この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、http://www.cisco.com/go/cfn [英語] からアクセスします。Cisco.com のアカウントは必要ありません。
Cisco IOS Release XE 3.3.0(SE) 以降では、Wireshark のグローバル キャプチャはサポートされません。
キャプチャ フィルタはサポートされません。
Wireshark を設定するための CLI では、機能を EXEC モードからのみ実行する必要があります。通常は設定サブモードで発生するアクション(キャプチャ ポイントの定義など)は、代わりに EXEC モードから処理されます。すべての主要コマンドは NVGEN の対象ではなく、NSF と SSO のシナリオではスタンバイ スーパーバイザに同期されません。
インターフェイスの出力方向にキャプチャされたパケットは、スイッチ rewrite(TTL、VLAN タグ、CoS、チェックサム、MAC アドレス、DSCP、precedent、UP などを含む)によって加えられる変更を反映しない場合があります。
ファイル サイズによる循環ファイル保存の制限はサポートされません。
複数のキャプチャ ポイントを定義できますが、一度にアクティブにできるのは 1 つだけです。1 つ開始するには 1 つ停止する必要があります。
VRF、管理ポート、プライベート VLAN はいずれも接続ポイントとして使用することはできません。
Wireshark クラス マップでは、ACL は各タイプ(IPv4、IPv6、MAC)で 1 つのみ許可されます。クラス マップでは、IPv4 に 1 つ、IPv6 に 1 つ、MAC に 1 つの最大 3 つの ACL が可能です。
Wireshark は宛先 SPAN ポートでパケットをキャプチャできません。
Wireshark は、キャプチャ ポイントにアタッチされる接続ポイント(インターフェイス)のいずれかが動作を停止するとキャプチャを停止します。たとえば、接続ポイントに関連付けられているデバイスがスイッチから切断された場合です。キャプチャを再開するには、手動で再起動する必要があります。
CPU 注入されたパケットは、コントロール プレーン パケットと見なされます。したがって、これらのタイプのパケットはインターフェイスの出力キャプチャではキャプチャされません。
MAC ACL は、ARP などの非 IP パケットだけに使用されます。レイヤ 3 ポートまたは SVI ではサポートされません。
IPv6 ベースの ACL は VACL ではサポートされません。
レイヤ 2 およびレイヤ 3 EtherChannel はサポートされません。
ACL ロギングおよび Wireshark には互換性がありません。Wireshark はアクティブになると優先されます。任意のポートにロギング中の ACL にキャプチャされているものも含めたすべてのトラフィックが Wireshark にリダイレクトされます。Wireshark を開始する前に、ACL ロギングを非アクティブにすることをお勧めします。これを実行しないと、Wireshark のトラフィックは ACL ロギング トラフィックに汚染されます。
Wireshark は floodblock によってドロップされるパケットをキャプチャしません。
同じポートの PACL および RACL の両方をキャプチャすると、1 つのコピーだけが CPU に送信されます。DTLS 暗号化 CAPWAP インターフェイスをキャプチャすると、暗号化されたものと復号化されたものの 2 つのコピーが Wireshark に送信されます。DTLS 暗号化 CAPWAP トラフィックを運ぶレイヤ 2 インターフェイスをキャプチャすると同じ動作が発生します。コア フィルタは外部 CAPWAP ヘッダーに基づいています。
Wireshark に関する情報
Wireshark は、複数のプロトコルをサポートし、テキストベース ユーザ インターフェイスで情報を提供する、以前は Ethereal と呼ばれていたパケット アナライザ プログラムです。
トラフィックをキャプチャおよび分析する機能により、ネットワーク アクティビティにデータを提供します。Cisco IOS Release XE 3.3.0(SE) 以前のリリースでは、このニーズに対応したのは SPAN およびデバッグ プラットフォーム パケットの 2 つの機能だけでした。これらにはいずれも制限があります。SPAN は、パケットのキャプチャにおいては理想的ですが、指定したローカルまたはリモートの宛先にパケットを転送することによりこれを実現しているだけで、ローカル表示や分析をサポートしていません。debug platform packet コマンドは、Catalyst 4500 シリーズに固有で、ソフトウェア プロセス フォワーディング パスから生成されたパケットだけで動作します。また、debug platform packet コマンドは、ローカル表示機能に制限があり、分析がサポートされていません。
そのため、ハードウェアおよびソフトウェア送信トラフィックの両方に適用可能で、可能なら既知のインターフェイスを使用した高度なパケット キャプチャ、表示、および分析サポートを提供する、トラフィック キャプチャおよび分析機構のニーズが存在します。
Wireshark は、.pcap と呼ばれる既知の形式を使用してファイルへパケットをダンプし、個々のインターフェイスに対して適用されイネーブルになります。EXEC モードでインターフェイスを指定し、フィルタおよび他のパラメータも指定します。Wireshark アプリケーションは、start コマンドを入力した場合にだけ適用され、Wireshark が自動または手動でキャプチャを停止した場合にだけ削除されます。
キャプチャ ポイントとは、Wireshark 機能の一元的なポリシー定義です。キャプチャ ポイントは、どのパケットをキャプチャするか、どこからキャプチャするか、キャプチャ パケットに何を実行するか、およびいつ停止するかなど、Wireshark の特定のインスタンスに関連付けられたすべての特徴を説明します。キャプチャ ポイントは作成後に変更される場合があり、start コマンドを使用して明示的にアクティブ化しない限り、アクティブになりません。このプロセスは、キャプチャ ポイントのアクティブ化またはキャプチャ ポイントの開始といいます。キャプチャ ポイントは名前で識別され、手動または自動で非アクティブ化または停止する場合もあります。
複数のキャプチャ ポイントを定義してできますが、一度にアクティブにできるのは 1 つだけです。 1 つ開始するには 1 つ停止する必要があります。
接続ポイントは、キャプチャ ポイントに関連付けられた論理パケットのプロセス パスのポイントです。接続ポイントはキャプチャ ポイントの属性です。接続ポイントに影響するパケットはキャプチャ ポイント フィルタに対してテストされます。一致するパケットはキャプチャ ポイントの関連する Wireshark インスタンスにコピーされ、送信されます。特定のキャプチャ ポイントを複数の接続ポイントに関連付けることができます。異なるタイプ接続ポイントの混合に制限はありません。一部の制限は、異なるタイプの添付ポイントを指定すると適用されます。接続ポイントは、常に双方向であるレイヤ 2 VLAN の接続ポイントを除き、方向性あり(入力/出力/両方)です。
フィルタは、Wireshark にコピーされ、渡されるキャプチャ ポイントの接続ポイントを通過するトラフィックのサブセットを識別し制限するキャプチャ ポイントの属性です。Wireshark で表示されるためには、パケットは接続ポイントと、キャプチャ ポイントに関連付けられたすべてのフィルタも通過する必要があります。
キャプチャ ポイントには以下のタイプのフィルタがあります。
コア システム フィルタ:コア システム フィルタはハードウェアによって適用され、一致基準はハードウェアによって制限されます。このフィルタは、ハードウェア転送トラフィックが Wireshark の目的でソフトウェアにコピーするかどうかを決定します。
表示フィルタ:表示フィルタは、Wireshark によって適用されます。表示フィルタに失敗したパケットは表示されません。
クラス マップまたは ACL を使用して、または CLI を使用して明示的にコア システム フィルタの一致基準を指定できます。
(注) | CAPWAP を接続ポイントとして指定すると、コア システム フィルタは使用されません。 |
一部のインストール済み環境では、承認プロセスが長い場合さらに遅延を引き起こす可能性がある スイッチ の設定を変更する権限を取得する必要があります。これにより、ネットワーク管理者の機能がトラフィックの監視および分析に制限される場合があります。この状況に対処するため、Wireshark は、EXEC モード CLI から、コア システム フィルタ一致基準の明示的な仕様をサポートします。この対処方法の欠点は、指定できる一致基準が、クラス マップがサポートする対象の限定的なサブセットである(MAC、IP 送信元アドレスおよび宛先アドレス、イーサネット タイプ、IP プロトコル、および TCP/UDP の発信元および宛先ポートなど)ことです。
コンフィギュレーション モードを使用する場合は ACL を定義するか、クラス マップでそこへキャプチャ ポイントを参照させることができます。明示的かつ ACL ベースの一致基準がクラス マップとポリシー マップの作成に内部的に使用されます。
注:ACL およびクラス マップの設定はシステムの一部であり、Wireshark 機能の側面ではありません。
表示フィルタを使用すると、.pcap ファイルからデコードして表示するときに表示するパケットの集合をさらに絞り込むように Wireshark に指示できます。
Wireshark はライブ トラフィックまたは前の既存 .pcap ファイルで呼び出すことができます。ライブ トラフィックに対して起動されたとき、その表示フィルタを通過するパケットに対して次の 4 種類の処理を実行できます。
.pcap ファイルのみに対して起動された場合は、デコードと表示の処理だけが適用できます。
パケットは、メモリ内のキャプチャ バッファに格納して、後でデコード、分析、または .pcap ファイルへ保存できます。
