この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
キャプチャ機能を使用してパケット データをキャプチャ、フィルタリング、およびデコードするための複数のセッションをセットアップできます。その後、ファイル制御システムでデータを管理し、パケットの内容を表示できます。
(注) このソフトウェア機能は、ハードウェア プラットフォームによって制限される場合があります。詳細については、『NAM Compatibility Matrix』を参照してください。
アプリケーション、ホスト、または VLAN を示すさまざまなダッシュボード バー チャートの [Context] メニューから、 キャプチャを開始できます。たとえば、バー チャートのアプリケーションをクリックし(図 5-1 を参照)、[Capture] を選択すると、次の操作が自動的に行われます。
• そのアプリケーションを使用してソフトウェア フィルタが作成される
• 復号化ウィンドウが開き、キャプチャされているパケットをすぐに表示する
キャプチャ セッションの目的とは、フィルタのキャプチャ、パケット データの復号化、ファイル制御システムでのデータの管理を行い、パケットのコンテンツを表示することです。キャプチャされたパケットを復号化し、NAM で分析すると、問題をより効率的に切り分けることができます。
• 「ソフトウェア フィルタを使用したネットワーク トラフィックのフィルタリング」
特定のパケット データをフィルタリングし、ファイル制御システムでその情報を管理できます。これにより、ネットワーク問題の可視化が向上し、不要な情報を除外できます。特定のパケット データを受信対象とするために、ハードウェアまたはソフトウェアのフィルタを使用できます。
図 5-2 に示すように、NAM で受信したパケットが、設定されたハードウェア フィルタを通過すると、パケットは次のステップに進みます。ハードウェア フィルタが設定されていなければ、すべてのパケットが通過します。ハードウェア フィルタの詳細については、「ハードウェア フィルタのサポート」を参照してください。
(注) ハードウェア フィルタは、特定の Prime NAM プラットフォームでのみサポートされています。詳細については、『NAM Compatibility Matrix』または『Cisco Prime Network Analysis Module Release Notes』を参照してください。
そのため、パケットをそのセッションで保存するには、そのセッションの中で少なくとも 1 つのソフトウェア フィルタを通過する必要があります。セッションに対してソフトウェア フィルタが設定されていない場合は、すべてのパケットがキャプチャされます。ソフトウェア フィルタの詳細については、「ソフトウェア フィルタを使用したネットワーク トラフィックのフィルタリング」を参照してください。
サポートされている NAM プラットフォームのパフォーマンスを高めるには、ソフトウェア フィルタよりもハードウェア フィルタが推奨され、多数のセッションより少数のセッションが推奨されます。
図 5-2 のアイテムを設定する順序は、特に決められていません。たとえば、[Global Capture Settings] を最初に設定してからキャプチャ セッションを設定し、その後にフィルタを作成することも、ハードウェア フィルタとソフトウェア フィルタを先に作成してからキャプチャ セッションを作成し、最後に [Global Capture Settings] を適用することもできます。ただし、セッションは最後に「スタート」することを推奨します。それ以外の場合は、フィルタが設定され、パケット スライスが実行される前にキャプチャを開始します。
[Global Capture Settings] およびハードウェア フィルタは、セッションが実行中でも随時変更できます。変更点は、実行中のキャプチャ セッションに即座に反映されます。
NAM でパケット データをキャプチャ、表示、およびデコードするための基本的な操作を行うには、[Capture] > [Packet Capture/Decode] > [Sessions] の順に選択します。
[Capture Sessions] ウィンドウに、キャプチャ セッションのリストが表示されます。設定されていない場合は、リストには何も表示されません。キャプチャ セッションのフィールドの説明については、 「[Capture Session] のフィールド」 の 表 5-1 を参照してください。
「[Capture Session Operations] ウィンドウのボタン」 ( 表 5-2 )で、[Capture Sessions] ウィンドウで行える操作について説明します。
|
|
---|---|
|
新規のキャプチャ セッションを作成します。「キャプチャ セッションの設定」を参照してください。 |
|
|
|
|
|
|
|
選択されたセッションのキャプチャを停止します(パケットは通過しません)。キャプチャ データはキャプチャ メモリ バッファに残されますが、新しいデータは保存されません。キャプチャを再開するには、[Start] をクリックします。 |
|
|
|
|
|
NAM ハード ディスクのファイルにセッションを保存します。「キャプチャ ファイルの取り扱い」を参照してください。 |
時間の経過に伴ってデータを収集し、データを分析するさまざまな場所があることが重要である場合があるので、キャプチャの場所またはターゲットごとに複数のセッションがサポートされています。ターゲットごとに複数のセッションを使用してデータを収集できますが、1 つのターゲットにつき 1 つのセッションのみ実行できます。Prime NAM では、現在 25 のキャプチャ セッションがサポートされています。外部ストレージがある場合、ローカル ディスクと複数の LUN に保存できます。キャプチャ セッションの設定の一部として、必要に応じてソフトウェア フィルタも作成できます(「カスタマイズされたアプリケーション用のソフトウェア キャプチャ フィルタの作成」を参照)。
新しいキャプチャ セッションを設定するには、次の操作を行います。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。
ステップ 2 [Create] をクリックして、新しいキャプチャを設定します。NAM によって、[Configure Capture Session] ウィンドウが表示されます。[Capture Settings] ウィンドウには、キャプチャの名前を入力するためのフィールド、および 表 5-3 で説明している 4 つのステータス インジケータがあります。
ステップ 3 適宜、キャプチャ設定フィールド( 表 5-3 )に情報を入力します。
|
|
|
---|---|---|
|
64 ~ 9000 の範囲で値を入力します。スライスを実行しない場合は、ゼロ(0)を入力します。 セッションが小さい場合、できるだけ多くのパケットをキャプチャするには、小さなスライス サイズを使用します。 指定したスライス サイズよりもパケット サイズが大きい場合、パケットはキャプチャ セッションに保存される前にスライスされます。たとえば、パケットが 1000 バイトでスライス サイズが 200 バイトの場合、パケットの最初の 200 バイトだけがキャプチャ セッションに保存されます。 |
|
|
キャプチャ ソースを選択します(1 つ以上のチェックボックスを選択): • [Data-ports]:SPAN、RSPAN、および VACL キャプチャを許可します。NME-NAM および SM-SRE、内部、外部、または両方に対応しています。1 NAM-NX1 上では、一度に 1 つのデータポートのみ選択できます。 (注) 一部のプラットフォームでは、データポートの選択が一度に 1 つだけに制限される場合があります。ほとんどのプラットフォームでは、一度に両方のデータポートを選択できます。 |
|
|
このキャプチャの場合は、[Memory Size] に値を入力してください。1 からプラットフォームの最大値までの数値を入力します。システム メモリが少ない場合は、割り当てられる実際のセッション サイズが、ここで指定された数値よりも小さくなることがあります。 使用可能なメモリが、要求されたメモリよりも少ない場合は、NAM は要求されたメモリよりも少ないメモリを付与します。 [Wrap when Full] をオンにすると、連続キャプチャをイネーブルになります(セッションがいっぱいの場合は、新しい入力パケット用の空きを作成するために、古いパケット データが削除されます)。[Wrap when Full] がオフの場合は、データ量がセッション サイズに達すると、キャプチャは終了します。 |
|
|
[File Size] の値を入力します(サイズは 1 MB から 2 GB です)。ディスク領域が使用できない場合、ディスクへのキャプチャ セッションを新たに開始することはできません。最大キャプチャ セッション サイズの詳細については、『 NAM Data Sheet 』を参照してください。 |
|
キャプチャに使用するファイルの数の値を入力します。最大値は、ファイルのサイズ、保存されるファイル数、およびこれらのファイルが保存される場所での利用可能なディスク領域の容量に基づいて決定されます。 |
||
