Introdução
Este documento descreve o Ethanalyzer, uma ferramenta integrada Cisco NX-OS da captura de pacote de informação para os pacotes de controle baseados em Wireshark.
Wireshark é uma aberta, analisador do protocolo de rede amplamente utilizado através de muitas indústrias e instituições educacionais. Descodifica os pacotes capturados pelo libpcap, a biblioteca da captura de pacote de informação. O Cisco NX-OS é executado sobre o kernel (centro) de Linux, que usa a biblioteca do libpcap a fim apoiar a captura de pacote de informação.
Com Ethanalyzer, você pode:
- Capture os pacotes enviados ou recebidos pelo supervisor.
- Ajuste o número de pacotes a ser capturados.
- Ajuste o comprimento dos pacotes a ser capturados.
- Indique pacotes com informação de protocolo sumária ou detalhada.
- Abra e salvar os dados do pacote capturados.
- Filtre os pacotes capturados em muitos critérios.
- Filtre os pacotes a ser indicados em muitos critérios.
- Descodifique o encabeçamento 7000 interno do pacote de controle.
Ethanalyzer não pode:
- Advirta-o quando sua rede experimenta problemas. Contudo, Ethanalyzer pôde ajudá-lo a determinar a causa do problema.
- Capture o tráfego plano dos dados que é enviado no hardware.
- Apoie a captação relação-específica.
Opções de saída
Esta é uma ideia sumária da saída do comando inband da interface local do ethanalyzer. “?” ajuda dos indicadores da opção.

Use a opção do “detalhe” para informação de protocolo detalhada. o ^C pode ser usado para abortar e receber de volta a alerta do interruptor no meio de uma captação se for necessário.

Opções de filtro
captação-filtro
Use a opção do “captação-filtro” a fim selecionar que os pacotes a indicar ou salvar ao disco durante a captação. Um filtro da captação mantém uma taxa alta da captação quando filtrar. Porque a disseção completa não foi feita nos pacotes, os campos do filtro são predefinidos e limitados.
indicador-filtro
Use a opção do “indicador-filtro” a fim mudar a ideia de um arquivo de captura (arquivo de tmp). Um filtro do indicador usa pacotes inteiramente dissecados, assim que você pode fazer a filtração muito complexa e avançada quando você analisa uma rede tracefile. Contudo, o arquivo de tmp pode encher-se rapidamente, desde que captura primeiramente todos os pacotes e indica então somente os pacotes desejados.
Neste exemplo, os “limite-capturar-quadros” são ajustados ao 5. Com o “captação-filtro” a opção, Ethanalyzer mostra-lhe cinco pacotes que fósforo o host 10.10.10.2' do filtro '. Com a opção do “indicador-filtro”, Ethanalyzer primeiramente captura cinco pacotes a seguir indica somente os pacotes que combinam o filtro 'ip.addr==10.10.10.2.

Escreva opções
escreva
“Escreva” a opção deixa-o redigir os dados da captação a um arquivo em um dos dispositivos de armazenamento (tais como o boothflash ou o logflash) no 7000 Series Switch do nexo de Cisco para a análise posterior. O tamanho de arquivo de captura é limitado ao 10 MB.
Um comando de Ethanalyzer do exemplo com “escreve” a opção é interface local do ethanalyzer inband escreve o bootflash: capture_file_name. Um exemplo do “escreve” a opção com o “captação-filtro” e um nome de arquivo da saída da “primeiro-captação” é:

Quando os dados da captação salvar a um arquivo, os pacotes capturados, não estão indicados à revelia na janela terminal. A opção do “indicador” força o Cisco NX-OS para indicar os pacotes quando salvar os dados da captação a um arquivo.
captação-anel-buffer
A opção do “captação-anel-buffer” cria arquivos múltiplos após um número especificado de segundos, um número especificado de arquivos, ou um tamanho do arquivo especificado. As definições daquelas opções estão neste screen shot:

Leia opções
A opção “lida” deixa-o ler o arquivo salvo no dispositivo próprio.

Você pode igualmente transferir o arquivo a um server ou a um PC e lê-lo com Wireshark ou todo o outro aplicativo que puderem ler arquivos do tampão ou do pcap.


descodificar-interno com opção do detalhe
A opção “descodificar-interna” relata a informação interna em como o nexo 7000 para a frente o pacote. Esta informação ajuda-o a compreender e pesquisar defeitos o fluxo dos pacotes com o CPU.