キャプチャ バッファは線形モードまたは循環モードを選択できます。線形モードでは、バッファが上限に達すると、新しいパケットが廃棄されます。循環モードでは、バッファが上限に達すると、新しいパケットを格納するために最も古いパケットが廃棄されます。必要に応じてバッファをクリアすることもできますが、このモードは、ネットワーク トラフィックのデバッグに主に使用されます。
(注) | パケットをバッファ内に保存する複数のキャプチャがある場合、メモリ ロスを避けるため、新しいキャプチャを開始する前にバッファをクリアしてください。 |
(注) | WireShark がスタック内のスイッチで使用される場合は、パケット キャプチャをアクティブ スイッチに接続されたフラッシュまたは USB フラッシュ デバイスにのみ保存できます。 たとえば、flash1 がアクティブなスイッチに接続されており、flash2 がセカンダリ スイッチに接続されている場合、flash1 にのみパケット キャプチャを保存できます。 アクティブ スイッチに接続されたフラッシュまたは USB フラッシュ デバイス以外のデバイスにパケット キャプチャを保存しようとすると、エラーが発生する場合があります。 |
Wireshark は .pcap ファイルにキャプチャされたパケットを保存できます。キャプチャ ファイルは次のストレージ デバイスに配置可能です。
(注) | サポートされていないデバイスまたはアクティブなスイッチに接続されていないデバイスにパケット キャプチャを保存しようとするとエラーが発生する可能性があります。 |
Wireshark のキャプチャ ポイントを設定する場合は、ファイル名を関連付けることができます。キャプチャ ポイントをアクティブにすると、Wireshark は指定された名前でファイルを作成し、パケットを書き込みます。ファイルの関連付け、またはキャプチャ ポイントのアクティブ化を行う際にファイルがすでに存在する場合、Wireshark はファイルを上書きできるかどうかについて問い合わせます。特定のファイル名には 1 つのキャプチャ ポイントのみ関連付けることができます。
Wireshark が書き込んでいるファイル システムが一杯になると、Wireshark はファイルの一部のデータで失敗します。そのため、キャプチャ セッションを開始する前に、ファイル システムに十分な領域があることを確認する必要があります。Cisco IOS Release IOS XE 3.3.0(SE) では、ファイル システムの完全なステータスは一部のストレージ デバイスに対しては検出されません。
パケット全体ではなくセグメントのみを保持して、必要な記憶域を減らすことができます。通常、最初の 64 または 128 バイトを超える詳細は不要です。デフォルトの動作は、パケット全体の保存です。
ファイルシステムを処理し、ファイルシステムへの書き込みを行う際、パケットのドロップの発生を避けるため、Wireshark ではオプションでメモリ バッファを使用してパケットの到着時に一時的に保持できます。メモリ バッファのサイズは、キャプチャ ポイントが .pcap ファイルに関連付けられる際に指定できます。
Wireshark はコンソールにパケットをデコードして表示できます。この機能は、ライブ トラフィックに適用されるキャプチャ ポイントと前の既存 .pcap ファイルに適用されるキャプチャ ポイントで使用可能です。
(注) | パケットをデコードして表示すると、CPU への負荷が高くなる場合があります。 |
Wireshark は、幅広い種類のパケット形式に対してパケット詳細をデコードおよび表示できます。詳細は、monitor capture name start コマンドを以下のキーワード オプションと入力することで表示されます。これにより表示およびデコード モードが開始します。
brief:パケットごとに 1 行表示します(デフォルト)。
detailed:プロトコルがサポートされているすべてのパケットのすべてのフィールドをデコードして表示します。詳細モードでは、他の 2 種類のモードよりも多くの CPU が必要です。
(hexadecimal) dump:パケット データの 16 進ダンプおよび各パケットの印刷可能文字としてパケットごとに 1 行表示します。
capture コマンドをデコードおよび表示オプションで入力すると、Wireshark 出力が Cisco IOS に返され、コンソール上に変更なしに表示されます。
Wireshark はコア システムからパケットのコピーを受信します。Wireshark は、表示フィルタを適用して、不要なパケットを破棄し、残りのパケットをデコードおよび表示します。
Wireshark は、以前に保存された .pcap ファイルからのパケットをデコードして表示し、選択的にパケットを表示するように表示フィルタに指示できます。
機能的には、このモードは以前の 2 種類のモードの組み合わせです。Wireshark は指定された .pcap ファイルにパケットを保存し、これらをコンソールにデコードおよび表示します。ここではコア フィルタ フィルタだけが該当します。
Wireshark のキャプチャ ポイントが、接続ポイント、フィルタ、アクション、およびその他のオプションで定義された場合、Wireshark をアクティブにする必要があります。キャプチャ ポイントがアクティブになるまで、実際にパケットをキャプチャしません。
(注) | *ワイヤレス キャプチャを CAPWAP トンネリング インターフェイスで実行する場合、コア システムのフィルタは必要なく、使用することができません。 |
表示フィルタを必要に応じて指定します。
Wireshark のキャプチャ ポイントはアクティブになると、複数の方法で非アクティブにできます。.pcap ファイルにパケットを格納するだけのキャプチャ ポイントは手動で停止することも、また時間制限またはパケット制限付きで設定することもでき、その後でキャプチャ ポイントは自動的に停止します。
Wireshark のキャプチャ ポイントがアクティブになると、固定レート ポリサーがハードウェアに自動的に適用され、CPU が Wireshark によって指示されたパケットでフラッディングしないようになります。レート ポリサーの短所は、リソースが使用可能な場合でも、確立されたレートを超えて連続するパケットをキャプチャできないことです。
ここでは、Wireshark 機能が スイッチ 環境でどのように動作するかについて説明します。
ポート セキュリティおよび Wireshark が入力キャプチャに適用された場合でも、ポート セキュリティによってドロップされたパケットは Wireshark でキャプチャされます。ポート セキュリティが入力キャプチャに適用され、Wireshark が出力キャプチャに適用された場合、ポート セキュリティによってドロップされたパケットは Wireshark ではキャプチャされません。
ダイナミック ARP インスペクション(DAI)によってドロップされたパケットは Wireshark ではキャプチャされません。
STP ブロック ステートのポートが接続ポイントとして使用され、コア フィルタが一致する場合、Wireshark は、パケットがスイッチにドロップされる場合でもポートに入ってくるパケットをキャプチャします。
分類ベースのセキュリティ機能:入力分類ベースのセキュリティ機能によってドロップされたパケット(ACL および IPSG など)は同じ層の接続ポイントに接続する Wireshark キャプチャ ポイントでは検出されません。一方、出力分類ベースのセキュリティ機能によってドロップされたパケットは、同じ層の接続ポイントに接続されている Wireshark のキャプチャ ポイントでキャッチされます。論理モデルは、Wireshark の接続ポイントが、入力側のセキュリティ機能のルックアップ後、および出力側のセキュリティ機能のルックアップ前に発生することです。
入力では、パケットはレイヤ 2 ポート、VLAN、およびレイヤ 3 ポート/SVI を介して送信されます。出力では、パケットはレイヤ 3 ポート/SVI、VLAN、およびレイヤ 2 ポートを介して送信されます。接続ポイントがパケットがドロップされるポイントの前にある場合、Wireshark はパケットをキャプチャします。これ以外の場合は、Wireshark はパケットをキャプチャしません。たとえば、入力方向のレイヤ 2 接続ポイントに接続される Wireshark のキャプチャ ポリシーはレイヤ 3 分類ベースのセキュリティ機能によってドロップされたパケットをキャプチャします。対照的に、出力方向のレイヤ 3 接続ポイントに接続する Wireshark のキャプチャ ポリシーは、レイヤ 2 分類ベースのセキュリティ機能によりドロップされたパケットをキャプチャします。
ルーテッド ポートおよびスイッチ仮想インターフェイス(SVIs):SVI の出力から送信されるパケットは CPU で生成されるため、Wireshark は SVI の出力をキャプチャできません。これらのパケットをキャプチャするには、コントロール プレーンを接続ポイントとして含めます。
VLAN:VLAN が Wireshark の接続ポイントとして使用されている場合、パケットは、入力方向でのみキャプチャされます。
リダイレクション機能:入力方向では、レイヤ 3(PBR および WCCP など)でリダイレクトされる機能トラフィックは、レイヤ 3 の Wireshark の接続ポイントよりも論理的に後です。Wireshark は、後で別のレイヤ 3 インターフェイスにリダイレクトされる可能性がある場合でも、これらのパケットをキャプチャします。対照的に、レイヤ 3 によってリダイレクトされる出力機能(出力 WCCP など)は論理的にレイヤ 3 接続ポイントの前にあり、Wireshark ではキャプチャされません。
SPAN:Wireshark は SPAN 送信元または宛先として設定されたインターフェイス上でパケットを収集できません。
(注) | 過剰な CPU 使用につながり、予測されないハードウェア動作の原因となる可能性があるため、過剰な数の接続ポイントを一度にキャプチャしないことを強くお勧めします。 |
ワイヤレス トラフィックは CAPWAP パケット内にカプセル化されます。ただし、CAPWAP トンネル内の特定のワイヤレス クライアントのトラフィックだけの検出は、CAPWAP トンネルを接続ポイントとして使用する場合はサポートされません。特定のワイヤレス クライアントのトラフィックだけをキャプチャするには、クライアント VLAN を接続ポイントとして使用し、それに応じてコア フィルタを設定します。