ダウンロード、デコード、および分析を即座に実行できる小さなファイルのセットをキャプチャする場合は、この機能を使用します。ファイルの回転を使用すると、記憶領域を自動的に維持できます。 ファイルを回転する場合は、[Rotate Files] チェックボックスをオンにします。リモート ストレージまたは NAM アプライアンスでのみ使用できます。リモート ストレージの設定については、「データ ストレージへのキャプチャ」を参照してください。 [Rotate Files] オプションを選択している場合に、ファイル数が最大数に達すると、最も古いファイルが上書きされます。たとえば、 [No. Files] を 10 に指定し、NAM がキャプチャ データをファイル CaptureA_10 に書き込んだ場合、次の書き込み時にはファイル CaptureA_1 が上書きされます。最近のキャプチャを判別するには、各ファイルのタイムスタンプをチェックします。 |
||
ファイルのデータ ストレージが使用できる場合、ドロップダウン リストでストレージ ターゲットの 1 つを選択します。ドロップダウン リストには、[Ready] の状態のターゲットだけが表示されます。 デフォルトはローカル ディスクですが、使用可能な場合、以前に設定したリモート ストレージの場所も選択できます。各オプションは、キャプチャ パケット ストレージに使用可能なディスク スペースの容量を示します。 ディスクにキャプチャする場合の、最大キャプチャ セッション サイズは、キャプチャ先の空き容量によって異なります。[[Capture] > [Data Storage] ページから、これらの場所を管理できます(「キャプチャ データ ストレージの利用」 を参照)。 |
Prime NAM がサポートするハードウェア プラットフォームと、その最大セッション サイズのリストについては、を参照してください。これは、すべてのキャプチャ セッションの合計の最大キャプチャ メモリ バッファ サイズであり、個々のキャプチャ セッションの最大値ではありません。
複数のファイルにキャプチャする場合は、ファイル名に拡張子が追加されます。たとえば、キャプチャ名が CaptureA の最初のファイルは CaptureA_1、2 番めのファイルは CaptureA_2 といった具合にラベルが付けられます。
ステップ 4 [Submit] をクリックして、このセッションの設定を終了するか、このセッションのソフトウェア フィルタを設定します(次の項「ソフトウェア フィルタを使用したネットワーク トラフィックのフィルタリング」を参照)。
関心のある情報以外のすべてのキャプチャ データを無視できる、特別なフィルタを作成し、保存することができます(図 5-2 を参照)。1 つのセッションに対し、複数のソフトウェア フィルタを設定できます(最大 6 つまで)。これにより、関心のあるトラフィックを絞り込むことができ、リソース(メモリまたはディスク領域)を節約できます。
NAM-3 および NAM-NX1 サービス モジュールでは、複数のソフトウェア フィルタでは「OR(論理和)」を使用します。つまり、パケットがいずれかのソフトウェア フィルタを通過すると、そのパケットはキャプチャされます。
セッションを作成し、開始すると、セッションを停止せずに編集または分析することができません。すでにキャプチャされたデータを含むセッションを編集すると、セッションがクリアされ、データが削除されることを示す警告が表示されます。警告を無視し、セッションにフィルタを追加し、送信した場合は、新しいフィルタ設定が使用されます。
プロトコル解析の一番上のレイヤ(通常は、ポートに基づき、レイヤ 4 プロトコル)をフィルタするには、アプリケーション フィルタを使用します。転送プロトコル(UDP、TCP など)をフィルタするには、[IP Protocol] セレクタを使用する必要があります。たとえば、[IP Protocol] セレクタで [TCP] を選択すると、TCP を使用するすべてのパケットがフィルタされます。
ヒント カプセル化でキャプチャ ソフトウェア フィルタリングを設定している場合は注意してください。ネットワーク トラフィックの上位 3 層に対してのみカプセル化でソフトウェア キャプチャ フィルタを設定した場合は、上位 3 層が、指定されたカプセル化タイプに一致する場合のみデータが表示されます。
ソフトウェア フィルタを使用したネットワーク トラフィックのフィルタリングに関するヘルプについては、次の項を参照してください。
多くの変数でソフトウェアのキャプチャ フィルタを作成できます。このワークフローは、特定のカスタマイズされたアプリケーション用のフィルタを作成する方法について調べます。
ソフトウェア キャプチャ フィルタを作成するには、次の操作を行います。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。
ステップ 2 [Configure Capture Sessio] ウィンドウの下半分に、設定されたソフトウェア フィルタが表示されます。新しいソフトウェア フィルタを作成するには、[Software Filters] エリアの下にある [Create] をクリックします。
ステップ 3 各フィールドに、適切な情報を入力します。フィールドの説明については、 表 5-4 を参照してください。
ステップ 4 [Submit] をクリックしてフィルタを作成するか、[Cancel] をクリックして、ソフトウェア フィルタを作成せずにダイアログボックスを閉じます。
ソフトウェア キャプチャ フィルタを編集するには、次の操作を行います。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。
ページの下に [Software Filters] ボックスが表示されます。
ステップ 2 編集するフィルタを選択し、[Edit] をクリックします。
[Software Filter] ダイアログ ボックス(表 5-4 を参照)が表示されます。
• 変更内容を適用するには、[Submit] をクリックします。
• 変更をキャンセルするには、[Cancel] をクリックします。
次のいずれかのオプションに基づいて絞り込むソフトウェア フィルタを定義できます。
表 5-4 では、[Software Filter] ダイアログ ボックスのフィールドについて説明します。
URL-based ソフトウェア フィルタリングを使用している場合:
• 分類のプライオリティを変更するには、セレクタが編集可能ではないため、フィルタを削除して再作成する必要があります。
• URL-based アプリケーション フィルタは、過剰に使用された場合 CPU に影響する可能性があります。
|
|
|
---|---|---|
|
||
Mask |
• IP、IPIP4、GRE.IP、または GTP.IPv4 アドレスの場合は、有効な IPv4 アドレスをドットで 4 つつの数列形式、 n.n.n.n ( n は 0 ~ 255)で入力します。デフォルト(空白の場合)は 255.255.255.255 です。 • IPv6 または GTP.IPv6 アドレスの場合は、有効な IPv6 アドレスを許可された任意の IPv6 アドレス形式で入力します。例: (注) 有効なテキスト表現については、RFC 2373 を参照してください。 MAC アドレスの場合は hh hh hh hh hh hh ( hh は 0 ~ 9 または a ~ 1 の 16 進数)を入力します。デフォルトは |
|
• IP、IPIP4、GRE.IP、または GTP.IPv4 アドレスの場合は、有効な IPv4 アドレスをドットで 4 つつの数列形式、 n.n.n.n ( n は 0 ~ 255)で入力します。デフォルト(空白の場合)は 255.255.255.255 です。 • IPv6 または GTP.IPv6 アドレスの場合は、有効な IPv6 アドレスを許可された任意の IPv6 アドレス形式で入力します。IPv6 アドレスのデフォルト マスク(空白の場合)は ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff です。 (注) 有効なテキスト表現については、RFC 2373 を参照してください。 MAC アドレスの場合は hh hh hh hh hh hh ( hh は 0 ~ 9 または a ~ 1 の 16 進数)を入力します。デフォルトは |
||
|
• IP、IPIP4、GRE.IP、または GTP.IPv4 アドレスの場合は、有効な IPv4 アドレスをドットで 4 つつの数列形式、 n.n.n.n ( n は 0 ~ 255)で入力します。デフォルト(空白の場合)は 255.255.255.255 です。 • IPv6 または GTP.IPv6 アドレスの場合は、有効な IPv6 アドレスを許可された任意の IPv6 アドレス形式で入力します。例: (注) 有効なテキスト表現については、RFC 2373 を参照してください。 MAC アドレスの場合は hh hh hh hh hh hh ( hh は 0 ~ 9 または a ~ 1 の 16 進数)を入力します。デフォルトは |
|
