Catalyst 4500 シリーズスイッチ Cisco IOS ソフトウェアコンフィギュレーションガイドリリース IOS XE 3.4.0SG および IOS 15.1(2)SG

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

ご利用いただける言語

Download Options

Book Title

Catalyst 4500 シリーズスイッチ Cisco IOS ソフトウェアコンフィギュレーションガイドリリース IOS XE 3.4.0SG および IOS 15.1(2)SG

Chapter Title

Wireshark の設定

PDF - Complete Book (22.9 MB) PDF - This Chapter (631.0 KB)
View with Adobe Reader on a variety of devices

検索結果

Updated:: 2017年6月7日

Wireshark の設定

（注） Wireshark は、Supervisor Engine 7-E、Supervisor Engine 7L-E、Catalyst 4500X-16、および Catalyst 4500X-32 でのみサポートされます。

（注） Wireshark は VSS でサポートされ、機能は、少数の設定変更を除き、スタンドアロンスイッチの機能と一致します。詳細については、「VSS での Wireshark の設定」を参照してください。

IP Base および Enterprise Services フィーチャセットでは、Cisco IOS Release XE 3.3.0SG 以降、Catalyst 4500 シリーズスイッチは、パケットアナライザプログラム Wireshark（旧名 Ethereal）をサポートします。これは、複数のプロトコルをサポートし、テキストベースのユーザインターフェイスで情報を提供します。

この章で説明する内容は、次のとおりです。

• 「使用例」

（注）この章で使用するスイッチコマンドの構文および使用方法の詳細については、次の URL で『Cisco Catalyst 4500 Series Switch Command Reference』と関連資料を参照してください。

http://www.cisco.com/en/US/products/hw/switches/ps4324/index.html

『Catalyst 4500 Series Switch Command Reference』に掲載されていないコマンドについては、より詳細な Cisco IOS ライブラリを参照してください。次の URL で『Cisco IOS Command Reference』と関連資料を参照してください。

http://www.cisco.com/en/US/products/ps6350/index.html

Wireshark について

ネットワーク内で何が起きているかを理解するには、トラフィックをキャプチャし、分析する機能が必要です。Cisco IOS Release XE 3.3.0SG より前では、Catalyst 4500 シリーズスイッチは、このニーズに対応するために 2 つの機能、PAN および debug platform packet を提供していました。両機能には制限があります。SPAN は、パケットをキャプチャするのに理想的ですが、指定したローカルまたはリモートの宛先にパケットを転送することによりこれを実現しているだけで、ローカル表示や分析をサポートしていません。debug platform packet コマンドは、Catalyst 4500 シリーズスイッチに固有で、ソフトウェアプロセスフォワーディングパスから生成されたパケットだけで動作します。限定的なローカル表示機能がありますが、分析機能のサポートはありません。

したがって、ハードウェアおよびソフトウェアの両方によって転送されるトラフィックに適用可能で、かつ強力なパケットキャプチャ、表示、および分析機能をサポートする（既知のインターフェイスの使用が望ましい）、トラフィックのキャプチャと分析のメカニズムが求められています。

Wireshark は以前 Ethereal と呼ばれていたオープンソースパケットアナライザプログラムです。そのアナライザは何百ものプロトコルをサポートし、グラフィカルとテキストベースの両方のユーザインターフェイスを備えています。

Wireshark は、.pcap と呼ばれる既知の形式を使用した、ファイルへのパケットのダンプをサポートし、個々のインターフェイスに対して適用されイネーブルになります。EXEC モードでインターフェイスを指定し、フィルタおよび他のパラメータも指定します。この機能は、start コマンドを入力した場合にだけ実際に適用され、Wireshark が自動または手動でキャプチャを停止した場合にだけ削除されます。

（注） Cisco IOS Release XE 3.3.0SG では、Wireshark でのグローバルなパケットキャプチャはサポートされません。

ここでは、Wireshark の一部の重要な概念について説明します。

• 「キャプチャポイント」

• 「接続ポイント：インターフェイスとトラフィックの方向」

• 「フィルタ」

• 「処理」

• 「キャプチャされたパケットのメモリ内バッファへの保存」

キャプチャポイント

キャプチャポイントとは、Wireshark 機能の中央ポリシー定義です。これは Wireshark の特定のインスタンスに関連付けられたすべての特性（キャプチャ対象のパケット、パケットのキャプチャ元、キャプチャされたパケットについての処理内容、パケットのキャプチャ停止時点）を定義します。キャプチャポイントは作成後に変更する場合があり、start コマンドを使用して明示的にアクティブ化しない限り、アクティブになりません。このプロセスは、キャプチャポイントのアクティブ化またはキャプチャポイントの開始といいます。キャプチャポイントは名前で識別され、手動または自動で非アクティブ化または停止する場合もあります。

複数のキャプチャポイントが同時に定義され、アクティブになる可能性があります。

接続ポイント：インターフェイスとトラフィックの方向

接続ポイントは、キャプチャポイントに関連付けられた論理パケットのプロセスパスのポイントです。（キャプチャポイントの属性として接続ポイントと考えてください）。接続ポイントに影響するパケットはキャプチャポイントのフィルタでテストされます。一致するパケットは、キャプチャポイントの関連付けられた Wireshark インスタンスにコピーされ、送信されます。特定のキャプチャポイントは、以下に示すように、異なるタイプの混合接続ポイントに制限のある複数の接続ポイントに関連付けられている可能性があります。（一部の制限は異なるタイプの接続ポイントを指定すると適用されます）。常に双方向であるレイヤ 2 VLAN の接続ポイントを除いて、接続ポイントは方向性（入力/出力/両方）があります。

フィルタ

フィルタは、Wireshark にコピーされ、渡されるキャプチャポイントの接続ポイントを通過するトラフィックのサブセットを識別し制限するキャプチャポイントの属性です。Wireshark で表示されるためには、パケットは接続ポイントと、キャプチャポイントに関連付けられたすべてのフィルタも通過する必要があります。

フィルタには次の 3 種類があります。

• コアシステムフィルタ：コアシステムフィルタはハードウェアによって適用され、一致基準はハードウェアによって制限されます。このフィルタは、ハードウェア転送トラフィックが Wireshark の目的でソフトウェアにコピーするかどうかを決定します。