内部ワイヤレス トラフィックのデコードは制限付きでサポートされます。暗号化された CAPWAP トンネル内の内部ワイヤレス パケットのデコードはサポートされません。
同じキャプチャ ポイント上で他のインターフェイス タイプを CAPWAP トンネリング インターフェイスと併用することはできません。CAPWAP トンネリング インターフェイスおよびレベル 2 ポートは、同じキャプチャ ポイントの接続ポイントにはできません。
CAPWAP トンネルを介して Wireshark にパケットをキャプチャする場合、コア フィルタの指定はできません。ただし、Wireshark 表示フィルタを使用して、特定のワイヤレス クライアントに対してワイヤレス クライアントをフィルタすることができます。
(注) | 過剰な CPU 使用につながり、予測されないハードウェア動作の原因となる可能性があるため、過剰な数の接続ポイントを一度にキャプチャしないことを強くお勧めします。 |
Wireshark でのパケット キャプチャ中に、ハードウェア転送が同時に発生します。
Wireshark のキャプチャ プロセスを開始する前に、CPU 使用率が妥当であり、十分なメモリ(少なくとも 200 MB)が使用可能であることを確認します。
ストレージ ファイルにパケットを保存する予定の場合、Wireshark キャプチャ プロセスを開始する前に十分なスペースが利用可能であることを確認してください。
Wireshark のキャプチャ中の CPU 使用率は、設定された基準に一致するパケットの数と、一致したパケット用のアクション(ストア、デコードして表示、あるいはこの両方)によって異なります。
高 CPU 使用率および他の不要な条件を避けるため、可能な限りキャプチャを最小限に抑えてください(パケット、期間による制限)。
パケット転送はハードウェアで通常実行されるため、パケットは、ソフトウェア処理のために CPU にコピーされません。Wireshark のパケット キャプチャの場合、パケットは CPU にコピーされ、配信されて、これが CPU 使用率の増加につながります。
CPU 使用率を高くしないようにするには、次の手順を実行します。
パケット キャプチャを短い期間または小さなパケット番号に常に制限します。capture コマンドのパラメータにより、次を指定することができます。
コア フィルタと一致するトラフィックが非常に少ないことが判明している場合は、制限なしでキャプチャ セッションを実行します。
次の場合に高い CPU(またはメモリ)使用率になる可能性があります。
キャプチャ セッション中に、スイッチ のパフォーマンスやヘルスに影響する可能性のある Wireshark による高い CPU 使用率およびメモリ消費がないか監視します。こうした状況が発生した場合、Wireshark セッションをすぐに停止します。
大きなファイルの .pcap ファイルからのパケットをデコードして表示することは避けてください。代わりに、PC に .pcap ファイルを転送し PC 上で Wireshark を実行します。
Wireshark インスタンスは最大 8 個まで定義できます。.pcap ファイルまたはキャプチャ バッファからパケットをデコードして表示するアクティブな show コマンドは、1 個のインスタンスとしてカウントされます。ただし、アクティブにできるインスタンスは 1 つだけです。
実行中のキャプチャに関連付けられた ACL が変更された場合は常に、ACL 変更を有効にするにはキャプチャを再起動する必要があります。キャプチャを再起動しないと、変更前の元の ACL が継続して使用されます。
パケット損失を防ぐには、次の点を考慮します。
ライブ パケットをキャプチャしている間は、CPU に負荷のかかる操作であるデコードと表示ではなく(特に detailed モードの場合)、保存のみを使用します(display オプションを指定しない場合)。
パケットをバッファ内に保存する複数のキャプチャがある場合、メモリ ロスを避けるため、新しいキャプチャを開始する前にバッファをクリアしてください。
デフォルト バッファ サイズを使用し、パケットが失われている場合、バッファ サイズを増加してパケットの喪失を防ぐことができます。
フラッシュ ディスクへの書き込みは、CPU に負荷のかかる操作であるため、キャプチャ レートが不十分な場合、バッファ キャプチャの使用をお勧めします。
(注) | バッファからパケットをキャプチャする場合、ファイル ストレージは定義されません。したがって、バッファから静的ストレージ ファイルにキャプチャをエクスポートする必要があります。monitor capturecapture-nameexportfile-location : file-name コマンドを使用します。 |
ストリーミング キャプチャ モードは約 1000 pps をサポートし、ロックステップ モードは約 2 Mbps(256 バイト パケットで測定)をサポートします。一致するトラフィック レートがこの値を超えると、パケット損失が発生する可能性があります。
コンソール ウィンドウのライブ パケットをデコードして表示する場合は、Wireshark セッションが短いキャプチャ期間によって抑制されていることを確認します。
(注) | 警告:期間制限がより長いまたはキャプチャ期間がない(term len 0 コマンドを使用して auto-more サポートのない端末を使用した)Wireshark セッションでは、コンソールまたは端末が使用できなくなる場合があります。 |
高 CPU 使用率につながるライブ トラフィックのキャプチャに Wireshark を使用している場合、QoS ポリシーを一時的に適用して、キャプチャ プロセスが終了するまで実際のトラフィックを制限することを考慮してください。
すべての Wireshark 関連のコマンドは EXEC モードで、コンフィギュレーション コマンドは、Wireshark にありません。
Wireshark CLI でアクセス リストまたはクラス マップを使用する必要がある場合は、コンフィギュレーション コマンドでアクセス リストおよびクラス マップを定義する必要があります。
特定の順序はキャプチャ ポイントを定義する場合には適用されません。CLI で許可されている任意の順序でキャプチャ ポイント パラメータを定義できます。Wireshark CLI では、単一行のパラメータ数に制限はありません。これはキャプチャ ポイントを定義するために必要なコマンドの数を制限します。
接続ポイントを除くすべてのパラメータは、単一の値を取ります。通常、コマンドを再入力することにより、値を新しいものに置き換えることができます。ユーザの確認後にシステムが新しい値を受け入れ、古い値を上書きします。コマンドの no 形式には新規値を入力する必要はありませんが、パラメータを削除する必要があります。
Wireshark では 1 つ以上の接続ポイントを指定することができます。複数の接続ポイントを追加するには、新しい接続ポイントでコマンドを再入力します。接続ポイントを削除するには、コマンドの no 形式を使用します。接続ポイントとしてインターフェイス範囲を指定できます。たとえば、monitor capture mycap interface GigabitEthernet1/0/1 in を入力します。ここではインターフェイス GigabitEthernet1/0/1 が接続ポイントです。
またインターフェイス GigabitEthernet1/0/2 にも接続する必要がある場合、次のように、別の行で指定します。
monitor capture mycap interface GigabitEthernet1/0/2 in
セッションがアクティブである間にキャプチャ ポイントの任意のパラメータを変更できますが、変更を有効にするにはセッションを再起動する必要があります。
実行する処理は、いずれのパラメータが必須であるかを決定します。Wireshark CLI では start コマンドを入力する前に任意のパラメータを指定または変更することができます。start コマンドを入力すると、Wireshark はすべての必須パラメータが入力されたと判断した後でのみ開始します。
キャプチャ ファイルがすでに存在する場合、警告が表示され、継続するために確認が要求されます。これにより、誤ってファイルが上書きされるのを防ぐことができます。
コア フィルタは明示的なフィルタ、アクセス リスト、またはクラス マップにできます。これらのタイプの新しいフィルタを指定すると、既存のものを置き換えます。
(注) | コア フィルタは、CAPWAP トンネル インターフェイスをキャプチャ ポイントの接続ポイントとして使用している場合を除き、必須です。 |
明示的な stop コマンドを使用するか、automore モードに「q」を入力して、Wireshark のセッションを終了します。セッションは、期間やパケット キャプチャの制限などの停止の条件が満たされたときに、自身を自動的に終了することができます。
次の表は、デフォルトの Wireshark の設定を示しています。
機能 | デフォルト設定 |
---|---|
持続時間 | 制限なし |
パケット | 制限なし |
パケット長 | 制限なし(フル パケット) |
ファイル サイズ | 制限なし |
リング ファイル ストレージ | いいえ |
バッファのストレージ モード | 線形 |
Wireshark を設定するには、次の基本的な手順を実行します。
(注) | 接続ポイント、キャプチャの方向、およびコア フィルタが機能するキャプチャ ポイントを持つよう定義する必要があります。 コア フィルタを定義する必要がないのは、CAPWAP トンネリング インターフェイスを使用してワイヤレス キャプチャ ポイントを定義する場合です。この場合、コア フィルタは定義しません。これは使用できません。 |
キャプチャ ポイントを定義するには、次の手順を実行します。
1.
enable
2.
show capwap summary
3.
monitor capture {capture-name}{interface
interface-type
interface-id |
control-plane}{in |
out |
both}
4.
monitor capture {capture-name}[match {any |
ipv4
any
any |
ipv6}
any
any}]
5.
show monitor capture {capture-name}[
parameter]
7.