• IP、IPIP4、GRE.IP、または GTP.IPv4 アドレスの場合は、有効な IPv4 アドレスをドットで 4 つつの数列形式、 n.n.n.n ( n は 0 ~ 255)で入力します。デフォルト(空白の場合)は 255.255.255.255 です。 • IPv6 または GTP.IPv6 アドレスの場合は、有効な IPv6 アドレスを許可された任意の IPv6 アドレス形式で入力します。IPv6 アドレスのデフォルト マスク(空白の場合)は ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff です。 (注) 有効なテキスト表現については、RFC 2373 を参照してください。 MAC アドレスの場合は hh hh hh hh hh hh ( hh は 0 ~ 9 または a ~ 1 の 16 進数)を入力します。デフォルトは |
||
|
• パケットの送信元/宛先 MAC アドレスを使用するには、[MAC] を選択します。 • パケットの送信元/宛先 IP アドレスを使用するには、[IP] を選択します。 • IP プロトコル 4 経由でトンネルされるものを含む IP アドレスの場合は、[IPIP4] を選択します。 • GRE 経由でトンネルされるものを含む IP アドレスの場合は、[GRE.IP] を選択します。 • IP バージョン 6 を使用するアドレスの場合は、[IPv6] を選択します。 |
|
|
送信元がホスト A で宛先がホスト B の場合、双方向をイネーブルにすると、A から B および B から A のパケットがフィルタリングされます。 送信元がホスト A で宛先が指定されていない場合、双方向をイネーブルにすると、ホスト A へのパケットとホスト A からのパケットの両方がフィルタリングされます。 |
|
|
||
|
||
|
[Source Port(s)] フィールドに、1 つ以上のポートをコンマ区切りで入力します。 [Destination Port(s)] フィールドに、1 つ以上のポートをコンマ区切りで入力します。 [IP Protocol] プルダウン メニューから、[TCP]、[UDP]、または [SCTP] を選択します。何も選択されていなければ(デフォルト)、すべて許容されることを意味します。 |
2.プロトコル解析の一番上のレイヤ(通常は、ポートに基づき、レイヤ 4 プロトコル)をフィルタするには、アプリケーション フィルタを使用します。転送プロトコル(UDP、TCP など)をフィルタするには、[IP Protocol] セレクタを使用する必要があります。たとえば、[IP Protocol] セレクタで [TCP] を選択すると、TCP を使用するすべてのパケットがフィルタされます。 |
(注) 上記の表で説明したパラメータは、NAM によって個別に評価されます。したがって、NAM では矛盾するパラメータを入力できますが、一致しなければ意味のある結果を得ることはできません。
たとえば、[Network Encapsulation] と [Source/Destination Address] パラメータは、個別に評価されています。ここで、[Network Encapsulation] には [IP4]、[Source Address] には IPv6 アドレスを入力するなど、矛盾するパラメータを持つフィルタが指定された場合は、どのトラフィックにも一致しないため、結果として、パケットはキャプチャされません。
ハードウェア フィルタのサポートは、NAM によって異なります。
NAM-3 および NAM-NX1 のサービス モジュールには、固有のハードウェア フィルタ論理があります。これらのハードウェア フィルタでは、無関係のトラフィックを排除することにより、キャプチャのパフォーマンスを向上できます。これは、ハードウェア フィルタによって絞り込まれるパケットは、NAM によって処理されないからです。また、パケットの一部だけをキャプチャし、残りを破棄するよう NAM に指示できるため、ハードウェア フィルタを使用し、キャプチャ デコードにおいて特定のパケットを探すこともできます。
この項は、NAM-3 および NAM-NX1 のサービス モジュールにのみ適用できます。
ハードウェア フィルタのグローバル パケット スライスは、すべてのキャプチャ セッションに影響します。アーキテクチャの概念については、 NAM キャプチャ セッションの例、図 5-2を参照してください。
Prime NAM では、最大 4 つのハードウェア フィルタをサポートできます。ハードウェア フィルタは、削除せずに無効にできます。
ハードウェア フィルタ論理には、AND(論理積)と OR(論理和)の 2 つのレベルがあります。各フィルタに対し、AND/OR 論理で条件を設定できます。同一フィルタでは、同じ論理タイプしか使用できません。また、同一フィルタ内では AND/OR 論理を混合させることはできません。また、フィルタを AND/OR 論理で組み合わせることもできます。使用できるフィルタ論理の例については、図 5-3 を参照してください。
選択肢については、次の項で説明します。特定の結果を得る方法について詳しくは、「ハードウェア フィルタの設定の例」を参照してください。
ソフトウェア フィルタは、フィルタ処理に柔軟性を与えますが、最も効率的なのはハードウェア フィルタです。ソフトウェア フィルタを必要とするトラフィックが少なければ少ないほど、より効果的なフィルタ処理を行えます。
ハードウェア フィルタの設定と管理に関する情報については、次のトピックを参照してください。
[Capture] > [Packet Capture/Decode] > [Sessions] の順に選択すると、Cisco NAM で設定されたハードウェア フィルタのステータスと設定を表示できます。[Sessions] ページの下に [Hardware Filters] ボックスが表示されます。
[Hardware Filters] ウィンドウには、定義されたハードウェア フィルタのステータスと設定が表示されます。ハードウェア フィルタでキャプチャを設定するには、次の操作を行います。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。ウィンドウの上半分には [Capture Sessions]、下半分には [Hardware Filters] が表示されます。
ステップ 2 ウィンドウ下部の [Hardware Filters] セクションで [Create] ボタンをクリックします。[Hardware Filter] ダイアログが開きます。
ステップ 3 [Name] フィールドにハードウェア フィルタの名前を入力します。
ステップ 4 [Enable] チェックボックスをオンにして、フィルタを有効にします。[Enable] チェックボックスがオフの状態でフィルタが作成されると、フィルタは保存されますが、アクティブ化されません。フィルタを編集し、[Enable] チェックボックスをオンにすると、後から有効にすることもできます。
ステップ 5 [AND] または [OR] オプション ボタンを選択します。ここでの選択は、次の手順で行うすべての選択にも適用されます(選択肢は 表 5-5 で説明します)。
ステップ 6 フィルタする属性のボックスをオンにし、対応するドロップダウン メニューから目的のオプションを選択します。すべてのチェックボックスをオンにするには、[Check All] チェックボックスをオンにします。 表 5-5 を参照してください。
ステップ 7 次のそれぞれを行うには、以下の各ボタンをクリックします。
• ハードウェア フィルタの設定を完了するには [Apply]
[Hardware Filter Settings] では、すべてのキャプチャ ハードウェア フィルタに対するグローバル設定を指定します。
すべてのハードウェア フィルタに適用される設定を追加するには、次の手順に従います。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。
ステップ 2 下の [Hardware Filters] セクションで、[Hardware Filter Settings] ボタンをクリックします。
ステップ 3 すべてのハードウェア フィルタに設定される、[AND] または [OR] 組み合わせ論理を選択します。この論理は、フィルタを組み合わせるために使用されます。図 5-3 の緑色のテキストを参照してください。
ステップ 4 [Include in capture] または [Exclude from capture] パケット照合論理を選択します。この選択肢は、設定されたすべてのハードウェア フィルタに適用されます。
[Exclude from capture] は、設定されたすべてのハードウェア フィルタに一致するパケットを破棄します。一方で、一致しないパケットはすべてキャプチャされます。
次のネットワーク トラフィックを設定するには、これらのトピックを使用します。
• 「IP サブユニット + L4 ポート(アプリケーション)」
• 「複数ホスト」
• 「MPLS」
10.1.1.0/24 サブユニットからのすべての HTTP トラフィックをキャプチャするには、次の手順に従います。
ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。
ステップ 3 論理 [AND] オプション ボタンを選択します(つまり、以下の選択肢が組み合わせられます)。