• キャプチャフィルタ：キャプチャフィルタは、Wireshark によって適用されます。その一致基準は、コアフィルタによってサポートされるものよりも詳細に表示されます。コアフィルタを通過するが、キャプチャフィルタに失敗するパケットは CPU/ソフトウェアにコピーされ、送信されますが、Wireshark プロセスによって廃棄されます。キャプチャフィルタの構文は、表示フィルタの構文と同じです。

（注） Catalyst 4500 シリーズスイッチの Wireshark はキャプチャフィルタの構文を使用しません。

• 表示フィルタ：表示フィルタは、Wireshark によって適用され、その一致基準はキャプチャフィルタと似ています。表示フィルタに失敗したパケットは表示されません。

コアシステムフィルタ

クラスマップまたは ACL による、または明示的に CLI によるなど、複数の方法でコアシステムフィルタの一致基準を指定できます。

一部のインストール済み環境では、承認プロセスが長い場合さらに遅延を引き起こす可能性があるスイッチの設定を変更する権限を取得する必要があります。これにより、ネットワーク管理者の機能を、トラフィックの監視および分析に制限します。この問題に対処するため、Wireshark は EXEC モード CLI からコアシステムフィルタの一致基準を明示的に指定することをサポートします。この対処方法の欠点は、指定できる一致基準が、クラスマップがサポートする対象の限定的なサブセットである（基本的に、MAC、IP 送信元アドレスおよび宛先アドレス、イーサネットタイプ、IP プロトコル、および TCP/UDP の発信元および宛先ポート）ことです。

コンフィギュレーションモードを使用する場合は ACL を定義するか、クラスマップでそこへキャプチャポイントを参照させることができます。内部的には、明示的かつ ACL ベースの一致基準がクラスマップとポリシーマップの作成に使用されます。これらの暗黙的に構築されたクラスマップはスイッチの実行コンフィギュレーションに反映されず、NVGEN の対象ではありません。

（注） ACL およびクラスマップの設定はシステムの一部であり、Wireshark 機能の側面ではありません。

キャプチャフィルタ

キャプチャフィルタはさまざまな条件に基づいて着信パケットをさらにフィルタリングするように Wireshark に指示することができます。Wireshark は、パケットを受信するとただちにキャプチャフィルタを適用します。キャプチャフィルタに失敗したパケットは格納も表示もされません。

スイッチはこのパラメータを受信し、Wireshark にそれを変更せずに渡します。Wireshark がアプリケーションのフィルタ定義を解析するため、定義の構文は、Wireshark の表示フィルタによって提供される構文となります。この構文と標準 IOS の構文は異なり、標準構文では表現できない ACL 一致基準を指定することができます。

（注）キャプチャフィルタの構文は、Wireshark の表示フィルタのものと同じです。このように、キャプチャの構文と表示フィルタの構文は、Catalyst 4500 シリーズスイッチの Wireshark の実装と同じです。

表示フィルタ

表示フィルタを使用すると、.pcap ファイルからデコードして表示するときに表示するパケットの集合をさらに絞り込むように Wireshark に指示できます。表示フィルタの構文はキャプチャフィルタと同じなので、キャプチャフィルタも定義されている場合は、表示フィルタはなくてもかまいません。

キャプチャフィルタおよび表示フィルタの構文の詳細については、http://wiki.wireshark.org/DisplayFilters を参照してください。

処理

Wireshark はライブトラフィックまたは前の既存 .pcap ファイルで呼び出すことができます。ライブトラフィックに対して起動されたとき、そのキャプチャフィルタおよび表示フィルタを通過するパケットに対して次の 4 種類の処理を実行できます。

• デコード、分析、保存のためにメモリ内バッファへキャプチャ

• .pcap ファイルへ保存

• デコードおよび表示

• 保存および表示。

.pcap ファイルのみに対して起動された場合は、デコードと表示の処理だけが適用できます。

キャプチャされたパケットのメモリ内バッファへの保存

パケットは、メモリ内のキャプチャバッファに格納して、後でデコード、分析、または .pcap ファイルへ保存できます。

キャプチャバッファは線形モードまたは循環モードにすることができます。線形モードでは、バッファがいっぱいになると、新しいパケットが廃棄されます。循環モードでは、バッファがいっぱいになると新しいパケットを格納するために最も古いパケットから廃棄されます。必要に応じてバッファをクリアすることもできますが、このモードは、ネットワークトラフィックのデバッグに主に使用されます。

.pcap ファイルへのキャプチャされたパケットの保存

Wireshark は .pcap ファイルにキャプチャされたパケットを保存できます。キャプチャファイルは次のストレージデバイスに配置可能です。

• Catalyst 4500 シリーズスイッチのオンボードフラッシュストレージ（bootflash:）

• 外部フラッシュディスク（slot:）

• USB ドライブ（usb0:）

（注）他のデバイスを使用しないでください。

Wireshark のキャプチャポイントを設定する場合は、ファイル名を関連付けることができます。キャプチャポイントをアクティブにすると、Wireshark は指定された名前でファイルを作成し、パケットを書き込みます。ファイルが関連付けられるかキャプチャポイントをアクティブにするときにファイルがすでに存在する場合、Wireshark はファイルを上書きできるかどうかについて問い合わせます。これは、1 つのキャプチャポイントのみが、特定のファイル名に関連付けられている可能性があることを意味します。

Wireshark の書き込みプロセスの宛先が満杯になると、Wireshark はファイルの一部のデータで失敗します。したがって、キャプチャセッションを開始する前にファイルシステムに十分なスペースが存在することを確認する必要があります。リリース IOS XE 3.3.0SG では、ファイルシステムが満杯であるというステータスは、一部のストレージデバイスについて検出されません。

パケット全体ではなくセグメントだけを保持して、必要な記憶域を減らすことができます。通常、最初の 64 または 128 バイトを超える詳細は必要ではありません。デフォルトの動作は、パケット全体を保存することです。

ファイルシステムの処理およびファイルシステムへの書き込み時に、パケットのドロップの可能性を避けるために、Wireshark は必要に応じてメモリバッファを使用して到着時にパケットを一時的に保持することができます。メモリバッファのサイズは、キャプチャポイントが .pcap ファイルに関連付けられるときに指定できます。

パケットのデコードと表示

Wireshark はコンソールにパケットをデコードして表示できます。この機能は、ライブトラフィックに適用されるキャプチャポイントと前の既存 .pcap ファイルに適用されるキャプチャポイントで使用可能です。

（注）パケットをデコードして表示すると、CPU への負荷が高い場合があります。

Wireshark はさまざまなパケット形式のパケットの詳細をデコードして表示できます。monitor capture name start コマンドにより、次の方法またはモードで表示します。