copy running-config startup-config
CAPWAP 接続ポイントでキャプチャ ポイントを定義するには次を実行します。
Switch# show capwap summary CAPWAP Tunnels General Statistics: Number of Capwap Data Tunnels = 1 Number of Capwap Mobility Tunnels = 0 Number of Capwap Multicast Tunnels = 0 Name APName Type PhyPortIf Mode McastIf ------ -------------------------------- ---- --------- --------- ------- Ca0 AP442b.03a9.6715 data Gi3/0/6 unicast - Name SrcIP SrcPort DestIP DstPort DtlsEn MTU Xact ------ --------------- ------- --------------- ------- ------ ----- ---- Ca0 10.10.14.32 5247 10.10.14.2 38514 No 1449 0 Switch# monitor capture mycap interface capwap 0 both Switch# monitor capture mycap file location flash:mycap.pcap Switch# monitor capture mycap file buffer-size 1 Switch# monitor capture mycap start *Aug 20 11:02:21.983: %BUFCAP-6-ENABLE: Capture Point mycap enabled.on Switch# show monitor capture mycap parameter monitor capture mycap interface capwap 0 in monitor capture mycap interface capwap 0 out monitor capture mycap file location flash:mycap.pcap buffer-size 1 Switch# Switch# show monitor capture mycap Status Information for Capture mycap Target Type: Interface: CAPWAP, Ingress: 0 Egress: 0 Status : Active Filter Details: Capture all packets Buffer Details: Buffer Type: LINEAR (default) File Details: Associated file name: flash:mycap.pcap Size of buffer(in MB): 1 Limit Details: Number of Packets to capture: 0 (no limit) Packet Capture duration: 0 (no limit) Packet Size to capture: 0 (no limit) Packets per second: 0 (no limit) Packet sampling rate: 0 (no sampling) Switch# Switch# show monitor capture file flash:mycap.pcap 1 0.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........ 2 0.499974 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........ 3 2.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........ 4 2.499974 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........ 5 3.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........ 6 4.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........ 7 4.499974 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........ 8 5.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........ 9 5.499974 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........ 10 6.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........ 11 8.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........ 12 9.225986 10.10.14.2 -> 10.10.14.32 DTLSv1.0 Application Data 13 9.225986 10.10.14.2 -> 10.10.14.32 DTLSv1.0 Application Data 14 9.225986 10.10.14.2 -> 10.10.14.32 DTLSv1.0 Application Data 15 9.231998 10.10.14.2 -> 10.10.14.32 DTLSv1.0 Application Data 16 9.231998 10.10.14.2 -> 10.10.14.32 DTLSv1.0 Application Data 17 9.231998 10.10.14.2 -> 10.10.14.32 DTLSv1.0 Application Data 18 9.236987 10.10.14.2 -> 10.10.14.32 DTLSv1.0 Application Data 19 10.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........ 20 10.499974 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........ 21 12.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........ 22 12.239993 10.10.14.2 -> 10.10.14.32 DTLSv1.0 Application Data 23 12.244997 10.10.14.2 -> 10.10.14.32 DTLSv1.0 Application Data 24 12.244997 10.10.14.2 -> 10.10.14.32 DTLSv1.0 Application Data 25 12.250994 10.10.14.2 -> 10.10.14.32 DTLSv1.0 Application Data 26 12.256990 10.10.14.2 -> 10.10.14.32 DTLSv1.0 Application Data 27 12.262987 10.10.14.2 -> 10.10.14.32 DTLSv1.0 Application Data 28 12.499974 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........ 29 12.802012 10.10.14.3 -> 10.10.14.255 NBNS Name query NB WPAD.<00> 30 13.000000 00:00:00:00:00:00 -> 3c:ce:73:39:c6:60 IEEE 802.11 Probe Request, SN=0, FN=0, Flags=........
さらなる接続ポイントを追加して、キャプチャ ポイントのパラメータを変更し、アクティブ化できます。または、キャプチャ ポイントをそのまま使用したい場合はすぐにアクティブ化することもできます。
(注) | このトピックで説明されているメソッドを使用してキャプチャ ポイントのパラメータを変更することはできません。 |
パラメータの値を指定する手順は、順番にリストされますが、任意の順序で実行できます。1 行、2 行、または複数行で指定できます。複数指定が可能な接続ポイントを除き、同じオプションを再定義することで、任意の値をより最近の値に置き換えることができます。
キャプチャ ポイントのパラメータを変更するには、次の手順を実行します。
以下の手順を実行する前にキャプチャ ポイントを定義する必要があります。
1.
enable
2.
monitor capture {capture-name}
match {any
|
mac
mac-match-string |
ipv4 {any
|
host |
protocol}{any
|
host} |
ipv6 {any
|
host |
protocol}{any
|
host}}
3.
monitor capture {capture-name}
limit {[duration
seconds][packet-length
size][packets
num]}
4.
monitor capture {capture-name}
file {location
filename}
5.
monitor capture {capture-name}
file {buffer-size
size}
6.
show monitor capture {capture-name}[
parameter]
9.
copy running-config startup-config
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。パスワードを入力します(要求された場合)。 | ||
ステップ 2 | monitor capture {capture-name}
match {any
|
mac
mac-match-string |
ipv4 {any
|
host |
protocol}{any
|
host} |
ipv6 {any
|
host |
protocol}{any
|
host}} 例: Switch# monitor capture mycap match ipv4 any any
|
明示的に、または ACL を介して、またはクラス マップを介して定義されたコア システム フィルタ(ipv4 any any)を定義します。
| ||
ステップ 3 | monitor capture {capture-name}
limit {[duration
seconds][packet-length
size][packets
num]} 例: Switch# monitor capture mycap limit duration 60 packet-len 400
|
秒単位のセッション制限(60)、キャプチャされたパケット、または Wireshark によって保持されるパケット セグメント長(400)を指定します。 | ||
ステップ 4 | monitor capture {capture-name}
file {location
filename} 例: Switch# monitor capture mycap file location flash:mycap.pcap
|
キャプチャ ポイントがパケットを表示するだけでなくキャプチャできるようにする場合は、ファイルのアソシエーションを指定します。 | ||
ステップ 5 | monitor capture {capture-name}
file {buffer-size
size} 例: Switch# monitor capture mycap file buffer-size 100
|
トラフィック バーストの処理に Wireshark で使用されるメモリ バッファのサイズを指定します。 | ||
ステップ 6 | show monitor capture {capture-name}[
parameter] 例: Switch# show monitor capture mycap parameter
monitor capture mycap interface GigabitEthernet1/0/1 in
monitor capture mycap match ipv4 any any
monitor capture mycap limit duration 60 packet-len 400
monitor capture point mycap file location bootdisk:mycap.pcap
monitor capture mycap file buffer-size 100
|
以前に定義したキャプチャ ポイント パラメータを表示します。 | ||
ステップ 7 | end 例: Switch(config)# end | |||
ステップ 8 | show running-config 例: Switch# show running-config | |||
ステップ 9 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
キャプチャ ファイルの関連付けまたは関連付け解除
Switch# monitor capture point mycap file location flash:mycap.pcap Switch# no monitor capture mycap file
パケット バーストの処理にメモリ バッファ サイズを指定する
Switch# monitor capture mycap buffer size 100
IPv4 と IPv6 の両方に一致するように、明示的なコア システム フィルタを定義する
Switch# monitor capture mycap match any
キャプチャ ポイントに必要なパラメータがすべて含まれている場合はアクティブ化します。
順番に表示されていますが、パラメータを削除する手順は任意の順序で実行できます。1 行、2 行、または複数行で削除できます。複数が可能な接続ポイントを除いて、任意のパラメータを削除できます。
キャプチャ ポイントのパラメータを削除するには、次の手順を実行します。
キャプチャ ポイント パラメータは、以下の手順を使用して削除する前に定義する必要があります。
1.
enable
2.
no monitor capture {capture-name}
match
3.
no monitor capture {capture-name}
limit [duration][packet-length][packets]
4.
no monitor capture {capture-name}
file [location]
[buffer-size]
5.
show monitor capture {capture-name}[
parameter]
8.
copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。パスワードを入力します(要求された場合)。 |
ステップ 2 | no monitor capture {capture-name}
match 例: Switch# no monitor capture mycap match
|
キャプチャ ポイント(mycap)で定義されているすべてのフィルタを削除します。 |
ステップ 3 | no monitor capture {capture-name}
limit [duration][packet-length][packets] 例: Switch# no monitor capture mycap limit duration packet-len Switch# no monitor capture mycap limit |
Wireshark によって保持されるセッション タイム制限およびパケット セグメント長を削除します。その他の指定された制限はそのままになります。 Wireshark のすべての制限をクリアします。 |
ステップ 4 | no monitor capture {capture-name}
file [location]
[buffer-size] 例: Switch# no monitor capture mycap file Switch# no monitor capture mycap file location |
ファイルの関連付けを削除します。キャプチャ ポイントはパケットをキャプチャしなくなります。表示だけが実行されます。 ファイル位置の関連付けを削除します。ファイル位置はキャプチャ ポイントとは関連付けられなくなります。ただし、他の定義されたファイル関連付けはこのアクションによっては影響を受けません。 |
ステップ 5 | show monitor capture {capture-name}[
parameter] 例: Switch# show monitor capture mycap parameter
monitor capture mycap interface GigabitEthernet1/0/1 in
|
パラメータの削除操作後にまだ定義されているキャプチャ ポイント パラメータを表示します。このコマンドは、キャプチャ ポイントと関連付けられるパラメータを確認するために手順の任意の地点で実行できます。 |
ステップ 6 | end 例: Switch(config)# end | |
ステップ 7 | show running-config 例: Switch# show running-config | |
ステップ 8 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
キャプチャ ポイントに必要なパラメータがすべて含まれている場合はアクティブ化します。
キャプチャ ポイントを削除するには、次の手順を実行します。
キャプチャ ポイントは、以下の手順を使用して削除する前に定義する必要があります。
1.