ステップ 4 [Source IP Address] チェックボックスをオンにし、サブネット「10.1.1.0/24」を入力します。
ステップ 5 [L4 Source Port] チェックボックスをオンにし、HTTP ポート「80」を入力します。
ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。
ステップ 3 論理 [AND] オプション ボタンを選択します。
ステップ 4 [Destination IP Address] を選択し、前と同じサブネット「10.1.1.0/24」を入力します。
ステップ 5 [L4 Destination Port] を選択し、同じポート番号「80」を入力します。
ステップ 7 着信と発信を表示するには、[Hardware Filter Settings] をクリックし、[OR] 論理を選択します。これにより、2 つのハードウェア フィルタが OR 論理で組み合わせられます。
VLAN 100 からのすべての TCP トラフィックを表示するには、次の手順に従います。
ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。
ステップ 3 論理 [AND] オプション ボタンを選択します。
ステップ 4 [VLAN] を選択し、VLAN「100」を入力します。
ステップ 5 [L4 Protocol] を選択し、[TCP] を選択します。
複数のホスト(1.1.1.1、2.2.2.2...)間で送受信されるトラフィックを表示するには、次の手順に従います。
ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。
ステップ 3 論理 [OR] オプション ボタンを選択します。
ステップ 4 [Source IP Address] チェックボックスをオンにし、1 つめのホスト「1.1.1.1」を入力します。
ステップ 5 [Destination IP Address] チェックボックスをオンにし、同じホスト「1.1.1.1」を入力します。
ステップ 7 [Create] をクリックし、2 つめのハードウェア フィルタを作成します。
ステップ 8 [Name] フィールドにハードウェア フィルタの名前を入力します。
ステップ 9 論理 [OR] オプション ボタンを選択します。
ステップ 10 [Source IP Address] チェックボックスをオンにし、2 つめのホスト「2.2.2.2」を入力します。
ステップ 11 [Destination IP Address] チェックボックスをオンにし、2 つめのホスト「2.2.2.2」を入力します。
ステップ 13 必要であれば、3 つめ、4 つめのホストに対して ステップ 7 から ステップ 12 を繰り返します。
ステップ 14 [Hardware Filter Settings] をクリックし、論理 [OR] オプション ボタンを選択します。
VLAN 10 から 20 のすべてのトラフィックを表示するには、次の手順に従います。
ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。
ステップ 3 [VLAN IDs] チェックボックスをオンにし、ドロップダウン メニューから [Greater Than] を選択します。
ステップ 4 空白のフィールドに、VLAN 範囲の下限である「9」を入力します。
ステップ 6 [Create] をクリックし、2 つめのフィルタを作成します。
ステップ 8 [VLAN IDs] チェックボックスをオンにし、ドロップダウン メニューから [Less Than] を選択します。
ステップ 9 空白のフィールドに、VLAN 範囲の下限である「21」を入力します。
ステップ 11 [ Hardware Filter Settings ] をクリックして [AND] オプション ボタンを選択します。これにより、すべてのハードウェア フィルタの論理が組み合わせられます。
200 バイト以下の DATA PORT 1 にスパンされたすべてのトラフィックを表示するには、次の手順に従います。
ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。
ステップ 3 論理 [AND] オプション ボタンを選択します。
ステップ 4 [Data Port] ドロップダウン リストから [DATA PORT 1] を選択します。
ステップ 5 [Frame Length] チェックボックスをオンにし、ドロップダウン メニューから [Less Than] を選択します。
ステップ 6 空白のフィールドに、フレーム長の上限である「200」を入力します。
最初の MPLS ラベルが 300 のトラフィックを表示するには、次の手順に従います。
ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。
ステップ 3 [MPLS Label] チェックボックスをオンにします。
ステップ 4 空白のフィールドに、ラベル「300」を入力します。
ホスト 1.1.1.1 と 2.2.2.2 間の双方向の通信を表示するには、次の手順に従います。
ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。
ステップ 3 論理 [AND] オプション ボタンを選択します。
ステップ 4 [Source IP Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、1 つめのホスト「1.1.1.1」を入力します。
ステップ 5 [Destination Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、2 つめのホスト「2.2.2.2」を入力します。
ステップ 7 [Create] をクリックし、2 つめのハードウェア フィルタを作成します。
ステップ 8 [Name] フィールドにハードウェア フィルタの名前を入力します。
ステップ 9 論理 [AND] オプション ボタンを選択します。
ステップ 10 [Source IP Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、2 つめのホスト「2.2.2.2」を入力します。
ステップ 11 [Destination Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、2 つめのホスト「1.1.1.1」を入力します。
ステップ 13 [Hardware Filter Settings] ボタンをクリックし、[OR] オプション ボタンを選択します。
前の例では、パケットに照合するフィルタを設定しました。ネガティブ フィルタ論理では、これらをブロックします。
前の例の通信以外のすべてを表示するには、次の手順に従います。
ステップ 1 [Hardware Filters] ウィンドウで [Hardware Filter Settings] ボタンをクリックします。
ステップ 2 [Packet Match Logic] では [Exclude from capture] オプション ボタンを選択します。
キャプチャ セッションのソフトウェア フィルタを設定する方法については、次の項「ソフトウェア フィルタを使用したネットワーク トラフィックのフィルタリング」を参照してください。
ハードウェア フィルタを使用すると、無関係のフィルタをできるだけ多く排除する、ハードウェア固有のフィルタを提供することにより、キャプチャのパフォーマンスを向上できます。ハードウェア フィルタによってフィルタされたパケットは NAM によって処理されないため、キャプチャのパフォーマンスも高くなります。この項は、NAM サービス モジュールを除くすべての NAM プラットフォームに適用できます。詳細については、「NAM サービス モジュール ハードウェア フィルタの作成」を参照してください。
ソフトウェア フィルタは、フィルタ処理に柔軟性を与えますが、キャプチャ セッションの効率性は、ハードウェア フィルタだけを使用した場合に最も高くなります。ソフトウェア フィルタを必要とするトラフィックが少なければ少ないほど、より効果的なフィルタ処理を行えます。
詳しくは、「ハードウェア フィルタの設定」を参照してください。
[Hardware Filters] ウィンドウは、[Capture] > [Packet Capture/Decode] > [Sessions] ウィンドウの下に表示されます。ハードウェア フィルタを設定するには、次の操作を行います。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。
ステップ 2 ウィンドウの下の、[Hardware Filters] セクションで [Create] ボタンをクリックします。
ステップ 4 [Type] ドロップダウン リストから次のいずれかのタイプを選択します。
• VLAN
• IP
ステップ 5 選択したハードウェア フィルタのタイプに対応する、データ フィールドが表示されます。目的のフィールドを入力します。詳細については、次の項を参照してください。
