de Wireshark :
4500TEST#show version
Cisco IOS Software, IOS-XE Software, Catalyst 4500 L3 Switch Software
(cat4500e-UNIVERSAL-M), Version 03.03.00.SG RELEASE SOFTWARE (fc3)
<output omitted>
License Information for 'WS-X45-SUP7-E'
License Level: entservices Type: Permanent
Next reboot license Level: entservices
cisco WS-C4507R+E (MPC8572) processor (revision 8)
with 2097152K/20480K bytes of memory.
Processor board ID FOX1512GWG1
MPC8572 CPU at 1.5GHz, Supervisor 7
<output omitted>
4500TEST#show proc cpu history
History information for system:
888844444222222222222222333334444422222222222222255555222222
100
90
80
70
60
50
40
30
20
10 **** ****
0.....5.....1.....1.....2.....2.....3.....3.....4.....4.....5....5
0 5 0 5 0 5 0 5 0 5
CPU% per second (last 60 seconds)
4500TEST#monitor capture MYCAP interface g2/26 both
4500TEST#monitor capture file bootflash:MYCAP.pcap
4500TEST#monitor capture MYCAP match any start
*Sep 13 15:24:32.012: %BUFCAP-6-ENABLE: Capture Point MYCAP enabled.
4500TEST#monitor capture MYCAP start capture-filter "icmp"
*Sep 13 15:25:07.933: %BUFCAP-6-DISABLE_ASYNC:Sélectionnez cette commande afin d'arrêter manuellement la capture :
Capture Point MYCAP disabled. Reason : Wireshark session ended
4500TEST#monitor capture MYCAP stop
4500TEST#show monitor capture file bootflash:MYCAP.pcap
1 0.000000 44:d3:ca:25:9c:c9 -> 01:00:0c:cc:cc:cc CDP
Device ID: 4500TEST Port ID: GigabitEthernet2/26
2 0.166983 00:19:e7:c1:6a:18 -> 01:80:c2:00:00:00 STP
Conf. Root = 32768/1/00:19:e7:c1:6a:00 Cost = 0 Port = 0x8018
3 0.166983 00:19:e7:c1:6a:18 -> 01:00:0c:cc:cc:cd STP
Conf. Root = 32768/1/00:19:e7:c1:6a:00 Cost = 0 Port = 0x8018
4 1.067989 14.1.98.2 -> 224.0.0.2 HSRP Hello (state Standby)
5 2.173987 00:19:e7:c1:6a:18 -> 01:80:c2:00:00:00 STP
Conf. Root = 32768/1/00:19:e7:c1:6a:00 Cost = 0 Port = 0x8018
4500TEST#show monitor capture file bootflash:MYCAP.pcap display-filter "icmp"
17 4.936999 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=0/0, ttl=255)
18 4.936999 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=0/0, ttl=251)
19 4.938007 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=1/256, ttl=255)
20 4.938007 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=1/256, ttl=251)
21 4.938998 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=2/512, ttl=255)
22 4.938998 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=2/512, ttl=251)
23 4.938998 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=3/768, ttl=255)
24 4.940005 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=3/768, ttl=251)
25 4.942996 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=4/1024, ttl=255)
26 4.942996 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=4/1024, ttl=251)
4500TEST#copy bootflash: ftp://Username:Password@<ftp server address>
4500TEST#copy bootflash: tftp:
4500TEST#no monitor capture MYCAP
4500TEST#show monitor capture MYCAP
<no output>
4500TEST#
Par défaut, la limite de taille du fichier de capture est 100 paquets, ou de 60 secondes dans un fichier Linéaire. Afin de changer la limite de taille, utilisez l'option de limite dans la syntaxe de monitor capture :
4500TEST#monitor cap MYCAP limit ?
duration Limit total duration of capture in seconds
packet-length Limit the packet length to capture
packets Limit number of packets to capture
La taille maximale de mémoire tampon est 100 Mo. Ceci est ajusté, aussi bien que configuration circulaire/Linéaire de mémoire tampon, avec cette commande :
4500TEST#monitor cap MYCAP buffer ?
circular circular buffer
size Size of buffer
La caractéristique de Wireshark de fonction intégrée est très un outil puissant si utilisée correctement. Il économise le temps et les ressources quand vous dépannez un réseau. Cependant, attention d'exercice quand vous utilisez la caractéristique, parce qu'elle pourrait augmenter l'utilisation du processeur dans des situations du trafic élevé. Ne configurez jamais l'outil et laissez-le sans surveillance.
Aucune procédure de vérification n'est disponible pour cette configuration.
En raison des limitations matérielles, vous pourriez recevoir des paquets en panne dans le fichier de capture. C'est dû aux mémoires tampons distinctes utilisées pour les captures d'entrée et de paquet de sortie. Si vous avez des paquets en panne dans votre capture, placez chacun des deux vos mémoires tampons au d'entrée. Ceci empêche les paquets dans le de sortie de traiter avant les paquets d'entrée quand la mémoire tampon est traitée.
Si vous voyez des paquets en panne, il est recommandé que vous changez votre configuration de chacun des deux à dedans sur les deux interfaces.
Voici la commande précédente :
4500TEST#monitor capture MYCAP interface g2/26 both
Changez la commande à ces derniers :
4500TEST#monitor capture MYCAP interface g2/26 in
4500TEST#monitor capture MYCAP interface g2/27 in
+------------+
| |
| 4500 |
+------+ | | +------+
| +---------->in out+---------> |
| host | |g2/26 g2/27| | host |
| <----------+out in<---------+ |
+------+ | | +------+
| |
+------------+