enable
2.
no monitor capture {capture-name}
3.
show monitor capture {capture-name}[
parameter]
6.
copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。パスワードを入力します(要求された場合)。 |
ステップ 2 | no monitor capture {capture-name}
例: Switch# no monitor capture mycap
|
指定されたキャプチャ ポイント(mycap)を削除します。 |
ステップ 3 | show monitor capture {capture-name}[
parameter] 例: Switch# show monitor capture mycap parameter
Capture mycap does not exist
|
指定されたキャプチャ ポイントは削除されたため存在しないことを示すメッセージを表示します。 |
ステップ 4 | end 例: Switch(config)# end | |
ステップ 5 | show running-config 例: Switch# show running-config | |
ステップ 6 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
削除したものと同じ名前の新規キャプチャ ポイントを定義できます。これらの手順は通常、キャプチャ ポイントの定義をやり直したい場合に実行します。
キャプチャ ポイントをアクティブまたは非アクティブにするには、次の手順を実行します。
接続ポイントとコア システム フィルタが定義され、関連するファイル名(存在する場合)が存在していなければ、キャプチャ ポイントをアクティブにできません。関連するファイル名のないキャプチャ ポイントは、表示するためだけにアクティブにできます。キャプチャ フィルタまたは表示フィルタが指定されていない場合、コア システム フィルタによってキャプチャされたすべてのパケットが表示されます。デフォルトの表示モードは brief です。
(注) | CAPWAP のトンネリング インターフェイスを接続ポイントとして使用すると、コア フィルタは使用されないため、この場合は定義する必要はありません。 |
1.
enable
2.
monitor capture {capture-name}
start[display [display-filter
filter-string]][brief |
detailed |
dump]
3.
monitor capture {capture-name}
stop
6.
copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。パスワードを入力します(要求された場合)。 |
ステップ 2 | monitor capture {capture-name}
start[display [display-filter
filter-string]][brief |
detailed |
dump] 例: Switch# monitor capture mycap start display display-filter "stp"
|
キャプチャ ポイントをアクティブ化し、「stp」を含むパケットだけが表示されるように表示をフィルタします。 |
ステップ 3 | monitor capture {capture-name}
stop 例: Switch# monitor capture name stop
|
キャプチャ ポイントを非アクティブにします。 |
ステップ 4 | end 例: Switch(config)# end | |
ステップ 5 | show running-config 例: Switch# show running-config | |
ステップ 6 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次の手順に従ってバッファ コンテンツをクリアするか、外部ファイルにストレージとして保存します。
(注) | パケットをバッファ内に保存する複数のキャプチャがある場合、メモリ ロスを避けるため、新しいキャプチャを開始する前にバッファをクリアしてください。 |
1.
enable
2.
monitor capture {capture-name}
[clear |
export
filename]
5.
copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。パスワードを入力します(要求された場合)。 |
ステップ 2 | monitor capture {capture-name}
[clear |
export
filename] 例: Switch# monitor capture mycap clear
|
キャプチャ バッファ コンテンツをクリアするか、パケットをファイルに保存します。 |
ステップ 3 | end 例: Switch(config)# end | |
ステップ 4 | show running-config 例: Switch# show running-config | |
ステップ 5 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
キャプチャのファイルへのエクスポート
Switch# monitor capture mycap export flash:mycap.pcap
Storage configured as File for this capture
キャプチャ ポイント バッファのクリア
Switch# monitor capture mycap clear
Capture configured with file options
このテーブルのコマンドは Wireshark のモニタリングに使用されます。
コマンド | 目的 |
---|---|
キャプチャ ポイント ステートが表示され、キャプチャ ポイントの定義状況、属性、アクティブ状況を確認することができます。キャプチャ ポイントの名前を指定すると、特定のキャプチャ ポイントの細部が表示されます。 |
|
show monitor capture [capture-name parameter] |
キャプチャ ポイント パラメータを表示します。 |
show capwap summary |
スイッチ のすべての CAPWAP トンネルを表示します。このコマンドを使用して、ワイヤレス キャプチャにどの CAPWAP トンネルを使用できるかを判断します。 |
Wireshark の設定例
次のように入力して、.pcap ファイルからの出力を表示できます。
Switch# show monitor capture file flash:mycap.pcap
1 0.000000 10.1.1.140 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2 1.000000 10.1.1.141 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3 2.000000 10.1.1.142 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4 3.000000 10.1.1.143 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5 4.000000 10.1.1.144 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6 5.000000 10.1.1.145 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7 6.000000 10.1.1.146 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8 7.000000 10.1.1.147 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9 8.000000 10.1.1.148 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
10 9.000000 10.1.1.149 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
11 10.000000 10.1.1.150 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
12 11.000000 10.1.1.151 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
13 12.000000 10.1.1.152 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
14 13.000000 10.1.1.153 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
15 14.000000 10.1.1.154 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
16 15.000000 10.1.1.155 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
17 16.000000 10.1.1.156 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
18 17.000000 10.1.1.157 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
19 18.000000 10.1.1.158 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
20 19.000000 10.1.1.159 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
21 20.000000 10.1.1.160 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
22 21.000000 10.1.1.161 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
23 22.000000 10.1.1.162 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
24 23.000000 10.1.1.163 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
25 24.000000 10.1.1.164 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
26 25.000000 10.1.1.165 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
27 26.000000 10.1.1.166 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
28 27.000000 10.1.1.167 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
29 28.000000 10.1.1.168 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
30 29.000000 10.1.1.169 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
31 30.000000 10.1.1.170 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
32 31.000000 10.1.1.171 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
33 32.000000 10.1.1.172 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
34 33.000000 10.1.1.173 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
35 34.000000 10.1.1.174 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
36 35.000000 10.1.1.175 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
37 36.000000 10.1.1.176 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
38 37.000000 10.1.1.177 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
39 38.000000 10.1.1.178 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
40 39.000000 10.1.1.179 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
41 40.000000 10.1.1.180 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
42 41.000000 10.1.1.181 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
43 42.000000 10.1.1.182 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
44 43.000000 10.1.1.183 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
45 44.000000 10.1.1.184 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
46 45.000000 10.1.1.185 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
47 46.000000 10.1.1.186 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
48 47.000000 10.1.1.187 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
49 48.000000 10.1.1.188 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
50 49.000000 10.1.1.189 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
51 50.000000 10.1.1.190 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
52 51.000000 10.1.1.191 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
53 52.000000 10.1.1.192 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
54 53.000000 10.1.1.193 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
55 54.000000 10.1.1.194 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
56 55.000000 10.1.1.195 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
57 56.000000 10.1.1.196 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
58 57.000000 10.1.1.197 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
59 58.000000 10.1.1.198 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
次のように入力して、.pcap ファイルの出力詳細を表示できます。
Switch# show monitor capture file flash:mycap.pcap detailed
Frame 1: 256 bytes on wire (2048 bits), 256 bytes captured (2048 bits)
Arrival Time: Mar 21, 2012 14:35:09.111993000 PDT
Epoch Time: 1332365709.111993000 seconds
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 256 bytes (2048 bits)
Capture Length: 256 bytes (2048 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ip:udp:data]
Ethernet II, Src: 00:00:00:00:03:01 (00:00:00:00:03:01), Dst: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
Destination: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
Address: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Source: 00:00:00:00:03:01 (00:00:00:00:03:01)
Address: 00:00:00:00:03:01 (00:00:00:00:03:01)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Type: IP (0x0800)
Frame check sequence: 0x03b07f42 [incorrect, should be 0x08fcee78]
Internet Protocol, Src: 10.1.1.140 (10.1.1.140), Dst: 20.1.1.2 (20.1.1.2)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 238
Identification: 0x0000 (0)
Flags: 0x00
0... .... = Reserved bit: Not set
.0.. .... = Don't fragment: Not set
..0. .... = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: UDP (17)
Header checksum: 0x5970 [correct]
[Good: True]
[Bad: False]
Source: 10.1.1.140 (10.1.1.140)
Destination: 20.1.1.2 (20.1.1.2)
User Datagram Protocol, Src Port: 20001 (20001), Dst Port: 20002 (20002)
Source port: 20001 (20001)
Destination port: 20002 (20002)
Length: 218
Checksum: 0x6e2b [validation disabled]
[Good Checksum: False]
[Bad Checksum: False]
Data (210 bytes)
0000 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f ................
0010 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f ................
0020 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f !"#$%&'()*+,-./
0030 30 31 32 33 34 35 36 37 38 39 3a 3b 3c 3d 3e 3f 0123456789:;<=>?