ステップ 6 キャプチャ セッションの設定を完了するには、[Submit] をクリックします。それ以外の場合は、[Reset] をクリックして前の設定に戻すか、[Cancel] をクリックして中断します。
VLAN ハードウェア フィルタを設定するには、次の操作を行います。
ステップ 2 [Type] ドロップダウン メニューから [VLAN] を選択します。
ステップ 3 [Range] または [Individuals] オプション ボタンを選択します。[Range] の場合は、VLAN の範囲を入力します。[Individuals] の場合は、個別の VLAN を最大で 4 つまで入力します。
VLAN および IP ハードウェア フィルタを設定するには、次の操作を行います。
ステップ 2 [Type] ドロップダウン メニューから [VLAN and IP] を選択します。
ステップ 3 目的の VLAN の ID を入力します。VLAN ID の範囲は、1 ~ 4095 です。
ステップ 4 [Source Address / Mask] に入力します(オプション)。
ステップ 5 [Destination Address / Mask] に入力します(オプション)。
ステップ 6 [Layer 4 Protocol] を選択します(オプション)。
IP ハードウェア フィルタを設定するには、次の操作を行います。
ステップ 2 [Type] ドロップダウン メニューから、[IP] を選択します。
ステップ 3 [Source Address / Mask] に入力します(オプション)。
ステップ 4 [Destination Address / Mask] に入力します(オプション)。
ステップ 5 [Layer 4 IP Protocol] を選択します(オプション)。
IP および TCP/UDP ハードウェア フィルタを設定するには、次の操作を行います。
ステップ 2 [Type] ドロップダウン メニューから、[IP and TCP/UDP] を選択します。
ステップ 3 [Source Address / Mask] に入力します(オプション)。
ステップ 4 [Destination Address / Mask] に入力します(オプション)。
ステップ 5 [IP Protocol] で [TCP] または [UDP] を選択します。
ステップ 6 [TCP/UDP Source Port] に入力します(オプション)。
ステップ 7 [TCP/UDP Destination Port] に入力します(オプション)。
IP およびペイロード データ ハードウェア フィルタを設定するには、次の操作を行います。
ステップ 2 [Type] ドロップダウン メニューから、[IP and Payload Data] を選択します。
ステップ 3 [Source Address / Mask] に入力します(オプション)。
ステップ 4 [Destination Address / Mask] に入力します(オプション)。
ステップ 5 [IP Protocol] で [TCP] または [UDP] を選択します。
ステップ 6 [Payload Data] の値を入力します。
• [Offset] に 1 ~ 1023 の値を入力します。オフセットは、ペイロードの始めに相対的な値です(レイヤ 5)。
• [Value] に最大 4 バイトの値を入力します(8 つの 16 進数)。
• [Mask] に最大 4 バイトの値を入力します(8 つの 16 進数)。
ステップ 7 最大 4 つのペイロード データ セグメントに対し、ステップ 6 を繰り返します。
(注) 必要なのは、1 つのペイロード セグメント(1 行)だけです。ペイロード セグメントが重複しないよう注意してください。重複するセグメントに異なる値がある場合は、固有の論理積により、フィルタは何にも一致しなくなります。
ペイロード データ ハードウェア フィルタを設定するには、次の手順に従います。
ステップ 2 [Type] ドロップダウン メニューから、[Payload Data] を選択します。
ステップ 3 [IP Protocol] で [TCP] または [UDP] を選択します。
ステップ 4 [Payload Data] の値を入力します。
• [Offset] に 1 ~ 1023 の値を入力します。オフセットは、ペイロードの始めに相対的な値です(レイヤ 5)。
• [Value] に最大 4 バイトの値を入力します(8 つの 16 進数)。
• [Mask] に最大 4 バイトの値を入力します(8 つの 16 進数)。
ステップ 5 最大 4 つのペイロード データ セグメントに対し、ステップ 4 を繰り返します。
(注) 必要なのは、1 つのペイロード セグメント(1 行)だけです。ペイロード セグメントが重複しないよう注意してください。重複するセグメントに異なる値がある場合は、固有の論理積により、フィルタは何にも一致しなくなります。
保存済みのパケット キャプチャ ファイルをデコード、ダウンロード、名前変更、変換/マージ、削除、分析、またはエラースキャンするには、[Files] オプションを使用します。
Cisco NAM が保存済みのパケット データを使用してキャプチャ ファイルを作成する方法を理解するには、NAM がキャプチャ セッションのトリガーをどのように処理するかについて理解することが重要です。同じストレージ ターゲット上にすでに実行されている既存のキャプチャ セッションが存在する場合、これは矛盾するアラーム トリガーが存在することを意味します。アラーム トリガーは、パケット データの収集を開始するためのアラームしきい値を設定するときに作成されます。各アラームには重要度オプションがあります。
優先されるセッションを決定するために、NAM は次の階層を使用します。
3. スケジュールされたアラーム:セッションを作成し、新しいフィールドを使用してキャプチャを実行する時間と期間を指定します。
4. 手動アラーム:[Capture] メニュー オプションを使用するか、または [Start capture] ボタンをクリックして、キャプチャを開始します。
たとえば、手動で開始したキャプチャ セッションがローカル ディスクにデータを保存中であり、スケジュールされたキャプチャが同じローカル ディスクへのキャプチャを開始するように設定されている場合、NAM はスケジュールされたセッションが開始する前に手動セッションを停止します。
キャプチャ セッションをファイルに保存する方法については、「キャプチャ セッションの作成および管理」 および 表 5-2 を参照してください。ファイルは、.enc または .pcap ファイル形式でダウンロードされます。ダウンロード ファイル形式の設定については、 を参照してください。
[Capture Files] には、次の情報が含まれます。
一部の Cisco NAM プラットフォーム上では、NAM により xxx.pcap ファイルが作成されます。ダウンロード ボタンをクリックすると、ダウンロード操作を許可したかキャンセルしたかにかかわらず、xxx.pcap ファイルが作成されます(ダウンロード ボタンがクリックされると、xxx.pcap ファイルが作成されます)。アプライアンスを使用している 1 つのキャプチャのファイル数が、別の NAM プラットフォームからのキャプチャよりも 1 つ多くなるのは、このためです。
|
|
---|---|
|
|
|
ファイルを .enc または .pcap 形式でコンピュータに保存します。 (注) ファイル名を入力する場合は、ファイル拡張子を付加しないでください。拡張子 .pcap は自動的に付加されます。 (注) .capture から .pcap への変換は、キャプチャ ファイルをダウンロードすると行われます。終了したら、.pcap ファイルを手動で削除する必要があります。 |
|
ファイルの名前を変更します。ダイアログ ボックスが表示され、選択されたキャプチャ ファイルに対して新しい名前を入力するよう求められます。 |
|
ファイルのパケットがマージされます(古い順)。ダイアログ ボックスが表示され、マージされたキャプチャ ファイルに対して新しい名前を入力するよう求められます。マージされたキャプチャ ファイルの名前を入力し、[OK] を選択します。 (注) マージされたファイルは、2 GB を超えることはできません。 一部の Cisco NAM プラットフォームでは、このボタンは [Convert/Merge] と呼ばれます。このボタンを使用すると、.capture ファイルを .pcap ファイルに変換できるので、そのファイルに対して [Error Scan] および [Analyze] 機能を実行できます。そうしなければ、アプライアンスに表示のみされる.capture ファイルに対し、[Analyze] および [Error Scan] 機能を実行できません。 |
|
|
|
選択されたキャプチャの統計分析を表示します。「キャプチャ ファイルの分析」を参照してください。 |
|
ファイルに関する詳細を表示します([Packed ID]、[Protocol]、[Severity]、[Group]、および [Description])。ここから、パケットをデコードすることもできます。詳細については、「パケット エラーの詳細へのドリルダウン」を参照してください。 |