• brief：パケットごとに 1 行表示します（デフォルト）。

• detailed：プロトコルがサポートされているすべてのパケットのすべてのフィールドをデコードして表示します。このモードでは、他の 2 種類のモードよりも多くの CPU が必要です。

• 16 進 dump：パケットデータの 16 進ダンプおよび各パケットの印刷可能文字としてパケットごとに 1 行表示します。

decode および display オプションを付けて capture コマンドを開始すると、Wireshark からの出力は IOS に戻り、コンソールに変更されずに表示されます。

ライブトラフィックの表示

Wireshark は、Catalyst 4500 シリーズスイッチのコアシステムからパケットのコピーを受信します。Wireshark は、残りのパケットをデコードして表示する不要なパケットを廃棄するため、キャプチャおよび表示フィルタを適用します。

.pcap ファイルからの表示

Wireshark は、以前に保存された .pcap ファイルからのパケットをデコードして表示し、選択的にパケットを表示するように表示フィルタに指示できます。キャプチャフィルタは、このシナリオでは適用されません。

パケットの保存と表示

機能的には、このモードは以前の 2 種類のモードの組み合わせです。Wireshark は指定された .pcap ファイルにパケットを保存し、これらをコンソールにデコードおよび表示します。ここではコアフィルタおよびキャプチャフィルタだけが適用できます。

Wireshark のキャプチャポイントをアクティブまたは非アクティブにする

Wireshark のキャプチャポイントが、接続ポイント、フィルタ、アクション、およびその他のオプションで定義されている場合、Wireshark はアクティブである必要があります。それまでは、キャプチャポイントは、実際にパケットをキャプチャしません。

キャプチャポイントがアクティブになる前に、一部の健全性チェックが実行されます。キャプチャポイントは、コアシステムフィルタと接続ポイントのどちらも定義されていない場合はアクティブにできません。このチェックに失敗したキャプチャポイントをアクティブにしようとすると、エラーが生成されます。

キャプチャおよび表示フィルタを必要に応じて指定します。

Wireshark のキャプチャポイントはアクティブになると、複数の方法で非アクティブにできます。.pcap ファイルにパケットを格納するだけのキャプチャポイントは手動で停止することも、また時間制限またはパケット制限付きで設定することもでき、その後でキャプチャポイントは自動的に停止します。Wireshark のキャプチャフィルタを通過するパケットのみが、パケットの制限のしきい値としてカウントされます。

Wireshark のキャプチャポイントがアクティブになると、固定レートフィルタがハードウェアに自動的に適用され、CPU が Wireshark によって指示されたパケットでフラッディングしないようになります。レートフィルタの欠点は、より多くのリソースを使用できる場合でも設定レートを超える連続的なパケットをキャプチャすることはできないことです。

機能の相互作用

ここでは、Wireshark と他の機能との相互作用について説明します。

• レイヤ 2 セキュリティ機能：レイヤ 2 セキュリティ機能（ポートセキュリティ、MAC アドレスフィルタリングおよびスパニングツリーなど）によってドロップされたパケットは、Wireshark によってキャプチャされません。これは、SPAN の動作とは異なります。

• 分類ベースのセキュリティ機能：入力分類ベースのセキュリティ機能（ACL および IPSG など）によってドロップされたパケットは同じレイヤの接続ポイントに接続されている Wireshark のキャプチャポイントによってつかまえられません。これに対し、出力分類ベースのセキュリティ機能によってドロップされたパケットは同じレイヤの接続ポイントに接続されている Wireshark のキャプチャポイントによって捕捉されます。論理モデルは、Wireshark の接続ポイントが、入力側のセキュリティ機能のルックアップ後、およびこれとは対称的に出力側のセキュリティ機能のルックアップ前に発生することです。

入力方向のレイヤ 2 接続ポイントに接続される Wireshark のキャプチャポリシーはレイヤ 3 分類ベースのセキュリティ機能によってドロップされたパケットをキャプチャします。対照的に、出力方向のレイヤ 3 接続ポイントに接続する Wireshark のキャプチャポリシーは、レイヤ 2 分類ベースのセキュリティ機能によりドロップされたパケットをキャプチャします。

• ルーテッドポートおよびレイヤ 3 ポートチャネル：ルーテッドポートまたはレイヤ 3 ポートチャネルが Wireshark の接続ポイントとして使用されている場合は、パケットをキャプチャするために適用されるポリシーは、レイヤ 3 で接続されるように扱われます。このように、Wireshark はインターフェイスによってルーティングされるパケットだけをキャプチャします。

• VLAN：VLAN が Wireshark の接続ポイントとして使用されている場合、パケットは、入力と出力の両方の方向でキャプチャされます。VLAN でブリッジングされるパケットは、2 つのコピー（1 つは入力用、もう 1 つは出力用）を生成します。

• プライベート VLAN：セカンダリ PVLAN は Wireshark の接続ポイントとして拒否されます。Wireshark の接続ポイントとしてプライマリ PVLAN を使用すると、プライマリおよび関連するすべてのセカンダリでパケットのキャプチャが有効になります。実質的に、PV ドメイン全体が接続ポイントになります。

• リダイレクション機能：入力方向では、レイヤ 3（PBR および WCCP など）でリダイレクトされる機能トラフィックは、レイヤ 3 の Wireshark の接続ポイントよりも論理的に後です。Wireshark は、最終的に別のレイヤ 3 インターフェイスにリダイレクトされる可能性がある場合でも、このようなパケットをキャプチャします。対照的に、レイヤ 3（出力 WCCP など）によりリダイレクトされる出力機能は、レイヤ 3 の Wireshark の接続ポイントよりも論理的に前です。したがって、Wireshark はこれらをキャプチャしません。

• 他の分類コピー機能：ロールベースおよびセキュリティの検索タイプからパケットのコピーを生成する機能は、Wireshark と互換性があります。このようなパケットの複数のコピーが生成されます。

• SPAN：Wireshark と SPAN 送信元には互換性があります。SPAN 送信元および Wireshark 接続ポイントとしてインターフェイスを同時に設定することは、サポートされます。Wireshark の接続ポイントとして SPAN 宛先ポートを設定することはサポートされていません。

入力および出力分類には 4 つの分類の結果があります。入力方向は、ロールベース、セキュリティ、QoS、転送の上書きの順序になります。出力方向は、転送の上書き、ロールベース、セキュリティ、QoS の順序になります。

