Exemplo de Configuração do Recurso Wireshark dos Switches Catalyst 4500 Series

Opções de download

  • PDF     (124.0 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (91.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (77.2 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:12 de setembro de 2013
ID do documento:116470

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como configurar o recurso Wireshark para os switches Cisco Catalyst 4500 Series.

Prerequisites

Requirements

Para utilizar o recurso Wireshark, você deve atender às seguintes condições:

  • O sistema deve utilizar um switch Cisco Catalyst 4500 Series.
  • O switch deve executar o Supervisor Engine 7-E (o Supervisor Engine 6 não é suportado neste momento).
  • O recurso deve ter uma base IP definida e serviços empresariais (a base LAN não é suportada no momento).
  • A CPU do switch não pode ter uma condição de alta utilização, pois o recurso Wireshark é intensivo para a CPU e os switches de software de determinados pacotes no processo de captura.

Componentes Utilizados

As informações neste documento são baseadas nos switches Cisco Catalyst 4500 Series que executam o Supervisor Engine 7-E.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informações de Apoio

Os switches Cisco Catalyst 4500 Series que executam o Supervisor Engine 7-E têm uma nova funcionalidade integrada com o Cisco IOS?-XE versões 3.3(0) / 151.1 ou posterior. Esse recurso integrado do Wireshark tem a capacidade de capturar pacotes de uma forma que substitui o uso tradicional do Switch Port Analyzer (SPAN) por um PC conectado para capturar pacotes em um cenário de solução de problemas.

Configurar

Esta seção serve como um guia de início rápido para iniciar uma captura. As informações fornecidas são muito gerais e você deve implementar filtros e configurações de buffer conforme necessário para limitar a captura excessiva de pacotes se operar em uma rede de produção.

Conclua estes passos para configurar o recurso Wireshark:

  1. Verifique se você atende às condições para suportar a captura. (Consulte o Requirements para obter mais detalhes.) Digite estes comandos e verifique a saída:
    4500TEST#show version

    Cisco IOS Software, IOS-XE Software, Catalyst 4500 L3 Switch Software 
     (cat4500e-UNIVERSAL-M), Version 03.03.00.SG RELEASE SOFTWARE (fc3)

    <output omitted>

    License Information for 'WS-X45-SUP7-E'
     License Level: entservices   Type: Permanent
     Next reboot license Level: entservices

    cisco WS-C4507R+E (MPC8572) processor (revision 8)
     with 2097152K/20480K bytes of memory.

    Processor board ID FOX1512GWG1

    MPC8572 CPU at 1.5GHz, Supervisor 7

    <output omitted>

    4500TEST#show proc cpu history

    History information for system:

        888844444222222222222222333334444422222222222222255555222222
    100
     90
     80
     70
     60
     50
     40
     30
     20
     10 ****                                                       ****
      0.....5.....1.....1.....2.....2.....3.....3.....4.....4.....5....5
                  0     5     0     5     0     5     0     5     0    5   

                        CPU% per second (last 60 seconds)
  2. O tráfego é capturado em uma direção TX/RX a partir da porta gig2/26 neste exemplo. Armazenar o arquivo de captura em flash de inicialização em um tampa formato de arquivo para revisão a partir de um PC local, se necessário:

    Note: Certifique-se de executar a configuração no modo EXEC do usuário, não no modo Configuração global.

    4500TEST#monitor capture MYCAP interface g2/26 both
    4500TEST#monitor capture file bootflash:MYCAP.pcap
    4500TEST#monitor capture MYCAP match any start

    *Sep 13 15:24:32.012: %BUFCAP-6-ENABLE: Capture Point MYCAP enabled.
  3. Isso captura toda a entrada e saída de tráfego na porta g2/26. Ele também preenche o arquivo muito rapidamente com tráfego inútil em uma situação de produção, a menos que você especifique a direção e aplique filtros de captura para restringir o escopo do tráfego capturado. Insira este comando para aplicar um filtro:
    4500TEST#monitor capture MYCAP start capture-filter "icmp"

    Note: Isso garante que você capture somente o tráfego do Internet Control Message Protocol (ICMP) em seu arquivo de captura.

  4. Quando o tempo limite do arquivo de captura expirar ou preencher a cota de tamanho, você receberá esta mensagem:
    *Sep 13 15:25:07.933: %BUFCAP-6-DISABLE_ASYNC:
     Capture Point MYCAP disabled. Reason : Wireshark session ended
    Insira este comando para interromper manualmente a captura:
    4500TEST#monitor capture MYCAP stop
  5. Você pode visualizar a captura da CLI. Insira este comando para visualizar os pacotes:
    4500TEST#show monitor capture file bootflash:MYCAP.pcap

      1   0.000000 44:d3:ca:25:9c:c9 -> 01:00:0c:cc:cc:cc CDP
          Device ID: 4500TEST  Port ID: GigabitEthernet2/26 
      2   0.166983 00:19:e7:c1:6a:18 -> 01:80:c2:00:00:00 STP
          Conf. Root = 32768/1/00:19:e7:c1:6a:00  Cost = 0  Port = 0x8018
      3   0.166983 00:19:e7:c1:6a:18 -> 01:00:0c:cc:cc:cd STP
          Conf. Root = 32768/1/00:19:e7:c1:6a:00  Cost = 0  Port = 0x8018
      4   1.067989    14.1.98.2 -> 224.0.0.2    HSRP Hello (state Standby)
      5   2.173987 00:19:e7:c1:6a:18 -> 01:80:c2:00:00:00 STP
          Conf. Root = 32768/1/00:19:e7:c1:6a:00  Cost = 0  Port = 0x8018

    Note: A opção detail está disponível no final para visualizar o pacote em um formato Wireshark. Além disso, a opção de despejo está disponível para ver o valor Hex do pacote.