(注) Cisco NAM アプライアンスのキャプチャ ファイルは、NAM のネイティブ形式で保存されます。[Capture] > [Packet Capture/Decode] > [Files] ウィンドウの [Convert/Rename/Merge] ボタンを使用すると、キャプチャ ファイル形式を .pcap に変換することができます。
[Capture Files] ウィンドウ([Capture] > [Packet Capture/Decode] > [Files])では、キャプチャ期間のトラフィック レート(バイト/秒)、ネットワーク トラフィックに関連付けられたホスト、通信、およびアプリケーションのリストを含むさまざまな統計情報を取得できます。
このウィンドウでは、特定のネットワーク トラフィック セットのより詳細な表示にドリル ダウンすることもできます。[Traffic over Time] グラフの上のペインでは、[From:] および [To:] フィールドにグラフに示されている時間が表示されます。また、[Protocol] フィールド、[Host/subnet] フィールド、および [Drill-Down] ボタンもあります。
(注) トラフィックの送信元ホストまたは宛先ホストが、指定されたホスト/サブネットに属する場合は、[Drill-Down] ボタンをクリックすると、[Host Statistics] 結果テーブルには送信元ホストと宛先ホストがどちらも表示されます。
[Traffic over Time] グラフの各スライスには、キャプチャ ファイルの [Granularity] に設定された一定時間のトラフィック量が表示されます。
[From:] および [To:] フィールドに時間を入力し、[Drill-Down] をクリックすると、特定の時間に関するより詳細な情報を表示できます。また、特定の [Protocol] または [Host/subnet] アドレスについてドリルダウンすることもできます。
表 5-7 に、[Capture Analysis] ウィンドウのさまざまな領域を示します。
|
|
---|---|
|
キャプチャされたパケット数、キャプチャされたバイト数、平均パケット サイズ、キャプチャの開始時間、キャプチャ期間、データ転送レート(バイト/秒とビット/秒の両方)を含む、表示されたキャプチャの要約を示します。 |
|
|
|
|
|
キャプチャ デコード機能を使用して、次の操作を実行できます。
• パケット ヒストグラム:パケット数を時系列で表示します。これは、キャプチャでのパケット フローのフィールを提供します。ヒストグラム セレクタ制御を使用して、パケット リスト内を移動することもできます。適用したフィルタに一致するパケットの分布をヒストグラムに表示するには、表示フィルタを適用できます。
• レイアウトの切り替え:デコーダの 3 つのコンテンツ ペインの配置方法を変更します。
• プロトコルの色:特定のプロトコル パケットの色を有効または無効にします。
• 16 進数データのフォント サイズ:デコーダの 16 進数データのコンテンツ ペインの右上隅の上にマウスのカーソルを合わせると、2 つのボタンが表示されます。コンテンツのフォント サイズを増減できます。
• パケット範囲ボタン:パケット リスト内のパケットの現在の範囲を表示し、表示するパケットの範囲を入力できます。
• 表示フィルタ メニュー:[Saved Display Filters] および [Manage Display Filters] ウィンドウを表示します。
(注) この機能は、.pcap ファイルでは使用できますが、.capture ファイルでは使用できません。
Prime NAM で使用可能なパケット データの復号化を表示して、パケット エラーの詳細をさらに調査するか、それにドリルダウンすることができます。
[Capture Errors and Warnings Information] ウィンドウは、警告とエラー、および不正パケットに関する情報を表示します。このウィンドウから、パケットの詳細にドリルダウンできる [Packet Decode] ウィンドウを開くことができます。
[Capture Errors] および [Warnings Information] ウィンドウを表示するには、[Capture] > [Packet Capture/Decode] > [Files] の順に選択します。ファイルを強調表示し、[Errors Scan] ボタンをクリックします。[Error Scan] ウィンドウが表示されます。フィールドを 表 5-8 に示します。次に、行を選択し、[Decode Packets] ボタンをクリックして、パケットの詳細を選択します。
|
|
---|---|
|
|
|
|
|
|
|
[Response Code]:アプリケーションの応答コードに問題がある |
|
一度に 1 つのキャプチャ ファイルしかダウンロードできません。キャプチャ ファイルをコンピュータにダウンロードするには、次の操作を行います。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Files] の順に選択します。
ステップ 2 キャプチャのリストからキャプチャ ファイルを選択します。
[File Download] ダイアログ ボックスが表示され、「Do you want to save this file?」という、ファイルの保存を確認するメッセージが表示されます。
[Save As] ダイアログ ボックスが開きます。ここで、ファイルの名前を変更し、選択した場所にそのファイルを保存できます。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Files] の順に選択します。
ステップ 2 チェックボックスをオンにし、キャプチャのリストからキャプチャ ファイルをします。必要であれば、1 つ以上のキャプチャ ファイルを選択することもできます。
ステップ 3 [Delete] をクリックします。ダイアログ ボックスが表示され、「Delete the following file(s)?」という、ファイルの削除を確認するメッセージとファイル名が表示されます。
ステップ 4 ファイルを削除するには [OK] をクリックします。または、ファイルをそのまま残すには [Cancel] をクリックします。
一度にすべてのキャプチャ ファイルを削除するには、次の操作を行います。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Files] の順に選択します。
ステップ 2 少なくとも 1 つのチェックボックスをオンにし、キャプチャを選択します。
ステップ 3 [Delete All] をクリックして、すべてのキャプチャを削除します。
ダイアログ ボックスが表示され、「Are you sure you want to delete all files?」という、すべてのキャプチャ ファイルの削除を確認するメッセージが表示されます。
ステップ 4 すべてのファイルを削除するには [OK] をクリックします。または、ファイルをそのまま残すには [Cancel] をクリックします。
すべてのプラットフォームの Cisco Prime ネットワーク解析モジュール(NAM) では、外部ストレージ接続を提供しているので、より長いキャプチャ期間と、より高いキャプチャ帯域幅に対応できます。すべてのプラットフォームで iSCSI データ ストレージがサポートされています。この項の内容は、次のとおりです。
外部ストレージのインストールと設定の手順については、Cisco.com で提供されている、プラットフォームのガイドまたは『 Cisco NAM Documentation Overview 』の関連資料を参照してください。
Prime NAM では、[Capture] > [Packet Capture/Decode] > [Data Storage] を使用して外部ストレージ管理を行います。このウィンドウには、検出されたストレージ デバイス(使用可能な場合は内蔵のハード ドライブも含む)がリストされます。
このリリースでは、最大で 32 の外部データ ストレージ ターゲット(論理ユニット番号または LUN の合計)をサポートしています。
ターゲットごとに複数のキャプチャ セッションを作成できます。ストレージ ターゲット(ファイルの場所)ごとに一度に 1 つのキャプチャが許可されます。さらにメモリへのセッションを複数持つことがきます。
一部のアレイには複数のストレージ コントローラ モジュールが付属しており、多くの場合は、モジュールの所有権を各 LUN(論理ユニット番号)にマッピングする必要があります。これは、一般的なセキュリティ機能です。NAM がストレージ アレイ LUN にアクセスできるかどうかを確認するには、[Capture] > [Packet Capture/Decode] > [Data Storage] の順に選択します。
NAM によって使用されていない新しい LUN のステータスは [Unformatted] になります。これらの LUN をキャプチャで使用できるよう準備するには、LUN を選択し、[Format] ボタンをクリックします。数分後、ステータスは [Ready] に変わります。
LUN にユーザ ラベルを適用すると、区別しやすくなります。LUN にラベルを付けるには、[Label] ボタンをクリックします。[Label] ダイアログに、現在のラベルと、LUN が最後にフォーマットされた日時に関する情報が表示されます。
