Inleiding
Dit document beschrijft de Ethanalyzer, een Cisco NX-OS geïntegreerde pakketregistratietool voor besturingspakketten op basis van Wireshark.
Achtergrondinformatie
Wireshark is een open-source, netwerkprotocol analyzer die veel wordt gebruikt in veel industrieën en onderwijsinstellingen. Het decodeert pakketten die zijn vastgelegd door libpcap, de bibliotheek voor het vastleggen van pakketten. Cisco NX-OS draait bovenop de Linux-kernel, die de libpcap-bibliotheek gebruikt om packet capture te ondersteunen.
Met Ethanalyzer kunt u:
- Pakketten vastleggen die door de toezichthouder zijn verzonden of ontvangen.
- Stel het aantal pakketten in dat moet worden vastgelegd.
- Stel de lengte in van de pakketten die moeten worden vastgelegd.
- Pakketten weergeven met beknopte of gedetailleerde protocolinformatie.
- Ontvangen pakketgegevens openen en opslaan.
- Filterpakketten vastgelegd op vele criteria.
- Filterpakketten die op veel criteria moeten worden weergegeven.
- Decodeer de interne 7000-header van het controlepakket.
Ethanalyzer kan niet:
- Waarschuw u wanneer uw netwerk problemen ondervindt. Ethanalyzer kan u echter helpen de oorzaak van het probleem te bepalen.
- Leg gegevensvliegtuigverkeer vast dat wordt doorgestuurd in de hardware.
- Ondersteuning voor interfacespecifieke vastlegging.
Uitvoeropties
Dit is een overzichtsweergave van de uitvoer van de opdracht ethanalyzer local interface in band. De optie ? geeft hulp weer.

Gebruik de detailoptie voor gedetailleerde protocolinformatie. ^C kan worden gebruikt om af te breken en de switch-prompt terug te krijgen in het midden van een opname, indien nodig.

Filteropties
opnamefilter
Gebruik de optie capture-filter om te selecteren welke pakketten tijdens het vastleggen op schijf moeten worden weergegeven of opgeslagen. Een opnamefilter behoudt een hoge opnamesnelheid terwijl het filtert. Omdat volledige dissectie niet is uitgevoerd op de pakketten, zijn de filtervelden vooraf gedefinieerd en beperkt.
weergavefilter
Gebruik de optie display-filter om de weergave van een opnamebestand (tmp-bestand) te wijzigen. Een weergavefilter maakt gebruik van volledig ontleed pakketten, zodat u zeer complexe en geavanceerde filtering kunt doen wanneer u een netwerktracefile analyseert. Het tmp-bestand kan echter snel worden gevuld, omdat het eerst alle pakketten vastlegt en vervolgens alleen de gewenste pakketten weergeeft.
In dit voorbeeld is limit-capture-frames ingesteld op 5. Met de optie capture-filter toont Ethanalyzer u vijf pakketten die overeenkomen met de filterhost 10.10.10.2. Met de optie display-filter legt Ethanalyzer eerst vijf pakketten vast en geeft vervolgens alleen de pakketten weer die overeenkomen met het filter ip.addr==10.10.10.2.

Schrijfopties
schrijven
Met de schrijfoptie kunt u de vastgelegde gegevens schrijven naar een bestand in een van de opslagapparaten (zoals bootflash of logflash) op de Cisco Nexus 7000 Series-Switch voor latere analyse. De grootte van het vastleggingsbestand is beperkt tot 10 MB.
Een voorbeeld van een Ethanalyzer-opdracht met een schrijfoptie is ethanalyzer local interface in band write bootflash: capture_file_name. Een voorbeeld van een schrijfoptie met capture-filter en een uitvoerbestandsnaam van first-capture is:

Wanneer de vastgelegde gegevens in een bestand worden opgeslagen, worden de vastgelegde pakketten standaard niet weergegeven in het terminalvenster. De weergaveoptie dwingt Cisco NX-OS om de pakketten weer te geven terwijl de vastgelegde gegevens in een bestand worden opgeslagen.
opnameringbuffer
Met de optie capture-ring-buffer worden meerdere bestanden gemaakt na een bepaald aantal seconden, een bepaald aantal bestanden of een opgegeven bestandsgrootte. Definities van die opties zijn in deze schermafbeelding:

Leesopties
Met de leesoptie kunt u het opgeslagen bestand op het apparaat zelf lezen.

U kunt het bestand ook overbrengen naar een server of een pc en het lezen met Wireshark of een andere toepassing die cap- of pcap-bestanden kan lezen.


