Ethanalyzer no guia de Troubleshooting do nexo 7000

Introdução

Este documento descreve o Ethanalyzer, uma ferramenta integrada Cisco NX-OS da captura de pacote de informação para os pacotes de controle baseados em Wireshark.

Wireshark é aberta, analisador do protocolo de rede amplamente utilizado através de muitas indústrias e instituições educacionais. Descodifica os pacotes capturados pelo libpcap, a biblioteca da captura de pacote de informação. O Cisco NX-OS é executado sobre o kernel (centro) de Linux, que usa a biblioteca do libpcap para apoiar a captura de pacote de informação.

Com Ethanalyzer, você pode:

• Capture os pacotes enviados ou recebidos pelo supervisor.
• Ajuste o número de pacotes a ser capturados.
• Ajuste o comprimento dos pacotes a ser capturados.
• Indique pacotes com informação de protocolo sumária ou detalhada.
• Abra e salvar os dados do pacote capturados.
• Filtre os pacotes capturados em muitos critérios.
• Filtre os pacotes a ser indicados em muitos critérios.
• Descodifique o encabeçamento 7000 interno do pacote de controle.

Ethanalyzer não pode:

• Advirta-o quando sua rede experimenta problemas. Contudo, Ethanalyzer pôde ajudá-lo a determinar a causa do problema.
• Capture o tráfego plano dos dados que é enviado no hardware.
• Apoie a captação relação-específica.

Opções de saída

Esta é uma ideia sumária da saída do comando inband da interface local do ethanalyzer. “?” ajuda dos indicadores da opção.

Use a opção do “detalhe” para informação de protocolo detalhada.

Opções de filtro

captação-filtro

Use a opção do “captação-filtro” a fim selecionar que os pacotes a indicar ou salvar ao disco durante a captação. Um filtro da captação mantém uma taxa alta da captação quando filtrar. Porque a disseção completa não foi feita nos pacotes, os campos do filtro são predefinidos e limitados.

indicador-filtro

Use a opção do “indicador-filtro” a fim mudar a ideia de um arquivo de captura (arquivo de tmp). Um filtro do indicador usa pacotes inteiramente dissecados, assim que você pode fazer a filtração muito complexa e avançada quando você analisa uma rede tracefile. Contudo, o arquivo de tmp pode encher-se rapidamente, desde que captura primeiramente todos os pacotes e indica então somente os pacotes desejados.

Neste exemplo, os “limite-capturar-quadros” são ajustados ao 5. Com o “captação-filtro” a opção, Ethanalyzer mostra-lhe cinco pacotes que fósforo o host 10.10.10.2' do filtro '. Com a opção do “indicador-filtro”, Ethanalyzer primeiramente captura cinco pacotes a seguir indica somente os pacotes que combinam o filtro 'ip.addr==10.10.10.2.

Escreva opções

escreva

“Escreva” a opção deixa-o redigir os dados da captação a um arquivo em um dos dispositivos de armazenamento (tais como o boothflash ou o logflash) no 7000 Series Switch do nexo de Cisco para a análise posterior. O tamanho de arquivo de captura é limitado ao 10 MB.

Um comando de Ethanalyzer do exemplo com “escreve” a opção é interface local do ethanalyzer inband escreve o bootflash: capture_file_name. Um exemplo do “escreve” a opção com o “captação-filtro” e um nome de arquivo da saída da “primeiro-captação” é:

Quando os dados da captação salvar a um arquivo, os pacotes capturados, não estão indicados à revelia na janela terminal. A opção do “indicador” força o Cisco NX-OS para indicar os pacotes quando salvar os dados da captação a um arquivo.

captação-anel-buffer

A opção do “captação-anel-buffer” cria arquivos múltiplos após um número especificado de segundos, um número especificado de arquivos, ou um tamanho do arquivo especificado. As definições daquelas opções estão neste screen shot:

Leia opções

A opção “lida” deixa-o ler o arquivo salvo no dispositivo próprio.

Você pode igualmente transferir o arquivo a um server ou a um PC e lê-lo com Wireshark ou todo o outro aplicativo que puderem ler arquivos do tampão ou do pcap.

descodificar-interno com opção do detalhe

A opção “descodificar-interna” relata a informação interna em como o nexo 7000 para a frente o pacote. Esta informação ajuda-o a compreender e pesquisar defeitos o fluxo dos pacotes com o CPU.

Converta o deslocamento predeterminado NX-OS ao hexadecimal, a seguir use o comando x interno LTL da informação do pixm do sistema da mostra a fim traçar o deslocamento predeterminado da lógica de alvo local (LTL) a um exame ou a uma interface lógica.

Exemplos de valores do captação-filtro

Tráfego da captação a ou de um Host IP

host 1.1.1.1

Tráfego da captação a ou de uma escala dos endereços IP de Um ou Mais Servidores Cisco ICM NT

net 172.16.7.0/24
net 172.16.7.0 mask 255.255.255.0

Tráfego da captação de uma escala dos endereços IP de Um ou Mais Servidores Cisco ICM NT

src net 172.16.7.0/24
src net 172.16.7.0 mask 255.255.255.0

Tráfego da captação a uma escala dos endereços IP de Um ou Mais Servidores Cisco ICM NT

dst net 172.16.7.0/24
dst net 172.16.7.0 mask 255.255.255.0

Tráfego da captação somente em algum protocolo - tráfego da captação somente DNS

O DNS é o protocolo do Domain Name System.

port 53

Tráfego da captação somente em algum protocolo - tráfego da captação somente DHCP

O DHCP é o protocolo de configuração dinâmica host.

port 67 or port 68

Tráfego da captação não em algum protocolo - exclua o tráfego HTTP ou S TP

O S TP é o protocolo simple mail transfer.

host 172.16.7.3 and not port 80 and not port 25

Tráfego da captação não em algum protocolo - exclua o tráfego ARP e DNS

O ARP é o protocolo Protocolo de resolución de la dirección (ARP).

port not 53 and not arp

Tráfego IP da captação somente - Exclua protocolos da camada mais baixa como o ARP e o STP

O STP é o Spanning Tree Protocol.

ip

Tráfego de unicast da captação somente - Exclua anúncios da transmissão e do Multicast

not broadcast and not multicast

Capture o tráfego dentro de uma escala de portas da camada 4

tcp portrange 1501-1549

Capture o tráfego baseado no tipo de Ethernet - Capture o tráfego EAPOL

O EAPOL é o protocolo extensible authentication sobre o LAN.

ether proto 0x888e

Workaround da captação do IPv6

ether proto 0x86dd

Tráfego da captação baseado no tipo de protocolo IP

ip proto 89

Frames da Ethernet da rejeição baseados no MAC address - Exclua o tráfego que pertence ao grupo de transmissão múltipla LLDP

LLDP é o protocolo de descoberta da camada de enlace.

not ether dst 01:80:c2:00:00:0e

Captação UDLD, VTP, ou tráfego de CDP

O UDLD é detecção de enlace unidirecional, o VTP é o protocolo VLAN trunking, e o CDP é o protocolo cisco discovery.

ether host 01:00:0c:cc:cc:cc

Tráfego da captação a ou de um MAC address

ether host 00:01:02:03:04:05

Nota:
e = &&
ou = ||
não =!
Formato do MAC address: xx: xx: xx: xx: xx: xx

Protocolos planos do controle comum

• UDLD: Controlador do acesso da mídia de destino (DMAC) = 01-00-0C-CC-CC-CC e EthType = 0x0111
• LACP: DMAC = 01:80:C2:00:00:02 e EthType = 0x8809. O LACP representa o protocolo link aggregation control.
• STP: DMAC = 01:80:C2:00:00:00 e EthType = 0x4242 - ou - DMAC = 01:00:0C:CC:CC:CD e EthType = 0x010B
• CDP: DMAC = 01-00-0C-CC-CC-CC e EthType = 0x2000
• LLDP: DMAC = 01:80:C2:00:00:0E ou 01:80:C2:00:00:03 ou 01:80:C2:00:00:00 e EthType = 0x88CC
• DOT1X: DMAC = 01:80:C2:00:00:03 e EthType = 0x888E. O DOT1X representa o IEEE 802.1X.
  
• IPv6: EthType = 0x86DD
  
• Lista de UDP e de números de porta de TCP 
  

Problemas conhecidos

Veja a identificação de bug Cisco CSCue48854: O captação-filtro de Ethanalyzer não captura o tráfego do CPU no SUP2. Igualmente veja a identificação de bug Cisco CSCtx79409: Não pode usar o filtro da captação com descodificar-interno.

Informações Relacionadas

• Wireshark: CaptureFilters 
• Wireshark: DisplayFilters 
• Suporte Técnico e Documentação - Cisco Systems