0040 40 41 42 43 44 45 46 47 48 49 4a 4b 4c 4d 4e 4f @ABCDEFGHIJKLMNO
0050 50 51 52 53 54 55 56 57 58 59 5a 5b 5c 5d 5e 5f PQRSTUVWXYZ[\]^_
0060 60 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f `abcdefghijklmno
0070 70 71 72 73 74 75 76 77 78 79 7a 7b 7c 7d 7e 7f pqrstuvwxyz{|}~.
0080 80 81 82 83 84 85 86 87 88 89 8a 8b 8c 8d 8e 8f ................
0090 90 91 92 93 94 95 96 97 98 99 9a 9b 9c 9d 9e 9f ................
00a0 a0 a1 a2 a3 a4 a5 a6 a7 a8 a9 aa ab ac ad ae af ................
00b0 b0 b1 b2 b3 b4 b5 b6 b7 b8 b9 ba bb bc bd be bf ................
00c0 c0 c1 c2 c3 c4 c5 c6 c7 c8 c9 ca cb cc cd ce cf ................
00d0 d0 d1 ..
Data: 000102030405060708090a0b0c0d0e0f1011121314151617...
[Length: 210]
Frame 2: 256 bytes on wire (2048 bits), 256 bytes captured (2048 bits)
Arrival Time: Mar 21, 2012 14:35:10.111993000 PDT
Example: Displaying a Hexadecimal Dump Output from a .pcap File
You can display the hexadecimal dump output by entering:
Switch# show monitor capture file bootflash:mycap.pcap dump
1 0.000000 10.1.1.140 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0000 54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00 Tu.:.?........E.
0010 00 ee 00 00 00 00 40 11 59 70 0a 01 01 8c 14 01 ......@.Yp......
0020 01 02 4e 21 4e 22 00 da 6e 2b 00 01 02 03 04 05 ..N!N"..n+......
0030 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 ................
0040 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 .......... !"#$%
0050 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 &'()*+,-./012345
0060 36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45 6789:;<=>?@ABCDE
0070 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 FGHIJKLMNOPQRSTU
0080 56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65 VWXYZ[\]^_`abcde
0090 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 fghijklmnopqrstu
00a0 76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85 vwxyz{|}~.......
00b0 86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95 ................
00c0 96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5 ................
00d0 a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5 ................
00e0 b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5 ................
00f0 c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 03 b0 7f 42 ...............B
2 1.000000 10.1.1.141 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0000 54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00 Tu.:.?........E.
0010 00 ee 00 00 00 00 40 11 59 6f 0a 01 01 8d 14 01 ......@.Yo......
0020 01 02 4e 21 4e 22 00 da 6e 2a 00 01 02 03 04 05 ..N!N"..n*......
0030 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 ................
0040 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 .......... !"#$%
0050 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 &'()*+,-./012345
0060 36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45 6789:;<=>?@ABCDE
0070 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 FGHIJKLMNOPQRSTU
0080 56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65 VWXYZ[\]^_`abcde
0090 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 fghijklmnopqrstu
00a0 76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85 vwxyz{|}~.......
00b0 86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95 ................
00c0 96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5 ................
00d0 a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5 ................
00e0 b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5 ................
00f0 c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 95 2c c3 3f .............,.?
3 2.000000 10.1.1.142 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0000 54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00 Tu.:.?........E.
0010 00 ee 00 00 00 00 40 11 59 6e 0a 01 01 8e 14 01 ......@.Yn......
0020 01 02 4e 21 4e 22 00 da 6e 29 00 01 02 03 04 05 ..N!N"..n)......
0030 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 ................
0040 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 .......... !"#$%
0050 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 &'()*+,-./012345
0060 36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45 6789:;<=>?@ABCDE
0070 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 FGHIJKLMNOPQRSTU
0080 56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65 VWXYZ[\]^_`abcde
0090 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 fghijklmnopqrstu
00a0 76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85 vwxyz{|}~.......
00b0 86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95 ................
00c0 96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5 ................
00d0 a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5 ................
00e0 b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5 ................
00f0 c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 6c f8 dc 14 ............l...
4 3.000000 10.1.1.143 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0000 54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00 Tu.:.?........E.
0010 00 ee 00 00 00 00 40 11 59 6d 0a 01 01 8f 14 01 ......@.Ym......
0020 01 02 4e 21 4e 22 00 da 6e 28 00 01 02 03 04 05 ..N!N"..n(......
0030 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 ................
0040 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 .......... !"#$%
0050 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 &'()*+,-./012345
Example: Displaying Packets from a .pcap File with a Display Filter
You can display the .pcap file packets output by entering:
Switch# show monitor capture file bootflash:mycap.pcap display-filter "ip.src == 10.1.1.140" dump
1 0.000000 10.1.1.140 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
0000 54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00 Tu.:.?........E.
0010 00 ee 00 00 00 00 40 11 59 70 0a 01 01 8c 14 01 ......@.Yp......
0020 01 02 4e 21 4e 22 00 da 6e 2b 00 01 02 03 04 05 ..N!N"..n+......
0030 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 ................
0040 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 .......... !"#$%
0050 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 &'()*+,-./012345
0060 36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45 6789:;<=>?@ABCDE
0070 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 FGHIJKLMNOPQRSTU
0080 56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65 VWXYZ[\]^_`abcde
0090 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 fghijklmnopqrstu
00a0 76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85 vwxyz{|}~.......
00b0 86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95 ................
00c0 96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5 ................
00d0 a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5 ................
00e0 b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5 ................
00f0 c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 03 b0 7f 42 ...............B
次の例は、レイヤ 3 インターフェイス ギガビット イーサネット 1/0/1 でトラフィックをモニタする方法を示しています。
ステップ 1:次のように入力して関連トラフィックで一致するキャプチャ ポイントを定義します。
Switch# monitor capture mycap interface GigabitEthernet1/0/1 in Switch# monitor capture mycap match ipv4 any any Switch# monitor capture mycap limit duration 60 packets 100 Switch# monitor capture mycap buffer size 100
CPU 使用率の上昇を避けるため、制限として最も低いパケット数および時間が設定されています。
ステップ 2:次のように入力してキャプチャ ポイントが正確に定義されていることを確認します。
Switch# show monitor capture mycap parameter monitor capture mycap interface GigabitEthernet1/0/1 in monitor capture mycap match ipv4 any any monitor capture mycap buffer size 100 monitor capture mycap limit packets 100 duration 60 Switch# show monitor capture mycap Status Information for Capture mycap Target Type: Interface: GigabitEthernet1/0/1, Direction: in Status : Inactive Filter Details: IPv4 Source IP: any Destination IP: any Protocol: any Buffer Details: Buffer Type: LINEAR (default) Buffer Size (in MB): 100 File Details: File not associated Limit Details: Number of Packets to capture: 100 Packet Capture duration: 60 Packet Size to capture: 0 (no limit) Packets per second: 0 (no limit) Packet sampling rate: 0 (no sampling)
ステップ 3:キャプチャ プロセスを開始し、結果を表示します。
Switch# monitor capture mycap start display
0.000000 10.1.1.30 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
1.000000 10.1.1.31 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2.000000 10.1.1.32 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3.000000 10.1.1.33 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4.000000 10.1.1.34 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5.000000 10.1.1.35 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6.000000 10.1.1.36 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7.000000 10.1.1.37 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8.000000 10.1.1.38 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9.000000 10.1.1.39 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
ステップ 4:次のように入力してキャプチャ ポイントを削除します。
Switch# no monitor capture mycap
次の例は、フィルタにパケットをキャプチャする方法を示しています。
ステップ 1:次のように入力して、関連トラフィックで一致するキャプチャ ポイントを定義し、それをファイルに関連付けます。
Switch# monitor capture mycap interface GigabitEthernet1/0/1 in Switch# monitor capture mycap match ipv4 any any Switch# monitor capture mycap limit duration 60 packets 100 Switch# monitor capture mycap file location flash:mycap.pcap
ステップ 2:次のように入力してキャプチャ ポイントが正確に定義されていることを確認します。
Switch# show monitor capture mycap parameter monitor capture mycap interface GigabitEthernet1/0/1 in monitor capture mycap match ipv4 any any monitor capture mycap file location flash:mycap.pcap monitor capture mycap limit packets 100 duration 60 Switch# show monitor capture mycap Status Information for Capture mycap Target Type: Interface: GigabitEthernet1/0/1, Direction: in Status : Inactive Filter Details: IPv4 Source IP: any Destination IP: any Protocol: any Buffer Details: Buffer Type: LINEAR (default) File Details: Associated file name: flash:mycap.pcap Limit Details: Number of Packets to capture: 100 Packet Capture duration: 60 Packet Size to capture: 0 (no limit) Packets per second: 0 (no limit) Packet sampling rate: 0 (no sampling)
ステップ 3:次のように入力してパケットを開始します。
Switch# monitor capture mycap start
ステップ 4:十分な時間の経過後に、次のように入力してキャプチャを停止します。
Switch# monitor capture mycap stop
(注) | あるいは、時間の経過またはパケット カウントが一致した後に、キャプチャ操作を自動的に停止させることもできます。 mycap.pcap ファイルには、キャプチャしたパケットが含まれます。 |
ステップ 5:次のように入力してパケットを表示します。
Switch# show monitor capture file flash:mycap.pcap
0.000000 10.1.1.30 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
1.000000 10.1.1.31 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2.000000 10.1.1.32 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3.000000 10.1.1.33 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4.000000 10.1.1.34 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5.000000 10.1.1.35 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6.000000 10.1.1.36 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7.000000 10.1.1.37 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8.000000 10.1.1.38 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9.000000 10.1.1.39 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
ステップ 6:次のように入力してキャプチャ ポイントを削除します。
Switch# no monitor capture mycap
次に、バッファのキャプチャを使用する例を示します。
ステップ 1:次のように入力してバッファ キャプチャ オプションでキャプチャ セッションを起動します。
Switch# monitor capture mycap interface GigabitEthernet1/0/1 in Switch# monitor capture mycap match ipv4 any any Switch# monitor capture mycap buffer circular size 1 Switch# monitor capture mycap start
ステップ 2:次のように入力してキャプチャがアクティブであるかどうかを決定します。