入力側では、Wireshark のキャプチャ機能は、転送の上書きの結果タイプになり、他の FO 機能（マルチキャストローカルソースのキャプチャ、PBR、入力 WCCP など）の上で優先されます。これは、Wireshark でキャプチャされたパケットが、PBR または WCCP によるすべてのリダイレクトの前にあることを意味します。また、セキュリティ ACL が FO 関連機能よりも前に適用されるため、セキュリティ ACL によってドロップされたパケットは、Wireshark がキャプチャされません。

出力側では、Wireshark のキャプチャ機能は、転送上書きの結果タイプになり、他の FO 機能（出力 WCCP など）の下で優先されます。これは、他の出力 FO 機能が適用されない場合にだけ、Wireshark がパケットをキャプチャすることを意味します。

Wireshark の設定

Wireshark 機能を設定するための CLI は、EXEC モードだけから機能を実行する必要があるため非定型です。コンフィギュレーションサブモード（キャプチャポイントの定義など）で通常発生する処理は EXEC モードで代わりに扱われます。また、すべての主要コマンドは NVGEN の対象ではなく、NSF と SSO のシナリオではスタンバイスーパーバイザに同期されません。

ここでは、Wireshark を設定する方法について説明します。

• 「デフォルトの Wireshark の設定」

• 「Wireshark の設定時の注意事項」

• 「キャプチャポイントの定義、変更、削除」

• 「キャプチャポイントをアクティブまたは非アクティブにする」

• 「VSS での Wireshark の設定」

デフォルトの Wireshark の設定

表 57-1 に、デフォルトの Wireshark の設定を示します。

表 57-1 デフォルトの Wireshark の設定
機能	デフォルト設定
時間	制限なし
パケット	制限なし
パケット長	制限なし（フルパケット）
ファイルサイズ	制限なし
リングファイルストレージ	No
バッファのストレージモード	線形

Wireshark の設定時の注意事項

Wireshark を設定する場合は、次の点を確認します。

• トラフィックは、Wireshark ポリシーが適用されているインターフェイスでアクティブです。

• フィルタ規則がトラフィックに一致します。

• 必須パラメータが設定されます。

キャプチャポイントの定義、変更、削除

オプションの値を指定する手順は、順番にリストされますが、任意の順序で実行できます。1 行、2 行、または複数行で指定できます。複数となる接続ポイントを除き、次の順序で同じオプションを再指定することにより、値を最新の値で置き換えることができます。

ステップ 1 キャプチャポイントを識別する名前を定義します。

ステップ 2 キャプチャポイントが関連付けられている接続ポイントを指定します。

複数の接続ポイントが指定されることがあります。範囲のサポートは、接続ポイントを追加および削除するためにも使用できます。

ステップ 3 ACL または class-map で明示的に定義されたコアシステムフィルタを定義します。

ステップ 4 セッション制限を指定します（キャプチャされた秒単位またはパケット単位で）。

ステップ 5 Wireshark が保持するパケットセグメント長を指定します。

ステップ 6 キャプチャポイントがパケットを表示するだけでなくキャプチャできるようにする場合は、ファイルのアソシエーションを指定します。

ステップ 7 トラフィックバーストの処理に Wireshark で使用されるメモリバッファのサイズを指定します。

キャプチャポイントを定義、変更、または削除するには、次のコマンドを入力します。

コマンド	目的
キャプチャバッファの内容をクリアするか、ファイルにパケットを保存するには、 monitor capture [clear \| export filename] コマンドを使用します。 monitor capture name [clear] [export filename]	バッファの内容をエクスポートまたは消去するには。

コマンド

目的

キャプチャバッファの内容をクリアするか、ファイルにパケットを保存するには、 monitor capture [clear | export filename] コマンドを使用します。

monitor capture name [clear] [export filename]

バッファの内容をエクスポートまたは消去するには。

コマンド	目的
方向を持つ 1 つ以上の接続ポイントを指定するには、 monitor capture [interface \| vlan \| control-plane] コマンドを使用します。接続ポイントを削除するには、このコマンドの no 形式を使用します。 monitor capture name [{interface name \| vlan num \| control-plane} {in \| out \| both} キャプチャ宛先を指定するには、 monitor capture コマンドを使用します。詳細を削除するには、このコマンドの no 形式を使用します。 monitor capture name [[file location filename [buffer-size <1-100>] [ring <2-10>] [size <1-100>]] \| [buffer [circular] size <1-100>]] キャプチャの制限を指定するには、 monitor capture limit コマンドを使用します。制限を削除するには、このコマンドの no 形式を使用します。 [no] monitor capture name limit {duration seconds] [packet-length size] [packets num] 明示的にインラインコアフィルタを定義するには、monitor capture mycap match コマンドを使用します。これを削除するには、このコマンドの no 形式を使用します。 Switch# [no] monitor capture mycap match {any \| mac mac-match-string \| ipv4 ipv4-match-string \| ipv6 ipv6-match-string} MAC にフィルタを使用するには、次の形式を使用します。フィルタを削除するには、このコマンドの no 形式を使用します。 Switch# [no] monitor capture mycap match mac {src-mac-addr src-mac-mask \| any \| host src-mac-addr} \| {dest-mac-addr dest-mac-mask \| any \| host dest-mac-addr} IPv4/IPv6 にフィルタを使用するには、次の形式の 1 つを使用します。フィルタを削除するには、このコマンドの no 形式を使用します。 Switch# [no] monitor capture mycap match {ipv4 \| ipv6} [src-prefix/length \| any \| host src-ip-addr] [dest-prefix/length \| any \| host dest-ip-addr] Switch# [no] monitor capture mycap match {ipv4 \| ipv6} proto {tcp \| udp} [src-prefix/length \| any \| host src-ip-addr] [eq \| gt \| lt \| neq <0-65535>] [dest-prefix/length \| any \| host dest-ip-addr] [eq \| gt \| lt \| neq <0-65535>] キャプチャポイントを開始または停止するには、 monitor capture コマンドを使用します。 monitor capture name start [capture-filter filter-string] [display [display-filter filter-string]] [brief \| detailed \| dump \| stop]	キャプチャポイントを指定されたパラメータで定義します。

コマンド

目的

方向を持つ 1 つ以上の接続ポイントを指定するには、 monitor capture [interface | vlan | control-plane] コマンドを使用します。接続ポイントを削除するには、このコマンドの no 形式を使用します。

monitor capture name [{interface name | vlan num | control-plane} {in | out | both}