Decode-intern met detailoptie
De decode-interne optie rapporteert interne informatie over hoe de Nexus 7000 het pakket doorstuurt. Deze informatie helpt u de stroom pakketten door de CPU te begrijpen en problemen op te lossen.

Converteer de NX-OS-index naar hexadecimaal en gebruik vervolgens de opdracht interne pixelinfo ltl x tonen om de lokale doellogica (LTL)-index toe te wijzen aan een fysieke of logische interface.
Voorbeelden van waarden voor opnamefilters
Verkeer van of naar een IP-host vastleggen
host 10.1.1.1
Verkeer vastleggen van of naar een reeks IP-adressen
net 172.16.7.0/24
net 172.16.7.0 mask 255.255.255.0
Verkeer vastleggen vanuit een reeks IP-adressen
src net 172.16.7.0/24
src net 172.16.7.0 mask 255.255.255.0
Verkeer vastleggen naar een reeks IP-adressen
dst net 172.16.7.0/24
dst net 172.16.7.0 mask 255.255.255.0
Alleen verkeer vastleggen op een bepaald protocol - Alleen DNS-verkeer vastleggen
DNS staat voor Domain Name System Protocol.
port 53
Alleen verkeer vastleggen op een bepaald protocol - Alleen DHCP-verkeer vastleggen
DHCP is het Dynamic Host Configuration Protocol.
port 67 or port 68
Verkeer vastleggen niet op een bepaald protocol - HTTP- of SMTP-verkeer uitsluiten
SMTP staat voor Simple Mail Transfer Protocol.
host 172.16.7.3 and not port 80 and not port 25
Verkeer vastleggen niet op een bepaald protocol - ARP- en DNS-verkeer uitsluiten
ARP staat voor Address Resolution Protocol.
port not 53 and not arp
Leg alleen IP-verkeer vast - sluit laaglaagprotocollen zoals ARP en STP uit
STP is het Spanning Tree Protocol.
ip
Alleen Unicast-verkeer vastleggen - Uitzendingen en multicast-aankondigingen uitsluiten
not broadcast and not multicast
Verkeer vastleggen binnen een bereik van Layer 4-poorten
tcp portrange 1501-1549
Verkeer vastleggen op basis van Ethernet-type - EAPOL-verkeer vastleggen
EAPOL is het Extensible Authentication Protocol over LAN.
ether proto 0x888e
Workaround IPv6-vastlegging
ether proto 0x86dd
Verkeer vastleggen op basis van IP-protocoltype
ip proto 89
Ethernet-frames op basis van MAC-adres afwijzen - Verkeer uitsluiten dat tot de LLDP Multicast-groep behoort
LLDP staat voor Link Layer Discovery Protocol.
not ether dst 01:80:c2:00:00:0e
UDLD-, VTP- of CDP-verkeer vastleggen
UDLD is Unidirectional Link Detection, VTP is het VLAN Trunking Protocol en CDP is het Cisco Discovery Protocol.
ether host 01:00:0c:cc:cc:cc
Verkeer van of naar een MAC-adres vastleggen
ether host 00:01:02:03:04:05
Opmerking:
en = &&
of = ||
Niet =!
MAC-adresformaat: xx:xx:xx:xx:xx:xx:xx
gemeenschappelijke controlevliegtuigprotocollen
- UDLD: Destination Media Access Controller (DMAC) = 01-00-0C-CC-CC en EthType = 0x0111
- LACP: DMAC = 01:80:C2:00:00:02 en EthType = 0x8809. LACP staat voor Link Aggregation Control Protocol.
- STP: DMAC = 01:80:C2:00:00:00 en EthType = 0x4242 - of - DMAC = 01:00:0C:CC:CD en EthType = 0x010B
- CDP: DMAC = 01-00-0C-CC-CC en EthType = 0x2000
- LLDP: DMAC = 01:80:C2:00:00:0E of 01:80:C2:00:00:03 of 01:80:C2:00:00:00 en EthType = 0x88CC
- DOT1X: DMAC = 01:80:C2:00:00:03 en EthType = 0x888E. DOT1X staat voor IEEE 802.1x.
- IPv6: EthType = 0x86DD
- Lijst met UDP- en TCP-poortnummers
Bekende problemen
Cisco bug ID CSCue48854: Ethanalyzer capture-filter vangt geen verkeer van CPU op SUP2.
Cisco bug ID CSCtx79409: Kan opnamefilter niet gebruiken met decode-internal.
Cisco bug ID CSCvi02546: SUP3 gegenereerd pakket kan FCS hebben, dit is verwacht gedrag.
Gerelateerde informatie