Switch# show monitor capture mycap
Status Information for Capture mycap
Target Type:
Interface: GigabitEthernet1/0/1, Direction: in
Status : Active
Filter Details:
IPv4
Source IP: any
Destination IP: any
Protocol: any
Buffer Details:
Buffer Type: CIRCULAR
Buffer Size (in MB): 1
File Details:
File not associated
Limit Details:
Number of Packets to capture: 0 (no limit)
Packet Capture duration: 0 (no limit)
Packet Size to capture: 0 (no limit)
Packets per second: 0 (no limit)
Packet sampling rate: 0 (no sampling)
ステップ 3:次のように入力してバッファのパケットを表示します。
Switch# show monitor capture mycap buffer brief
0.000000 10.1.1.215 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
1.000000 10.1.1.216 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2.000000 10.1.1.217 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3.000000 10.1.1.218 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4.000000 10.1.1.219 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5.000000 10.1.1.220 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6.000000 10.1.1.221 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7.000000 10.1.1.222 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8.000000 10.1.1.223 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9.000000 10.1.1.224 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
10.000000 10.1.1.225 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
11.000000 10.1.1.226 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
12.000000 10.1.1.227 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
13.000000 10.1.1.228 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
14.000000 10.1.1.229 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
15.000000 10.1.1.230 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
16.000000 10.1.1.231 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
17.000000 10.1.1.232 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
18.000000 10.1.1.233 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
19.000000 10.1.1.234 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
20.000000 10.1.1.235 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
21.000000 10.1.1.236 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
パケットがバッファに入ったことに注意してください。
ステップ 4:他の表示モードでパケットを表示します。
Switch# show monitor capture mycap buffer detailed Frame 1: 256 bytes on wire (2048 bits), 256 bytes captured (2048 bits) Arrival Time: Apr 15, 2012 15:50:02.398966000 PDT Epoch Time: 1334530202.398966000 seconds [Time delta from previous captured frame: 0.000000000 seconds] [Time delta from previous displayed frame: 0.000000000 seconds] [Time since reference or first frame: 0.000000000 seconds] Frame Number: 1 Frame Length: 256 bytes (2048 bits) Capture Length: 256 bytes (2048 bits) [Frame is marked: False] [Frame is ignored: False] [Protocols in frame: eth:ip:udp:data] Ethernet II, Src: 00:00:00:00:03:01 (00:00:00:00:03:01), Dst: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f) Destination: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f) Address: 54:75:d0:3a:85:3f (54:75:d0:3a:85:3f) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) Source: 00:00:00:00:03:01 (00:00:00:00:03:01) Address: 00:00:00:00:03:01 (00:00:00:00:03:01) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) … Switch# show monitor capture mycap buffer dump 0.000000 10.1.1.215 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 0000 54 75 d0 3a 85 3f 00 00 00 00 03 01 08 00 45 00 Tu.:.?........E. 0010 00 ee 00 00 00 00 40 11 59 25 0a 01 01 d7 14 01 ......@.Y%...... 0020 01 02 4e 21 4e 22 00 da 6d e0 00 01 02 03 04 05 ..N!N"..m....... 0030 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 ................ 0040 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 .......... !"#$% 0050 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 &'()*+,-./012345 0060 36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45 6789:;<=>?@ABCDE 0070 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 FGHIJKLMNOPQRSTU 0080 56 57 58 59 5a 5b 5c 5d 5e 5f 60 61 62 63 64 65 VWXYZ[\]^_`abcde 0090 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 fghijklmnopqrstu 00a0 76 77 78 79 7a 7b 7c 7d 7e 7f 80 81 82 83 84 85 vwxyz{|}~....... 00b0 86 87 88 89 8a 8b 8c 8d 8e 8f 90 91 92 93 94 95 ................ 00c0 96 97 98 99 9a 9b 9c 9d 9e 9f a0 a1 a2 a3 a4 a5 ................ 00d0 a6 a7 a8 a9 aa ab ac ad ae af b0 b1 b2 b3 b4 b5 ................ 00e0 b6 b7 b8 b9 ba bb bc bd be bf c0 c1 c2 c3 c4 c5 ................ 00f0 c6 c7 c8 c9 ca cb cc cd ce cf d0 d1 03 3e d0 33 .............>.3
ステップ 5a:次のように入力してバッファをクリアします。
Switch# monitor capture mycap clear
ステップ 5b:10 秒待ちます。
ステップ 5c:次のように入力してトラフィックを停止します。
Switch# monitor capture mycap stop
ステップ 6:次のように入力して、同じパケット セットがこの時間空白の後に表示されることを確認します。
Switch# show monitor capture mycap buffer brief
0.000000 10.1.1.2 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
1.000000 10.1.1.3 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2.000000 10.1.1.4 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3.000000 10.1.1.5 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4.000000 10.1.1.6 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5.000000 10.1.1.7 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6.000000 10.1.1.8 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7.000000 10.1.1.9 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8.000000 10.1.1.10 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9.000000 10.1.1.11 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
ステップ 7:10 秒待ってから、次のように入力して待機後も同じパケットのセットが表示されることを確認します。
Switch# show monitor capture mycap buffer brief
0.000000 10.1.1.2 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
1.000000 10.1.1.3 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2.000000 10.1.1.4 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3.000000 10.1.1.5 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4.000000 10.1.1.6 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5.000000 10.1.1.7 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6.000000 10.1.1.8 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7.000000 10.1.1.9 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8.000000 10.1.1.10 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9.000000 10.1.1.11 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
ステップ 8:ステップ 7 を繰り返します。
ステップ 9:次のように入力してバッファをクリアします。
Switch# monitor capture mycap clear
ステップ 10:次のように入力してバッファが現在空であることを確認します。
Switch# show monitor capture mycap buffer brief
ステップ 11:約 10 秒待ってから、次のように入力してコンテンツをさらに表示します。
Switch# show monitor capture mycap buffer brief
ステップ 12:トラフィックを再開し、10 秒待ってから次のように入力してバッファ コンテンツを表示します。
Switch# monitor capture mycap start wait for 10 seconds... Switch# show monitor capture mycap buffer brief 0.000000 10.1.1.2 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 1.000000 10.1.1.3 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 2.000000 10.1.1.4 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 3.000000 10.1.1.5 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 4.000000 10.1.1.6 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 5.000000 10.1.1.7 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 6.000000 10.1.1.8 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 7.000000 10.1.1.9 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 8.000000 10.1.1.10 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 9.000000 10.1.1.11 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
ステップ 13:次のように入力して、内部 flash: storage デバイス内の mycap1.pcap ファイルにバッファ コンテンツを保存します。
Switch# monitor capture mycap export flash:mycap1.pcap
Exported Successfully
ステップ 14:次のように入力して、ファイルが作成されたこと、また、そこにパケットが含まれていることを確認します。
Switch# dir flash:mycap1.pcap Directory of flash:/mycap1.pcap 14758 -rw- 20152 Apr 15 2012 16:00:28 -07:00 mycap1.pcap 831541248 bytes total (831340544 bytes free) Switch# show monitor capture file flash:mycap1.pcap brief 1 0.000000 10.1.1.2 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 2 1.000000 10.1.1.3 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 3 2.000000 10.1.1.4 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 4 3.000000 10.1.1.5 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 5 4.000000 10.1.1.6 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 6 5.000000 10.1.1.7 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 7 6.000000 10.1.1.8 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 8 7.000000 10.1.1.9 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 9 8.000000 10.1.1.10 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 10 9.000000 10.1.1.11 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 11 10.000000 10.1.1.12 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 12 11.000000 10.1.1.13 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 13 12.000000 10.1.1.14 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 14 13.000000 10.1.1.15 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 15 14.000000 10.1.1.16 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 16 15.000000 10.1.1.17 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
ステップ 15:次のように入力して、パケット キャプチャを停止し、バッファの内容を表示します。
Switch# monitor capture mycap stop Switch# show monitor capture mycap buffer brief 0.000000 10.1.1.2 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 1.000000 10.1.1.3 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 2.000000 10.1.1.4 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 3.000000 10.1.1.5 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 4.000000 10.1.1.6 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 5.000000 10.1.1.7 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 6.000000 10.1.1.8 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 7.000000 10.1.1.9 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 8.000000 10.1.1.10 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 9.000000 10.1.1.11 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 10.000000 10.1.1.12 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002 11.000000 10.1.1.13 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
ステップ 16:次のように入力して、バッファをクリアしてから、バッファからのパケットを表示します。
Switch# monitor capture mycap clear Switch# show monitor capture mycap buffer brief
ステップ 17:次のように入力して、キャプチャ ポイントを削除します。
Switch# no monitor capture mycap
Switch# monitor capture mycap start display display-filter "stp" 0.000000 20:37:06:cf:08:b6 -> 01:80:c2:00:00:00 STP Conf. Root = 32768/100/20:37:06:ce:f0:80 Cost = 0 Port = 0x8136 2.000992 20:37:06:cf:08:b6 -> 01:80:c2:00:00:00 STP Conf. Root = 32768/100/20:37:06:ce:f0:80 Cost = 0 Port = 0x8136 2.981996 20:37:06:cf:08:b6 -> 20:37:06:cf:08:b6 LOOP Reply 4.000992 20:37:06:cf:08:b6 -> 01:80:c2:00:00:00 STP Conf. Root = 32768/100/20:37:06:ce:f0:80 Cost = 0 Port = 0x8136 6.000000 20:37:06:cf:08:b6 -> 01:80:c2:00:00:00 STP Conf. Root = 32768/100/20:37:06:ce:f0:80 Cost = 0 Port = 0x8136 7.998001 20:37:06:cf:08:b6 -> 01:80:c2:00:00:00 STP Conf. Root = 32768/100/20:37:06:ce:f0:80 Cost = 0 Port = 0x8136 9.998001 20:37:06:cf:08:b6 -> 01:80:c2:00:00:00 STP Conf. Root = 32768/100/20:37:06:ce:f0:80 Cost = 0 Port = 0x8136 Capture test is not active Failed to Initiate Wireshark Switch# show monitor capture mycap parameter monitor capture mycap control-plane both monitor capture mycap match any monitor capture mycap file location flash:mycap1.1 buffer-size 90 monitor capture mycap limit duration 10
Switch# monitor capture mycap start display display-filter "udp.port == 20002"
A file by the same capture file name already exists, overwrite?[confirm] [ENTER]
after a minute or so...