キャプチャ宛先を指定するには、 monitor capture コマンドを使用します。詳細を削除するには、このコマンドの no 形式を使用します。

monitor capture name [[file location filename [buffer-size <1-100>] [ring <2-10>] [size <1-100>]] | [buffer [circular] size <1-100>]]

キャプチャの制限を指定するには、 monitor capture limit コマンドを使用します。制限を削除するには、このコマンドの no 形式を使用します。

[no] monitor capture name limit {duration seconds] [packet-length size] [packets num]

明示的にインラインコアフィルタを定義するには、monitor capture mycap match コマンドを使用します。これを削除するには、このコマンドの no 形式を使用します。

Switch# [no] monitor capture mycap match {any | mac mac-match-string | ipv4 ipv4-match-string | ipv6 ipv6-match-string}

MAC にフィルタを使用するには、次の形式を使用します。フィルタを削除するには、このコマンドの no 形式を使用します。

Switch# [no] monitor capture mycap match mac {src-mac-addr src-mac-mask | any | host src-mac-addr} | {dest-mac-addr dest-mac-mask | any | host dest-mac-addr}

IPv4/IPv6 にフィルタを使用するには、次の形式の 1 つを使用します。フィルタを削除するには、このコマンドの no 形式を使用します。

Switch# [no] monitor capture mycap match {ipv4 | ipv6} [src-prefix/length | any | host src-ip-addr] [dest-prefix/length | any | host dest-ip-addr]

Switch# [no] monitor capture mycap match {ipv4 | ipv6} proto {tcp | udp} [src-prefix/length | any | host src-ip-addr] [eq | gt | lt | neq <0-65535>] [dest-prefix/length | any | host dest-ip-addr] [eq | gt | lt | neq <0-65535>]

キャプチャポイントを開始または停止するには、 monitor capture コマンドを使用します。

monitor capture name start [capture-filter filter-string] [display [display-filter filter-string]] [brief | detailed | dump | stop]

キャプチャポイントを指定されたパラメータで定義します。

例

ここでは、次の例を示します。

• 「キャプチャファイルの関連付け/関連付け解除」

• 「パケットバーストの処理にメモリバッファサイズを指定する」

• 「IPv4 と IPv6 の両方の TCP トラフィックに一致するように、明示的なコアシステムフィルタを定義する」

• 「既存の ACL またはクラスマップを使用してコアシステムフィルタを定義する」

キャプチャファイルの関連付け/関連付け解除

Switch# monitor capture point mycap file location bootdisk:mycap.pcap

Switch# no monitor capture mycap file

パケットバーストの処理にメモリバッファサイズを指定する

Switch# monitor capture mycap buffer-size 1000000

IPv4 と IPv6 の両方の TCP トラフィックに一致するように、明示的なコアシステムフィルタを定義する

Switch# monitor capture mycap match any protocol tcp

既存の ACL またはクラスマップを使用してコアシステムフィルタを定義する

Switch# monitor capture mycap match access-list myacl

Switch# monitor capture mycap match class-map mycm

キャプチャポイントをアクティブまたは非アクティブにする

接続ポイントとコアシステムフィルタが定義されておらず、関連するファイル名（存在する場合）がすでにある場合、キャプチャポイントをアクティブにできません。関連するファイル名のないキャプチャポイントだけが、表示するためにアクティブにできます。キャプチャフィルタまたは表示フィルタが指定されていない場合、コアシステムフィルタによってキャプチャされたすべてのパケットが表示されます。デフォルトの表示モードは brief です。

キャプチャポイントをアクティブまたは非アクティブにするには、次のコマンドを入力します。

コマンド	目的
Switch# monitor capture name start [capture-filter filter-string] [display [display-filter filter-string]] [brief \| detailed \| dump] Switch# monitor capture name stop	キャプチャポイントをアクティブにします。キャプチャポイントを非アクティブにします。

コマンド

目的

Switch# monitor capture name start [capture-filter filter-string] [display [display-filter filter-string]] [brief | detailed | dump]

Switch# monitor capture name stop

キャプチャポイントをアクティブにします。

キャプチャポイントを非アクティブにします。

例

キャプチャフィルタを使用したキャプチャポイントのアクティブ化

Switch# monitor capture mycap start capture-filter "net 10.1.1.0 0.0.0.255 and port 80"

ライブトラフィック用の表示フィルタを使用したキャプチャポイントのアクティブ化

Switch# monitor capture mycap start display display-filter "net 10.1.1.0 0.0.0.255 and port 80"

VSS での Wireshark の設定

Wireshark 機能は、VSS でサポートされ、使用方法はスタンドアロンスイッチと若干異なります。接続ポイントが VSS アクティブスイッチにあるか、VSS スタンバイスイッチにあるかまたはその両方であるかによって、特定の処理を実行する必要があります。

VSS アクティブスイッチと VSS スタンバイスイッチで別々にキャプチャポイントを作成し、削除する必要があります。これらのスイッチでキャプチャ動作を別々に開始および停止する必要がありますが、両方のスイッチでキャプチャセッションに同じ接続ポイントのセットを発行できます。個々のスイッチはそれに対してローカルではない接続ポイントを無視します。

VSS アクティブスイッチでは、動作はスタンドアロンスイッチの動作と同じです。VSS スタンバイでは、ハードウェアが関連パケットをコピーし CPU に送信し、そこでそのパケットは、VSL リンクによって VSS アクティブスイッチにソフトウェアトンネリングされます。VSS アクティブスイッチの場合、これらのパケットはパケットがローカルハードウェアから送信されたかのようにソフトウェアに引き渡されます。したがって、ローカルスイッチからのパケットとスタンバイスイッチからのパケットは、VSS アクティブスイッチの Wireshark セッションによって処理される一方、VSS スタンバイスイッチは単に関連パケットをコピーし、それらを VSS アクティブスイッチに渡します。VSS スタンバイの Wireshark セッションはその他の場合は未使用で、パケットは配信されません。

接続ポイントが VSS アクティブスイッチだけにある場合、動作はスタンドアロンスイッチの動作と似ています。接続ポイントが両方のスイッチにあるか、VSS スタンバイスイッチにのみある場合は、VSS アクティブスイッチと VSS スタンバイスイッチの両方でセッションを開始および停止する必要があります。

VSS スタンバイの Wireshark セッションはパケットキャプチャだけに役立ち、それ以外には関与しないことに注意してください。display オプションおよび関連するすべてのパラメータを指定して VSS スタンバイで Wireshark セッションを開始しないでください。