キャプチャ セッションで LUN を使用するには、次の操作を行います。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。
ステップ 2 [Capture Sessions] テーブルの下の [Create] ボタンをクリックします。
ステップ 3 セッションを作成するために適切なフィールドに入力し、[Storage Type] では [Files] オプションを選択します。
ステップ 4 [File Location] テーブルを使用し、目的の LUN を選択します。各リスト項目には、プロトコルと、モデルまたはユーザ ラベル(設定されている場合)が含まれます。リストには、[Ready] 状態のターゲットのみが表示されるので注意してください。
ステップ 5 [Submit] をクリックしてセッションを作成するか、[Cancel] をクリックして前のウィンドウに戻ります。
セッションが 開始 されると、関連する LUN 状態が 使用中 に変化します。その時点で、他のセッションは、そのセッションが削除されるまでその LUN を使用することはできません。これにより、競合、破損データ、および書き込み帯域幅の劣化を防ぐことができます。
NAM 上のローカル サーバのディスクをいっぱいに満たさないようにするために、ファイルを外部ストレージにキャプチャできます。外部ストレージは大容量、高速の読み取り/書き込みを提供でき、ある Cisco NAM から別の NAM に移動できます。ファイルは、内部の [Capture] > [Packet/Capture Decode] > [Files] ページと同じ方法でデコードされます。
このページには、対象となる LUN を選択するためのテーブルがあります。ファイルのテーブルには、その LUN のすべてのキャプチャ ファイルが表示されます。
イントラネット上のデータ転送を容易にし、リモート キャプチャ データ ストレージを管理するために iSCSI を使用できます。
Prime NAM では、データ ストレージ ターゲットに対してログインおよびログアウトするより簡素化されたワークフローを提供します。キャプチャ セッションをリモート ストレージに保存するには、iSCSI にログインする必要があります。ログインしない場合、キャプチャ セッションはローカル ディスクまたはメモリ位置に保存されます。
利用可能なリモート データ ストレージ LUN に対してログインまたはログアウトするには、次の手順を実行します。
ステップ 1 ストレージ アレイの少なくとも 1 つの LUN に対して NAM の読み取り/書き込み権限でターゲット iSCSI システムを設定したことを確認します。詳細については、「データ ストレージへのキャプチャ」を参照してください。
ステップ 2 [Capture] > [Packet Capture/Decode] > [Data Storage] の順に選択し、[iSCSI Login] をクリックします。
ステップ 3 iSCSI 修飾名(IQN)の自動検出を有効にするには、ストレージの場所のターゲットの IP アドレスを入力し、[Search IQN Targets] をクリックします。
その場所で使用可能なすべての IQN がテーブルに表示されます。
ステップ 4 ログアウトするには、[iSCSI Logout] をクリックします。現在ログインしている IQN のリストがテーブルに表示されます。
ステップ 5 ログアウトを行う LUN を表示するには、IQN の 1 つを選択します。そうすると、ポップアップに選択対象の関連 LUN が表示されます。
外部ストレージ デバイスを物理的に切断する前に、[Capture] > [Packet Capture/Decode] > [Storage] の [Unmount] ボタンを使用することを推奨します。これにより、デバイスが切断されることが Cisco NAM に通知され、Cisco NAM は重要なクリーンアップ手順を実行します。その後、ストレージ先は、ステータス列に [Unmounted] と表示され、外部ストレージ デバイスを安全に切断できるようになります。Cisco NAM の電源がオフになると、外部ストレージはこのようにして自動的にアンマウントされます。
デバイスが、[Unmount] ボタンを使用して論理的に切断されたが、ストレージが物理的に接続されたままの場合は、[Mount] ボタンを使用して再アクティブ化できます。これにより、ストレージ先の以前の状態が復元されます。この操作では、ストレージを物理的に切断し、再接続する必要がないので、ストレージが自分から離れた場所にある場合に特に便利です。
以前は動作していたターゲットが [Unformatted] として表示された場合は、CLI を使用してファイルシステム チェックを行います。プロトコルがわかっている場合は、コマンド remote-storage <protocol> fsck <storage ID> を使用します。ストレージ ID は、 remote-storage <protocol> list を実行すると検索できます。ファイルシステム チェックにより、ファイルシステムの破損や状態に関する問題が解決されることもあります。コマンドが成功すると、ストレージが自動的にマウントされ、[Ready] として表示されます。
パケットまたはファイルをいくつかキャプチャした後、Packet Decoder を使用してパケットの内容を表示し、疑いのあるトラフィックを検査できます。
• 「Packet Decoder に表示されるパケットのフィルタリング」
• 「[Packet Decoder] ウィンドウおよび [Browser] ペインの理解」
パケット ブラウザを使用して、キャプチャしたパケットのリストを表示したり、次のことを実行したりできます。
• プロトコル、IP アドレス、MAC アドレスでフィルタリングするほか、[Display Filter] 入力フィールドにフィルタを手動で入力します。
• [Next]、[Previous]、および [Go To] ボタンを使用したキャプチャ セッションからのパケットのロード
• パケット数を時系列で表示します。これは、パケット ヒストグラムと呼ばれます。パケット キャプチャ フローの図表を提供し、パケット リストを参照することができます。フィルタに一致するパケットのみの分布を表示するために、フィルタを適用できます。
• 特定のプロトコルの色を有効または無効にして、視覚的により簡単に追跡できるようにします。
• 16 進数データ ペインのフォント サイズを変更します。オプションを表示するには、ペインの右上隅の上にマウス カーソルを置きます。
• [Packet Range] ボタンを使用して、パケット リスト内のパケットの現在の範囲を表示します。
• あとで使用できるようフィルタを保存します。必要に応じて、既存のフィルタを編集または削除もできます。
(注) これらの機能を使用するには、キャプチャを一時停止または停止する必要があります。
疑いのあるトラフィックのパケット デコード情報を検査するには、次の手順を実行します。
ステップ 1 [Capture] > [Packet Capture/Decode] > [Sessions] または [Capture] > [Packet Capture/Decode] > [Files] の順に選択します(デコードするタイプに基づく)。
ステップ 2 キャプチャ セッションまたはファイルを選択し、[Decode] ボタンをクリックします。[Packet Decoder] ウィンドウが表示されます。テーブルの詳細については、 表 5-9 を参照してください。
Packet Decoder に表示されたパケットをフィルタするには、次の操作を行います。
ステップ 1 [Packet Decoder] ウィンドウで、[Display Filter] ボタンをクリックします。[Packet Decoder - Display Filter] ウィンドウが表示されます。
– [Inclusive] を選択すると、条件に一致するパケットが表示されます。
– [Exclusive] を選択すると、条件に一致しないパケットが表示されます。
– IP アドレスの場合は [IP address] フィルタを選択します。
– MAC アドレスの場合は [MAC Address] フィルタを選択します。
– [Source] では、送信元アドレスを指定できます。指定する必要のない場合は。空白のままにすることができます。
– [Destination] では、宛先元アドレスを指定できます。指定する必要のない場合は。空白のままにすることができます。
– [Both Directions] をオンにすると、どちらの方向に移動するパケットも照合できます。
– いずれかのプロトコルまたはフィールドの一致するパケットを表示するには、[Match any] を選択します。
– すべてのプロトコルまたはフィールドの一致するパケットを表示するには、[Match all] を選択します。
– [Protocols] リストからプロトコルを選択します。
(注) プロトコル名の先頭の数文字を入力して、目的のプロトコルに直接移動できます。入力ミスをした場合にリセットするには、ESC キーまたは SPACE キーを押します。