Converta o deslocamento predeterminado NX-OS ao hexadecimal, a seguir use o comando x interno LTL da informação do pixm do sistema da mostra a fim traçar o deslocamento predeterminado da lógica de alvo local (LTL) a um exame ou a uma interface lógica.
Exemplos de valores do captação-filtro
Tráfego da captação a ou de um Host IP
host 1.1.1.1
Tráfego da captação a ou de uma escala dos endereços IP de Um ou Mais Servidores Cisco ICM NT
net 172.16.7.0/24
net 172.16.7.0 mask 255.255.255.0
Tráfego da captação de uma escala dos endereços IP de Um ou Mais Servidores Cisco ICM NT
src net 172.16.7.0/24
src net 172.16.7.0 mask 255.255.255.0
Tráfego da captação a uma escala dos endereços IP de Um ou Mais Servidores Cisco ICM NT
dst net 172.16.7.0/24
dst net 172.16.7.0 mask 255.255.255.0
Tráfego da captação somente em algum protocolo - tráfego da captação somente DNS
O DNS é o protocolo do Domain Name System.
port 53
Tráfego da captação somente em algum protocolo - tráfego da captação somente DHCP
O DHCP é o protocolo de configuração dinâmica host.
port 67 or port 68
Tráfego da captação não em algum protocolo - exclua o tráfego HTTP ou S TP
O S TP é o protocolo simple mail transfer.
host 172.16.7.3 and not port 80 and not port 25
Tráfego da captação não em algum protocolo - exclua o tráfego ARP e DNS
O ARP é o protocolo Protocolo de resolución de la dirección (ARP).
port not 53 and not arp
Tráfego IP da captação somente - Exclua protocolos da camada mais baixa como o ARP e o STP
O STP é o Spanning Tree Protocol.
ip
Tráfego de unicast da captação somente - Exclua anúncios da transmissão e do Multicast
not broadcast and not multicast
Capture o tráfego dentro de uma escala de portas da camada 4
tcp portrange 1501-1549
Capture o tráfego baseado no tipo de Ethernet - Capture o tráfego EAPOL
O EAPOL é o protocolo extensible authentication sobre o LAN.
ether proto 0x888e
Workaround da captação do IPv6
ether proto 0x86dd
Tráfego da captação baseado no tipo de protocolo IP
ip proto 89
Frames da Ethernet da rejeição baseados no MAC address - Exclua o tráfego que pertence ao grupo de transmissão múltipla LLDP
LLDP é o protocolo de descoberta da camada de enlace.
not ether dst 01:80:c2:00:00:0e
Captação UDLD, VTP, ou tráfego de CDP
O UDLD é detecção de enlace unidirecional, o VTP é o protocolo VLAN trunking, e o CDP é o protocolo cisco discovery.
ether host 01:00:0c:cc:cc:cc
Tráfego da captação a ou de um MAC address
ether host 00:01:02:03:04:05
Nota:
e = &&
ou = ||
não =!
Formato do MAC address: xx: xx: xx: xx: xx: xx
Protocolos planos do controle comum
- UDLD: Controlador do acesso da mídia de destino (DMAC) = 01-00-0C-CC-CC-CC e EthType = 0x0111
- LACP: DMAC = 01:80:C2:00:00:02 e EthType = 0x8809. O LACP representa o protocolo link aggregation control.
- STP: DMAC = 01:80:C2:00:00:00 e EthType = 0x4242 - ou - DMAC = 01:00:0C:CC:CC:CD e EthType = 0x010B
- CDP: DMAC = 01-00-0C-CC-CC-CC e EthType = 0x2000
- LLDP: DMAC = 01:80:C2:00:00:0E ou 01:80:C2:00:00:03 ou 01:80:C2:00:00:00 e EthType = 0x88CC
- DOT1X: DMAC = 01:80:C2:00:00:03 e EthType = 0x888E. O DOT1X representa o IEEE 802.1X.
- IPv6: EthType = 0x86DD
- Lista de UDP e de números de porta de TCP
Problemas conhecidos
Identificação de bug Cisco CSCue48854: O captação-filtro de Ethanalyzer não captura o tráfego do CPU no SUP2.
Identificação de bug Cisco CSCtx79409: Não pode usar o filtro da captação com descodificar-interno.
Identificação de bug Cisco CSCvi02546: O pacote gerado SUP3 terá o FCS, isto é comportamento esperado.
Informações Relacionadas