VSS スタンバイスイッチで設定するには、「リモートログイン」ファシリティを使用します。次に例を示します。

スタンバイシャーシの設定

スタンバイコンソールにはリモートログインを使用してアクティブシャーシからアクセスできます。

Predator_VSS# remote login module 11

Connecting to standby virtual console

Type "exit" or "quit" to end this session

Predator_VSS-standby-console# monitor capture mycap match any interface gi2/1/1 in file location bootflash:text.pcap

VSS 設定での Wireshark の使用方法を理解するのに役立つ例がこのマニュアルで後述されています。

注意事項および制約事項

次のガイドラインに留意してください。

• パケットキャプチャが入力方向でイネーブルの場合、一致するパケットは、最初の 15 秒間、CPU でのソフトウェアベースの検索が行われます。この間に、CPU 使用率が高く、キャプチャレートが低くなります。

• パケットキャプチャが出力方向でイネーブルの場合、パケットは最初の 15 秒でキャプチャされません。

• インターフェイスの出力方向にキャプチャされたパケットは、スイッチの書き換えによって行われた変更（TTL、VLAN タグ cos、チェックサム、および MAC アドレスなど）が反映されないこともあります。

• 別の論理ポートに属する物理ポートでのキャプチャはサポートされない場合があります。たとえば、EtherChannel メンバーポートのキャプチャはサポートされません。

• ファイルサイズによる循環ファイルストレージの制限はサポートされていません。

• Wireshark は、キャプチャポイントの class-map フィルタを次のいずれかに一致させようとすると、IPv6 パケットをキャプチャできません。

– 拡張ヘッダーの次にホップバイホップヘッダーが続く（CSCtt16385 経由）

– DSCP 値（CSCtx75765 経由）

注意すべき事項およびベストプラクティス

次の点に注意してください。

• Wireshark でのパケットキャプチャ中に、ハードウェア転送が同時に発生します。

• Wireshark のキャプチャプロセスを開始する前に、CPU 使用率が妥当であり、十分なメモリ（少なくとも 200 MB）が使用可能であることを確認します。

• ストレージファイルにパケットを格納する場合は十分なスペースが Wireshark のキャプチャプロセスを開始する前に使用できることを確認します。

• Wireshark のキャプチャ中の CPU 使用率は、指定された条件と一致するパケットの個数と、一致パケットに意図する処理（保存、デコードして表示、またはその両方）によって異なります。

• 可能な限り、キャプチャは最小限（パケット、期間などによる制限）に保ちます。そうしないと、CPU 使用率が高くなったり、その他の望ましくない状態になったりする可能性があります。

• パケット転送はハードウェアで通常実行されるため、パケットは、ソフトウェア処理のために CPU にコピーされません。Wireshark のパケットキャプチャの場合、パケットは CPU にコピーされ、配信されて、これが CPU 使用率の増加につながります。

CPU 使用率を高くしないようにするには、次の手順を実行します。

– 関連ポートだけに接続します。

– 一致条件を表すにはクラスマップを使用し、二次的にアクセスリストを使用してください。いずれも実行可能でない場合は、明示的な、インラインフィルタを使用します。

– フィルタ規則に正しく準拠させます。緩和されたのではなく制限的な ACL で、トラフィックタイプを（IPv4 のみなどに）制限して、不要なトラフィックを引き出します。

• パケットキャプチャを短い期間または小さなパケット番号に常に制限します。capture コマンドの次のパラメータにより、次を指定することができます。

– キャプチャ期間

– キャプチャされたパケットの数

– ファイルサイズ

– パケットのセグメントサイズ

• コアフィルタと一致するトラフィックが非常に少ないことが判明している場合は、制限なしでキャプチャセッションを実行します。

• 次のいずれかの場合に高い CPU（またはメモリ）使用率になる可能性があります。

– キャプチャセッションをイネーブルにし長期間不在のままにして、予期しないトラフィックのバーストが起きた場合。

– リングファイルまたはキャプチャバッファを使用してキャプチャセッションを起動して、長期間不在のままにするとし、パフォーマンスまたはシステムヘルスの問題が引き起こされます。

• キャプチャセッション中に、スイッチのパフォーマンスやヘルスに影響する可能性のある Wireshark による高い CPU 使用率およびメモリ消費がないか監視します。これらの状況が発生する場合は、Wireshark セッションをすぐに停止します。

• 大きなファイルの .pcap ファイルからのパケットをデコードして表示することは避けてください。代わりに、PC に .pcap ファイルを転送し PC 上で Wireshark を実行します。

• CPU またはメモリリソースの浪費を避けるために、2 以下に Wireshark インスタンスの個数を制限します。

Wireshark インスタンスは最大 8 個まで使用できます。.pcap ファイルまたはキャプチャバッファからパケットをデコードして表示するアクティブな show コマンドは、1 個のインスタンスとしてカウントされます。

• ACL が入力方向でスイッチにインストールされるか変更されるたびに、最初の 15 秒間、ソフトウェアはハードウェアによって送信されるパケット分類の詳細を無視します。代わりに、CPU で受信されるパケットに対してソフトウェアベースの分類を使用します。したがって、この期間中、システムは（最初の 15 秒より後の時間に比べ）より少数のパケットだけをキャプチャすることができ、CPU 使用率が高くなります。

（注）出力方向では、パケットは最初の 15 秒間キャプチャされません。

• パケット損失を防ぐには、次の点を考慮します。

– ライブパケットをキャプチャしている間は、CPU に負荷のかかる操作であるデコードと表示ではなく（特に detailed モードの場合）、保存のみを使用します（display オプションを指定しない場合）。

– デフォルトのバッファサイズを使用する場合、パケットがドロップされる可能性があります。バッファサイズを大きくし、パケット損失を避けてください。

– さらに、フラッシュディスクへの書き込みは CPU に負荷のかかる操作であるため、キャプチャレートは十分でない場合があります。

– Wireshark キャプチャセッションは、パケットのキャプチャおよび処理の両方が行われるストリーミングモードで正常に動作しています。ただし、少なくとも 32 MB のバッファサイズを指定すると、セッションは Wireshark のキャプチャセッションがキャプチャおよびプロセスの 2 フェーズに分割されるロックステップモードを自動的にオンにします。キャプチャフェーズでは、パケットは一時バッファに保存されます。ロックステップモードの duration パラメータは、セッション期間ではなくキャプチャ期間として機能します。バッファがいっぱいになるかまたはキャプチャ期間が終了すると、パケットの受け入れを停止してバッファのパケットの処理を開始するプロセスフェーズへセッションは移行します。2 番目のアプローチ（ロックステップモード）では、より高いキャプチャスループットが実現可能です。

