Este documento descreve como configurar a característica de Wireshark para Cisco Catalyst 4500 Series Switch.
A fim utilizar a característica de Wireshark, você deve estar conformes estas circunstâncias:
A informação neste documento é baseada nos Cisco Catalyst 4500 Series Switch que executam o Supervisor Engine 7-E.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Os Cisco Catalyst 4500 Series Switch que executam o Supervisor Engine 7-E têm uma funcionalidade incorporado nova com Cisco IOS? - Versões 3.3(0) XE/151.1 ou mais atrasado. Esta característica de Wireshark do acessório tem a capacidade para capturar pacotes em uma maneira que substitua o uso tradicional do analisador de porta de switch (PERÍODO) com um PC anexado a fim capturar pacotes em um scenario de Troubleshooting.
Esta seção serve como um guia de início rápido a fim começar uma captação. A informação fornecida é muito geral, e você deve executar filtros e ajustes do buffer como necessário a fim limitar a captação excessiva dos pacotes se você se opera em uma rede de produção.
Termine estas etapas a fim configurar a característica de Wireshark:
4500TEST#show version
Cisco IOS Software, IOS-XE Software, Catalyst 4500 L3 Switch Software
(cat4500e-UNIVERSAL-M), Version 03.03.00.SG RELEASE SOFTWARE (fc3)
<output omitted>
License Information for 'WS-X45-SUP7-E'
License Level: entservices Type: Permanent
Next reboot license Level: entservices
cisco WS-C4507R+E (MPC8572) processor (revision 8)
with 2097152K/20480K bytes of memory.
Processor board ID FOX1512GWG1
MPC8572 CPU at 1.5GHz, Supervisor 7
<output omitted>
4500TEST#show proc cpu history
History information for system:
888844444222222222222222333334444422222222222222255555222222
100
90
80
70
60
50
40
30
20
10 **** ****
0.....5.....1.....1.....2.....2.....3.....3.....4.....4.....5....5
0 5 0 5 0 5 0 5 0 5
CPU% per second (last 60 seconds)
4500TEST#monitor capture MYCAP interface g2/26 both
4500TEST#monitor capture file bootflash:MYCAP.pcap
4500TEST#monitor capture MYCAP match any start
*Sep 13 15:24:32.012: %BUFCAP-6-ENABLE: Capture Point MYCAP enabled.
4500TEST#monitor capture MYCAP start capture-filter "icmp"
*Sep 13 15:25:07.933: %BUFCAP-6-DISABLE_ASYNC:Incorpore este comando a fim parar manualmente a captação:
Capture Point MYCAP disabled. Reason : Wireshark session ended
4500TEST#monitor capture MYCAP stop
4500TEST#show monitor capture file bootflash:MYCAP.pcap
1 0.000000 44:d3:ca:25:9c:c9 -> 01:00:0c:cc:cc:cc CDP
Device ID: 4500TEST Port ID: GigabitEthernet2/26
2 0.166983 00:19:e7:c1:6a:18 -> 01:80:c2:00:00:00 STP
Conf. Root = 32768/1/00:19:e7:c1:6a:00 Cost = 0 Port = 0x8018
3 0.166983 00:19:e7:c1:6a:18 -> 01:00:0c:cc:cc:cd STP
Conf. Root = 32768/1/00:19:e7:c1:6a:00 Cost = 0 Port = 0x8018
4 1.067989 14.1.98.2 -> 224.0.0.2 HSRP Hello (state Standby)
5 2.173987 00:19:e7:c1:6a:18 -> 01:80:c2:00:00:00 STP
Conf. Root = 32768/1/00:19:e7:c1:6a:00 Cost = 0 Port = 0x8018
4500TEST#show monitor capture file bootflash:MYCAP.pcap display-filter "icmp"
17 4.936999 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=0/0, ttl=255)
18 4.936999 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=0/0, ttl=251)
19 4.938007 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=1/256, ttl=255)
20 4.938007 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=1/256, ttl=251)
21 4.938998 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=2/512, ttl=255)
22 4.938998 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=2/512, ttl=251)
23 4.938998 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=3/768, ttl=255)
24 4.940005 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=3/768, ttl=251)
25 4.942996 14.1.98.144 -> 172.18.108.26 ICMP Echo
(ping) request (id=0x0001, seq(be/le)=4/1024, ttl=255)
26 4.942996 172.18.108.26 -> 14.1.98.144 ICMP Echo
(ping) reply (id=0x0001, seq(be/le)=4/1024, ttl=251)
4500TEST#copy bootflash: ftp://Username:Password@<ftp server address>
4500TEST#copy bootflash: tftp:
4500TEST#no monitor capture MYCAP
4500TEST#show monitor capture MYCAP
<no output>
4500TEST#
À revelia, o limite de tamanho do arquivo de captura é 100 pacotes, ou 60 segundos em um arquivo Linear. A fim mudar o limite de tamanho, use a opção do limite na sintaxe da captação do monitor:
4500TEST#monitor cap MYCAP limit ?
duration Limit total duration of capture in seconds
packet-length Limit the packet length to capture
packets Limit number of packets to capture
O tamanho máximo do buffer é 100 MB. Isto é ajustado, assim como ajuste circular/Linear do buffer, com este comando:
4500TEST#monitor cap MYCAP buffer ?
circular circular buffer
size Size of buffer
A característica de Wireshark do acessório é uma ferramenta muito poderosa se usada corretamente. Salvar o tempo e os recursos quando você pesquisa defeitos uma rede. Contudo, cuidado do exercício quando você utilizar a característica, porque pôde aumentar a utilização CPU em situações do tráfego elevado. Nunca configurar a ferramenta e deixe-a desacompanhada.
No momento, não há procedimento de verificação disponível para esta configuração.
Devido às limitações do hardware, você pôde receber pacotes estragados no arquivo de captura. Isto é devido aos bufferes separados usados para as captações do ingresso e do pacote de saída. Se você tem pacotes estragados em sua captação, ajuste ambos seus bufferes ao ingresso. Isto impede que os pacotes na saída processem antes dos pacotes de ingresso quando o buffer é processado.
Se você vê pacotes estragados, recomenda-se que você muda sua configuração de ambos a dentro em ambas as relações.
Está aqui o comando precedente:
4500TEST#monitor capture MYCAP interface g2/26 both
Mude o comando a estes:
4500TEST#monitor capture MYCAP interface g2/26 in
4500TEST#monitor capture MYCAP interface g2/27 in
+------------+
| |
| 4500 |
+------+ | | +------+
| +---------->in out+---------> |
| host | |g2/26 g2/27| | host |
| <----------+out in<---------+ |
+------+ | | +------+
| |
+------------+