– 必要に応じて [Fields] リストからプロトコルのフィールドを選択し、フィールド値を選択します。
• [Custom Filter] を選択します。カスタム表示フィルタの設定方法については、「カスタム表示フィルタ」を参照してください。
ステップ 3 [OK] をクリックしてフィルタを適用し、ウィンドウを閉じるか、または [Apply] をクリックしてフィルタを適用し、ウィンドウを開いたままにしておきます。
詳細なプロトコル デコード情報を表示するには、次の操作を行います。
ステップ 1 詳細情報を必要とするパケット番号を強調表示します。
パケットに関する詳細情報が、[Protocol Decode] ペインおよびウィンドウ下部の 16 進数ダンプ ペインに表示されます。
(注) [Protocol Decode] ペインで詳細を強調表示すると、対応するバイトが下の 16 進数ダンプ ペインで強調表示されます。
ステップ 2 情報を調べるには、下部ペインのスクロール バーを使用します。
(注) SCCP トラフィックをデコードすると、Prime NAM はプロトコルを SCCP としてではなく、スキニーとしてリストします。
• プロトコル情報を縮小および展開するには、[Protocol Decode] ペインでプロトコル名をクリックします。
• ペインのサイズを調整するには、ペイン フレームをクリックし、上または下にドラッグします。
表 5-9 に、NAM - [Packet Decoder] ウィンドウのパケット デコーダの操作を示します。
図 5-5 に、[NAM Packet Analyzer] ウィンドウの例を示します。
図 5-5 NAM Packet Analyzer デコード ウィンドウ
|
|
---|---|
|
|
|
|
|
|
|
|
|
[Display Filter] ダイアログを起動します 「Packet Decoder に表示されるパケットのフィルタリング」を参照してください。 |
|
選択した TCP パケットの TCP ストリームに従います。トラフィックのパターンによっては、長時間かかることがあります。 |
表 5-10 に、[Packet Browser] ペインに表示される情報を示します。
定義されたアラーム イベントによって自動的に開始または中止される、複数のキャプチャを設定できます。アラームによってトリガーされるキャプチャを設定するには、次の操作を行います。
ステップ 1 [Setup] > [Alarms] > [Alarm Events] ウィンドウから、アラーム イベントを作成します。
データをキャプチャするイベントのタイプに対し、[Alarm Event] を設定します。詳細については、を参照してください。
ステップ 2 [Setup] > [Alarms] > [Alarm Thresholds] ウィンドウから、イベントのしきい値を設定します。
関連する [Alarm Event] で、対象のパラメータのしきい値を設定します。詳細については、を参照してください。
ステップ 3 [Capture] > [Packet Capture/Decode] > [Sessions] ウィンドウから、キャプチャ セッションを設定します。[Create] をクリックします。
関連する [Alarm Event] に対し、[Start Event] または [Stop Event](またはその両方)を選択します。詳細については、「キャプチャ セッションの設定」を参照してください。
定義した特定の時間または期間に基づいて自動的に開始および停止する、時間ベースでトリガーされる複数のキャプチャを設定できます。次に、パケット データをキャプチャするために 60 分のウィンドウを設定する例を示します。
時間ベースでトリガーされるキャプチャを設定するには、次の操作を行います。
ステップ 1 [Capture] > [Packet Capture/Decode] > [Sessions] ウィンドウから、新しいキャプチャを作成します。
ステップ 2 自動キャプチャの [Enable] チェックボックスをオンにします。
ステップ 3 開始日時および期間(分単位)を [60] に設定します。
ステップ 4 キャプチャ データを保存するために適切なストレージ タイプを選択します。たとえば、[memory HDD] へのキャプチャを選択します。
ステップ 7 キャプチャ セッションを開始するには、[Capture] > [Packet/Capture Decode] > [Sessions] メニューに戻り、以前作成したキャプチャ セッションを選択して、[Start] をクリックします。
カスタム表示フィルタを使用して、カスタマイズしたフィルタを作成および保存すると、[Decode] ウィンドウで使用して表示するパケットを制限できます。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。
ページの下に [Hardware Filters] ボックスが表示されます。
ステップ 2 [Create] をクリックします。[Custom Decode Filter] ダイアログ ボックス( 表 5-11 )が表示されます。
|
|
|
---|---|---|
|
||
|
||
|
||
(MAC or IP) |
||
|
送信元がホスト A で宛先がホスト B の場合、双方向をイネーブルにすると、A から B および B から A のパケットがフィルタリングされます。 送信元がホスト A で宛先が指定されていない場合、双方向をイネーブルにすると、ホスト A へのパケットとホスト A からのパケットの両方がフィルタリングされます。 |
|
|
||
|
[absolute] を選択した場合、オフセットはパケットの絶対開始位置(たとえば、イーサネット フレームの先頭)から計算されます。 プロトコルを選択した場合、オフセットはパケットのプロトコル部分の先頭から計算されます。パケットにプロトコルが含まれていない場合、パケットはこの照合に失敗します。 |
|
|
hh hh hh ... ( hh は 0 ~ 9 または a ~ f の 16 進数)を入力します。使用しない場合は、空白にします。 |
|
|
最も単純なフィルタにより、プロトコルまたはフィールドの存在をチェックできます。たとえば、単純なフィルタ式 ipx を使用して、IPX プロトコルを含むすべてのパケットを表示できます。 |
「カスタム デコード フィルタ式作成のヒント」を参照してください。 |
• フィルタを作成するには、[Submit] をクリックします。
• フィルタの作成を取り消すには、[Cancel] をクリックします。
表 5-12 に示されている論理演算子および比較演算子を使用して、カスタム デコード フィルタ式を構築できます。
|
|
---|---|
カッコ内で部分式をグループ化することもできます。フィルタ式では次のフィールドを使用できます。
|
|
|
---|---|---|
n.n.n.n または n.n.n.n/s (n は 0 ~ 255 の数値、s は 0 ~ 32 のホストを含まないホスト名)。 |
||
[Custom Decode Filter] ダイアログ ボックスの [Protocol] リストをクリックして、フィルタリングできるプロトコルのリストを確認します。 |
||
• 111.122.133.144 からの SNMP パケットを照合するには、次のように入力します。
• 111.122 クラス B ネットワークからの IP パケットを照合するには、次のように入力します。
• ポート 80 への TCP パケットおよびポート 80 からの TCP パケットを照合するには、次のように入力します。
• TOS 値は、IP ヘッダーのバイト 1(2 番めのバイト)に保存されます。16 の TOS 値(0x10)を持つ IP パケットを照合するには、次のように入力します。
• TCP 確認応答番号は、TCP ヘッダーのバイト 8 ~ 11 に保存されます。確認応答番号 12345678(0xBC614E)を持つ TCP パケットを照合するには、次のように入力します。
(注) [Custom Decode Filter] ダイアログ ボックスでは、フィルタ式を他のフィールドと組み合わせて使用できます。この場合、フィルタ式は他の条件との論理積がとられます。
無効または矛盾するフィルタ式では、パケットは照合されません。
ステップ 1 [Capture] > [Packet Capture/Decode] > [Display Filters] の順に選択します。
ステップ 2 編集するフィルタを選択し、[Edit] をクリックします。
ステップ 3 必要に応じて、各フィールドの情報を変更します。
• 変更内容を適用するには、[Submit] をクリックします。
• 変更したページをクリアするには、[Reset] をクリックします。
• 変更を適用せずにページを終了するには、[Cancel] をクリックします。
ステップ 1 [Capture] > [Packet Capture/Decode] > [Display Filters] の順に選択します。
ステップ 2 削除するフィルタを選択し、[Delete] をクリックします。
ステップ 3 確認のダイアログ ボックスで、次のいずれかを選択します。