– ストリーミングキャプチャモードは約 1500 pps をサポートし、ロックステップモードはほぼ 45 Mbps（256 バイトパケットで測定）をサポートします。一致するトラフィックレートがこの値を超えると、パケット損失が発生する可能性があります。

• コンソールウィンドウのライブパケットをデコードして表示する場合は、Wireshark セッションが短いキャプチャ期間によって抑制されていることを確認します。期間制限がより長いまたはキャプチャ期間がない（term len 0 コマンドを使用して auto-more サポートのない端末を使用した）Wireshark セッションでは、コンソールまたは端末が使用できなくなる場合があります。

• Wireshark を使用して、やむを得ず CPU 使用率が高くなるライブトラフィックをキャプチャする場合には、キャプチャ処理が完了するまで、実際のトラフィックを制限するために、QoS ポリシーを一時的に適用することを検討してください。

Wireshark CLI に固有の注意事項

次の注意事項は、Wireshark CLI に関連します。

• すべての Wireshark 関連のコマンドは EXEC モードで、コンフィギュレーションコマンドは、Wireshark にありません。

Wireshark CLI でアクセスリストまたはクラスマップを使用する必要がある場合は、コンフィギュレーションコマンドでアクセスリストおよびクラスマップを定義する必要があります。

• 特定の順序はキャプチャポイントを定義する場合には適用されません。CLI で許可されている任意の順序でキャプチャポイントパラメータを定義できます。Wireshark CLI は単一回線でできるだけ多くのパラメータを許可します。これはキャプチャポイントを定義するために必要なコマンドの数を制限します。

• 接続ポイントを除くすべてのパラメータは、単一の値を取ります。通常、新しい値でコマンドを再入力することにより値を置き換えることができます。ユーザの確認後にシステムが新しい値を受け入れ、古い値を上書きします。コマンドの no 形式は、新しい値の入力が不要です。ただし、パラメータの削除が必要です。

• Wireshark では 1 つ以上の接続ポイントを指定することができます。複数の接続ポイントを追加するには、新しい接続ポイントでコマンドを再入力します。接続ポイントを削除するには、no 形式を使用します。接続ポイントとしてインターフェイス範囲を指定できます。

たとえば、monitor capture mycap int gi 3/1 in では、インターフェイス gi 3/1 が接続ポイントです。

また gi 3/2 に接続する必要がある場合、次のように、別の回線で指定します。

monitor capture mycap int gi 3/2 in

• セッションがアクティブな間、キャプチャポイントのパラメータはいずれも変更できません。いずれかのパラメータを変更するには、セッションを停止し、変更を行い、セッションを再開します。アクセスリストは、スイッチに汎用で Wireshark プロセスに関係しないため、Wireshark セッション中に変更できます。

• 実行する処理は、いずれのパラメータが必須であるかを決定します。Wireshark CLI では start コマンドを入力する前に任意のパラメータを指定または変更することができます。start コマンドを発行すると、Wireshark はすべての必須パラメータが入力されたと判断した後でのみ開始します。

• キャプチャファイルがすでに存在する場合、警告を提供し、続行する前に確認を受け取ります。これは、誤ってファイルを上書きすることを防止します。

• コアフィルタは明示的なフィルタ、アクセスリスト、またはクラスマップにできます。これらのタイプの新しいフィルタを指定すると、既存のものを置き換えます。

• 明示的な stop コマンドを使用するか、automore モードに「q」を入力して、Wireshark のセッションを終了します。セッションは、期間やパケットキャプチャの制限などの停止の条件が満たされたときに、自身を自動的に終了することができます。

Wireshark 情報の表示

2 種類の show コマンドが Wireshark でサポートされます（表 57-2 ）。

表 57-2 MLD スヌーピング情報表示用のコマンド
コマンド	目的
show monitor capture point name	キャプチャポイントステートが表示され、キャプチャポイントの定義状況、属性、アクティブ状況を確認することができます。キャプチャポイントの名前を指定すると、特定のキャプチャポイントの細部が表示されます。
show monitor capture file name [display-filter filter-string] [brief \| detailed \| dump]	パケットの送信元として既存の .pcap ファイルを使用して Wireshark をアクティブにします。表示フィルタが指定されていない場合は、ファイルのすべてのパケットが表示されます。デフォルトの表示モードは brief です。