  6. O arquivo de captura ficará desordenado se você não usar um filtro de captura ao iniciar a captura. Nesse caso, utilize a opção display-filter para mostrar o tráfego específico na tela. Você só quer ver o tráfego ICMP, não o Hot Standby Router Protocol (HSRP), o Spanning Tree Protocol (STP) e o tráfego do Cisco Discovery Protocol (CDP) mostrado na saída anterior. O filtro de exibição usa o mesmo formato que o Wireshark, para que você possa encontrar a linha de filtro.

    4500TEST#show monitor capture file bootflash:MYCAP.pcap display-filter "icmp"

     17   4.936999  14.1.98.144 -> 172.18.108.26 ICMP Echo
          (ping) request  (id=0x0001, seq(be/le)=0/0, ttl=255)
     18   4.936999 172.18.108.26 -> 14.1.98.144  ICMP Echo
          (ping) reply    (id=0x0001, seq(be/le)=0/0, ttl=251)
     19   4.938007  14.1.98.144 -> 172.18.108.26 ICMP Echo
          (ping) request  (id=0x0001, seq(be/le)=1/256, ttl=255)
     20   4.938007 172.18.108.26 -> 14.1.98.144  ICMP Echo
          (ping) reply    (id=0x0001, seq(be/le)=1/256, ttl=251)
     21   4.938998  14.1.98.144 -> 172.18.108.26 ICMP Echo
          (ping) request  (id=0x0001, seq(be/le)=2/512, ttl=255)
     22   4.938998 172.18.108.26 -> 14.1.98.144  ICMP Echo
          (ping) reply    (id=0x0001, seq(be/le)=2/512, ttl=251)
     23   4.938998  14.1.98.144 -> 172.18.108.26 ICMP Echo
          (ping) request  (id=0x0001, seq(be/le)=3/768, ttl=255)
     24   4.940005 172.18.108.26 -> 14.1.98.144  ICMP Echo
          (ping) reply    (id=0x0001, seq(be/le)=3/768, ttl=251)
     25   4.942996  14.1.98.144 -> 172.18.108.26 ICMP Echo
          (ping) request  (id=0x0001, seq(be/le)=4/1024, ttl=255)
     26   4.942996 172.18.108.26 -> 14.1.98.144  ICMP Echo
          (ping) reply    (id=0x0001, seq(be/le)=4/1024, ttl=251)
  7. Transfira o arquivo para uma máquina local e examine o arquivo pcap como faria com qualquer outro arquivo de captura padrão. Insira um destes comandos para concluir a transferência:
    4500TEST#copy bootflash: ftp://Username:Password@
       
       
    4500TEST#copy bootflash: tftp:
  8. Para limpar a captura, remova a configuração com estes comandos:
    4500TEST#no monitor capture MYCAP
    4500TEST#show monitor capture MYCAP

    <no output>

    4500TEST#

Configurações adicionais

Por padrão, o limite de tamanho do arquivo de captura é de 100 pacotes, ou 60 segundos em um arquivo linear. Para alterar o limite de tamanho, use a opção limit na sintaxe de captura do monitor:

4500TEST#monitor cap MYCAP limit ?

duration       Limit total duration of capture in seconds
packet-length  Limit the packet length to capture
packets        Limit number of packets to capture

O tamanho máximo do buffer é 100 MB. Isso é ajustado, assim como a configuração de buffer circular/linear, com este comando:

4500TEST#monitor cap MYCAP buffer ?

circular  circular buffer
size      Size of buffer

O recurso Wireshark integrado é uma ferramenta muito poderosa se usada corretamente. Ele economiza tempo e recursos ao solucionar problemas de uma rede. No entanto, tenha cuidado ao utilizar o recurso, pois ele pode aumentar a utilização da CPU em situações de alto tráfego. Nunca configure a ferramenta e deixe-a autônoma.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshoot

Devido a limitações de hardware, você pode receber pacotes fora de ordem no arquivo de captura. Isso se deve aos buffers separados usados para as capturas de pacotes de entrada e saída. Se você tiver pacotes fora de ordem na sua captura, defina ambos os buffers como ingresso. Isso impede que os pacotes em saída processem antes dos pacotes de entrada quando o buffer é processado.

Se você vir pacotes fora de ordem, é recomendável alterar sua configuração de ambos para dentro em ambas as interfaces.

Aqui está o comando anterior:

4500TEST#monitor capture MYCAP interface g2/26 both

Altere o comando para estes:

4500TEST#monitor capture MYCAP interface g2/26 in

4500TEST#monitor capture MYCAP interface g2/27 in
                  +------------+
                  |            |
                  |    4500    |
+------+          |            |         +------+
|      +---------->in       out+--------->      |
| host |          |g2/26  g2/27|         | host |
|      <----------+out       in<---------+      |
+------+          |            |         +------+
                  |            |
                  +------------+

 

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
12-Sep-2013
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Shashank Singh and Dennis McLaughlin
    Cisco TAC Engineers.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos