Introduction
Este documento descreve o Ethanalyzer, uma ferramenta de captura de pacotes integrada do Cisco NX-OS para controlar pacotes com base no Wireshark.
O Wireshark é um analisador de protocolo de rede de código aberto amplamente usado em vários setores e instituições educacionais. Decodifica pacotes capturados pela libpcap, a biblioteca de captura de pacotes. O Cisco NX-OS é executado sobre o kernel Linux, que usa a biblioteca libpcap para suportar a captura de pacotes.
Com o Ethanalyzer, você pode:
- Capturar pacotes enviados ou recebidos pelo Supervisor.
- Defina o número de pacotes a serem capturados.
- Defina o comprimento dos pacotes a serem capturados.
- Exibir pacotes com informações de protocolo detalhadas ou de resumo.
- Abrir e salvar dados de pacote capturados.
- Filtrar pacotes capturados em muitos critérios.
- Filtre os pacotes a serem exibidos em muitos critérios.
- Decodificar o cabeçalho interno 7000 do pacote de controle.
O Ethanalyzer não pode:
- Avise-o quando sua rede tiver problemas. No entanto, o Ethanalyzer pode ajudá-lo a determinar a causa do problema.
- Capture o tráfego do plano de dados que é encaminhado no hardware.
- Suporte a captura específica da interface.
Opções de saída
Esta é uma exibição resumida da saída do comando ethanalyzer local interface inband. O '?' exibe a ajuda.

Use a opção 'detail' para obter informações detalhadas do protocolo. ^C pode ser usado para abortar e obter o prompt do switch novamente no meio de uma captura, se necessário.

Opções de filtro
filtro de captura
Use a opção 'capture-filter' para selecionar quais pacotes serão exibidos ou salvos em disco durante a captura. Um filtro de captura mantém uma alta taxa de captura enquanto filtra. Como não foi feita a dissecação completa dos pacotes, os campos de filtro são predefinidos e limitados.
filtro de exibição
Use a opção 'display-filter' para alterar a exibição de um arquivo de captura (arquivo tmp). Um filtro de exibição usa pacotes totalmente dissecados, de modo que você pode fazer uma filtragem muito complexa e avançada ao analisar um arquivo de rastreamento de rede. No entanto, o arquivo tmp pode ser preenchido rapidamente, pois captura primeiro todos os pacotes e exibe apenas os pacotes desejados.
Neste exemplo, 'limit-captured-frames' é definido como 5. Com a opção 'capture-filter', o Ethanalyzer mostra cinco pacotes que correspondem ao filtro 'host 10.10.10.2'. Com a opção 'display-filter', o Ethanalyzer captura primeiro cinco pacotes e, em seguida, exibe apenas os pacotes que correspondem ao filtro 'ip.addr==10.10.10.2'.

Opções de gravação
escrever
A opção 'write' permite gravar os dados de captura em um arquivo em um dos dispositivos de armazenamento (como boothflash ou logflash) no switch Cisco Nexus 7000 Series para análise posterior. O tamanho do arquivo de captura é limitado a 10 MB.
Um exemplo de comando Ethanalyzer com uma opção 'write' é ethanalyzer local interface inband write bootflash:capture_file_name. Um exemplo de uma opção 'write' com 'capture-filter' e um nome de arquivo de saída 'first-capture' é:

Quando os dados de captura são salvos em um arquivo, os pacotes capturados não são, por padrão, exibidos na janela do terminal. A opção 'display' força o Cisco NX-OS a exibir os pacotes enquanto salva os dados de captura em um arquivo.
capture-ring-buffer
A opção "capture-ring-buffer" cria vários arquivos após um número especificado de segundos, um número especificado de arquivos ou um tamanho de arquivo especificado. As definições dessas opções estão nesta captura de tela:

Opções de leitura
A opção 'ler' permite que você leia o arquivo salvo no próprio dispositivo.

Você também pode transferir o arquivo para um servidor ou PC e lê-lo com o Wireshark ou qualquer outro aplicativo que possa ler arquivos cap ou pcap.


decodificação interna com opção de detalhe
A opção "decodificar-interno" relata informações internas sobre como o Nexus 7000 encaminha o pacote. Essas informações ajudam você a entender e solucionar problemas do fluxo de pacotes através da CPU.

Converta o índice NX-OS em hexadecimal e use o comando show system internal pixm info ltl x para mapear o índice local target logic (LTL) para uma interface física ou lógica.
Exemplos de valores de filtro de captura
Capturar tráfego de ou para um host IP
host 1.1.1.1
Capturar tráfego de ou para um intervalo de endereços IP
net 172.16.7.0/24
net 172.16.7.0 mask 255.255.255.0
Capturar tráfego de uma faixa de endereços IP
src net 172.16.7.0/24
src net 172.16.7.0 mask 255.255.255.0
Capturar tráfego para uma faixa de endereços IP
dst net 172.16.7.0/24
dst net 172.16.7.0 mask 255.255.255.0
Capturar tráfego somente em um protocolo específico - Capturar apenas tráfego DNS
DNS é o Domain Name System Protocol.
port 53
Capturar tráfego somente em um protocolo específico - Capturar somente o tráfego DHCP
O DHCP é o Dynamic Host Configuration Protocol.
port 67 or port 68
Capturar tráfego fora de um protocolo específico - Excluir tráfego HTTP ou SMTP
SMTP é o Simple Mail Transfer Protocol.
host 172.16.7.3 and not port 80 and not port 25
Capturar tráfego fora de um protocolo específico - Excluir tráfego ARP e DNS
ARP é o Address Resolution Protocol.
port not 53 and not arp
Capturar somente tráfego IP - excluir protocolos de camada inferior como ARP e STP
STP é o Spanning Tree Protocol.
ip
Capturar somente o tráfego Unicast - Excluir anúncios de broadcast e multicast
not broadcast and not multicast
Capturar o tráfego em um intervalo de portas da camada 4
tcp portrange 1501-1549
Capturar tráfego com base no tipo Ethernet - Capturar tráfego EAPOL
EAPOL é o Extensible Authentication Protocol over LAN.
ether proto 0x888e
Solução alternativa de captura IPv6
ether proto 0x86dd
Capturar tráfego com base no tipo de protocolo IP
ip proto 89
Rejeitar quadros Ethernet com base no endereço MAC - Exclua o tráfego que pertence ao grupo multicast LLDP
O LLDP é o Link Layer Discovery Protocol.
not ether dst 01:80:c2:00:00:0e
Capturar tráfego UDLD, VTP ou CDP
UDLD é Unidirectional Link Detection, VTP é o VLAN Trunking Protocol e CDP é o Cisco Discovery Protocol.
ether host 01:00:0c:cc:cc:cc
Capturar tráfego de ou para um endereço MAC
ether host 00:01:02:03:04:05
Note:
e = &&
ou = ||
não = !
Formato de endereço MAC: xx:xx:xx:xx:xx:xx
Protocolos comuns de plano de controle
- UDLD: Controladora de acesso à mídia de destino (DMAC) = 01-00-0C-CC-CC e EthType = 0x0111
- LACP: DMAC = 01:80:C2:00:00:02 e EthType = 0x8809. LACP significa Link Aggregation Control Protocol (Protocolo de controle de agregação de links).
- STP: DMAC = 01:80:C2:00:00:00 e EthType = 0x4242 - ou - DMAC = 01:00:0C:CC:CC:CD e EthType = 0x010B
- CDP: DMAC = 01-00-0C-CC-CC e EthType = 0x2000
- LLDP: DMAC = 01:80:C2:00:00:0E ou 01:80:C2:00:00:03 ou 01:80:C2:00:00:00 e EthType = 0x88CC
- DOT1X: DMAC = 01:80:C2:00:00:03 e EthType = 0x888E. DOT1X significa IEEE 802.1x.
- IPv6: EthType = 0x86DD
- Lista de números de porta UDP e TCP
Problemas conhecidos
ID de bug da Cisco CSCue48854: O filtro de captura do analisador Ethernet não captura o tráfego da CPU no SUP2.
ID de bug da Cisco CSCtx79409: Não é possível usar o filtro de captura com decodificação interna.
ID de bug da Cisco CSCvi02546: O pacote gerado pelo SUP3 terá FCS; esse comportamento é esperado.
Informações Relacionadas