例

ここでは、次の例を示します。

• 「.pcap ファイルからの概要出力の表示」

• 「.pcap ファイルからの詳細出力の表示」

• 「.pcap ファイルからの 16 進ダンプ出力の表示」

• 「表示フィルタを使用した .pcap ファイルからのパケットの表示」

.pcap ファイルからの概要出力の表示

次のように入力して出力を表示できます。

Switch# show monitor capture file bootflash:mycap.pcap

1 0.000000 10.1.1.140 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

2 1.000000 10.1.1.141 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

3 2.000000 10.1.1.142 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

4 3.000000 10.1.1.143 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

5 4.000000 10.1.1.144 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

6 5.000000 10.1.1.145 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

7 6.000000 10.1.1.146 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

8 7.000000 10.1.1.147 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

9 8.000000 10.1.1.148 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

10 9.000000 10.1.1.149 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

11 10.000000 10.1.1.150 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

12 11.000000 10.1.1.151 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

13 12.000000 10.1.1.152 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

14 13.000000 10.1.1.153 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

15 14.000000 10.1.1.154 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

16 15.000000 10.1.1.155 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

17 16.000000 10.1.1.156 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

18 17.000000 10.1.1.157 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

19 18.000000 10.1.1.158 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

20 19.000000 10.1.1.159 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

21 20.000000 10.1.1.160 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

22 21.000000 10.1.1.161 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

23 22.000000 10.1.1.162 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

24 23.000000 10.1.1.163 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

25 24.000000 10.1.1.164 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

26 25.000000 10.1.1.165 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

27 26.000000 10.1.1.166 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

28 27.000000 10.1.1.167 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

29 28.000000 10.1.1.168 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

30 29.000000 10.1.1.169 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

31 30.000000 10.1.1.170 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

32 31.000000 10.1.1.171 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

33 32.000000 10.1.1.172 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

34 33.000000 10.1.1.173 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

35 34.000000 10.1.1.174 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

36 35.000000 10.1.1.175 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

37 36.000000 10.1.1.176 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

38 37.000000 10.1.1.177 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

39 38.000000 10.1.1.178 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

40 39.000000 10.1.1.179 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

41 40.000000 10.1.1.180 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

42 41.000000 10.1.1.181 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

43 42.000000 10.1.1.182 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

44 43.000000 10.1.1.183 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

45 44.000000 10.1.1.184 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

46 45.000000 10.1.1.185 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

47 46.000000 10.1.1.186 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

48 47.000000 10.1.1.187 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

49 48.000000 10.1.1.188 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

50 49.000000 10.1.1.189 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

51 50.000000 10.1.1.190 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

52 51.000000 10.1.1.191 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

53 52.000000 10.1.1.192 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

54 53.000000 10.1.1.193 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

55 54.000000 10.1.1.194 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

56 55.000000 10.1.1.195 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

57 56.000000 10.1.1.196 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

58 57.000000 10.1.1.197 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

59 58.000000 10.1.1.198 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

.pcap ファイルからの詳細出力の表示

次のように入力して出力を表示できます。

Switch# show monitor capture file bootflash:mycap.pcap detailed

Frame 1: 256 bytes on wire (2048 bits), 256 bytes captured (2048 bits)

Arrival Time: Mar 21, 2012 14:35:09.111993000 PDT

Epoch Time: 1332365709.111993000 seconds

[Time delta from previous captured frame: 0.000000000 seconds]

[Time delta from previous displayed frame: 0.000000000 seconds]

[Time since reference or first frame: 0.000000000 seconds]

Frame Number: 1

Frame Length: 256 bytes (2048 bits)

Capture Length: 256 bytes (2048 bits)

[Frame is marked: False]

[Frame is ignored: False]

[Protocols in frame: eth:ip:udp:data]

Ethernet II, Src: 00:00:00:00:03:01 (00:00:00:00:03:01), Dst: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)

Destination: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)

Address: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)

.... ...0 .... .... .... .... = IG bit: Individual address (unicast)

.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)

Source: 00:00:00:00:03:01 (00:00:00:00:03:01)

Address: 00:00:00:00:03:01 (00:00:00:00:03:01)

.... ...0 .... .... .... .... = IG bit: Individual address (unicast)

.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)

Type: IP (0x0800)

Frame check sequence: 0x03b07f42 [incorrect, should be 0x08fcee78]

Internet Protocol, Src: 10.1.1.140 (10.1.1.140), Dst: 20.1.1.2 (20.1.1.2)

Version: 4

Header length: 20 bytes

Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)

0000 00.. = Differentiated Services Codepoint: Default (0x00)

.... ..0. = ECN-Capable Transport (ECT): 0

.... ...0 = ECN-CE: 0

Total Length: 238

Identification: 0x0000 (0)

Flags: 0x00

0... .... = Reserved bit: Not set

.0.. .... = Don't fragment: Not set

..0. .... = More fragments: Not set

Fragment offset: 0

Time to live: 64

Protocol: UDP (17)

Header checksum: 0x5970 [correct]

[Good: True]

[Bad: False]

Source: 10.1.1.140 (10.1.1.140)

Destination: 20.1.1.2 (20.1.1.2)

User Datagram Protocol, Src Port: 20001 (20001), Dst Port: 20002 (20002)

Source port: 20001 (20001)

Destination port: 20002 (20002)

Length: 218

Checksum: 0x6e2b [validation disabled]

[Good Checksum: False]

[Bad Checksum: False]

Data (210 bytes)

0000 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f ................

0010 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f ................

0020 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f !"#$%&'()*+,-./

0030 30 31 32 33 34 35 36 37 38 39 3a 3b 3c 3d 3e 3f 0123456789:;<=>?

0040 40 41 42 43 44 45 46 47 48 49 4a 4b 4c 4d 4e 4f @ABCDEFGHIJKLMNO

0050 50 51 52 53 54 55 56 57 58 59 5a 5b 5c 5d 5e 5f PQRSTUVWXYZ[\]^_

0060 60 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f `abcdefghijklmno

0070 70 71 72 73 74 75 76 77 78 79 7a 7b 7c 7d 7e 7f pqrstuvwxyz{|}~.

0080 80 81 82 83 84 85 86 87 88 89 8a 8b 8c 8d 8e 8f ................

0090 90 91 92 93 94 95 96 97 98 99 9a 9b 9c 9d 9e 9f ................

00a0 a0 a1 a2 a3 a4 a5 a6 a7 a8 a9 aa ab ac ad ae af ................

00b0 b0 b1 b2 b3 b4 b5 b6 b7 b8 b9 ba bb bc bd be bf ................

00c0 c0 c1 c2 c3 c4 c5 c6 c7 c8 c9 ca cb cc cd ce cf ................

00d0 d0 d1 ..

Data: 000102030405060708090a0b0c0d0e0f1011121314151617...

[Length: 210]

Frame 2: 256 bytes on wire (2048 bits), 256 bytes captured (2048 bits)

Arrival Time: Mar 21, 2012 14:35:10.111993000 PDT

.pcap ファイルからの 16 進ダンプ出力の表示

次のように入力して出力を表示できます。

Switch# show monitor capture file bootflash:mycap.pcap dump

1 0.000000 10.1.1.140 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

0000 54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00 Tu.:.?........E.

0010 00 ee 00 00 00 00 40 11 59 70 0a 01 01 8c 14 01 ......@.Yp......

0020 01 02 4e 21 4e 22 00 da 6e 2b 00 01 02 03 04 05 ..N!N"..n+......

0030 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 ................

0040 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 .......... !"#$%

0050 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 &'()*+,-./012345

0060 36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45 6789:;<=>?@ABCDE

0070 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 FGHIJKLMNOPQRSTU

0080 56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65 VWXYZ[\]^_`abcde

0090 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 fghijklmnopqrstu

00a0 76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85 vwxyz{|}~.......

00b0 86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95 ................

00c0 96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5 ................

00d0 a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5 ................

00e0 b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5 ................

00f0 c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 03 b0 7f 42 ...............B

2 1.000000 10.1.1.141 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002

0000 54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00 Tu.:.?........E.

0010 00 ee 00 00 00 00 40 11 59 6f 0a 01 01 8d 14 01 ......@.Yo......

0020 01 02 4e 21 4e 22 00 da 6e 2a 00 01 02 03 04 05 ..N!N"..n*......