Capture mycap is not active Failed to Initiate Wireshark
*Oct 13 15:00:44.649: %BUFCAP-6-ENABLE: Capture Point mycap enabled.
*Oct 13 15:00:46.657: %BUFCAP-6-DISABLE_ASYNC: Capture Point mycap disabled. Rea
son : Wireshark Session Ended
Switch# monitor capture mycap start display display-filter "udp.port == 20002" dump
A file by the same capture file name already exists, overwrite?[confirm]
after a minute or so...
Capture mycap is not active Failed to Initiate Wireshark
*Oct 13 15:00:44.649: %BUFCAP-6-ENABLE: Capture Point mycap enabled.
*Oct 13 15:00:46.657: %BUFCAP-6-DISABLE_ASYNC: Capture Point mycap disabled. Rea
son : Wireshark Session Ended
Switch# no monitor capture mycap file Switch# monitor capture mycap start display display-filter "udp.port == 20002" dump Please associate capture file/buffer Unable to activate Capture.
Switch# monitor capture mycap start display display-filter "udp.port == 20002"
Please associate capture file/buffer
Unable to activate Capture.
Switch# monitor capture mycap start display detailed
Please associate capture file/buffer
Unable to activate Capture.
ここでは、リアルタイムのトラフィックをキャプチャし、パケットをロック ステップ モードにすることで例を示しています。
(注) | キャプチャ レートは最初の 15 秒間遅延する場合があります。可能な場合、必要に応じてトラフィックをキャプチャ セッション開始後 15 秒後に開始してください。 |
ステップ 1:次のように入力して、関連トラフィックで一致するキャプチャ ポイントを定義し、それをファイルに関連付けます。
Switch# monitor capture mycap interface GigabitEthernet1/0/1 in Switch# monitor capture mycap match ipv4 any any Switch# monitor capture mycap limit duration 60 packets 100 Switch# monitor capture mycap file location flash:mycap.pcap buffer-size 64
ステップ 2:次のように入力してキャプチャ ポイントが正確に定義されていることを確認します。
Switch# show monitor capture mycap parameter monitor capture mycap interface GigabitEthernet1/0/1 in monitor capture mycap file location flash:mycap.pcap buffer-size 64 monitor capture mycap limit packets 100 duration 60 Switch# show monitor capture mycap Status Information for Capture mycap Target Type: Interface: GigabitEthernet1/0/1, Direction: in Status : Inactive Filter Details: Filter not attached Buffer Details: Buffer Type: LINEAR (default) File Details: Associated file name: flash:mycap.pcap Size of buffer(in MB): 64 Limit Details: Number of Packets to capture: 100 Packet Capture duration: 60 Packet Size to capture: 0 (no limit) Packets per second: 0 (no limit) Packet sampling rate: 0 (no sampling)
ステップ 3:次のように入力してパケットを開始します。
Switch# monitor capture mycap start A file by the same capture file name already exists, overwrite?[confirm] Turning on lock-step mode Switch# *Oct 14 09:35:32.661: %BUFCAP-6-ENABLE: Capture Point mycap enabled.
ステップ 4:次のように入力してパケットを表示します。
Switch# show monitor capture file flash:mycap.pcap
0.000000 10.1.1.30 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
1.000000 10.1.1.31 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2.000000 10.1.1.32 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3.000000 10.1.1.33 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4.000000 10.1.1.34 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5.000000 10.1.1.35 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6.000000 10.1.1.36 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7.000000 10.1.1.37 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8.000000 10.1.1.38 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9.000000 10.1.1.39 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
ステップ 5:次のように入力してキャプチャ ポイントを削除します。
Switch# no monitor capture mycap
次の例は、フィルタにパケットをキャプチャする方法を示しています。
ステップ 1:次のように入力して、関連トラフィックで一致するキャプチャ ポイントを定義し、それをファイルに関連付けます。
Switch# monitor capture mycap interface Gigabit 1/0/1 out match ipv4 any any Switch# monitor capture mycap limit duration 60 packets 100 Switch# monitor capture mycap file location flash:mycap.pcap buffer-size 90
ステップ 2:次のように入力してキャプチャ ポイントが正確に定義されていることを確認します。
Switch# show monitor capture mycap parameter monitor capture mycap interface GigabitEthernet1/0/1 out monitor capture mycap match ipv4 any any monitor capture mycap file location flash:mycap.pcap buffer-size 90 monitor capture mycap limit packets 100 duration 60 Switch# show monitor capture mycap Status Information for Capture mycap Target Type: Interface: GigabitEthernet1/0/1, Direction: out Status : Inactive Filter Details: IPv4 Source IP: any Destination IP: any Protocol: any Buffer Details: Buffer Type: LINEAR (default) File Details: Associated file name: flash:mycap.pcap Size of buffer(in MB): 90 Limit Details: Number of Packets to capture: 100 Packet Capture duration: 60 Packet Size to capture: 0 (no limit) Packets per second: 0 (no limit) Packet sampling rate: 0 (no sampling)
ステップ 3:次のように入力してパケットを開始します。
Switch# monitor capture mycap start A file by the same capture file name already exists, overwrite?[confirm] Turning on lock-step mode Switch# *Oct 14 09:35:32.661: %BUFCAP-6-ENABLE: Capture Point mycap enabled.
(注) | 時間の経過またはパケット カウントが一致した後に、キャプチャ操作を自動的に停止させてください。出力に次のメッセージが表示された場合は、キャプチャ処理が停止していることを意味します。 *Oct 14 09:36:34.632: %BUFCAP-6-DISABLE_ASYNC: Capture Point mycap disabled. Rea son : Wireshark Session Ended mycap.pcap ファイルには、キャプチャしたパケットが含まれます。 |
ステップ 4:次のように入力してパケットを表示します。
Switch# show monitor capture file flash:mycap.pcap
0.000000 10.1.1.30 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
1.000000 10.1.1.31 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
2.000000 10.1.1.32 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
3.000000 10.1.1.33 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
4.000000 10.1.1.34 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
5.000000 10.1.1.35 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
6.000000 10.1.1.36 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
7.000000 10.1.1.37 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
8.000000 10.1.1.38 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
9.000000 10.1.1.39 -> 20.1.1.2 UDP Source port: 20001 Destination port: 20002
ステップ 5:次のように入力してキャプチャ ポイントを削除します。
Switch# no monitor capture mycap
関連項目 | マニュアル タイトル |
---|---|
一般的なパケット フィルタリング |
一般的なパケット フィルタリングについては、次を参照してください。 |
説明 | リンク |
---|---|
このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。 |
https://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi |
標準/RFC | タイトル |
---|---|
なし |
- |
MIB | MIB のリンク |
---|---|
本リリースでサポートするすべての MIB |
選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
説明 | リンク |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.3SE |
この機能が導入されました。 |