使用Nexus 7000上的Ethanalyzer故障排除指南
目錄
簡介
本文檔介紹Ethanalyzer,它是Cisco NX-OS整合資料包捕獲工具,用於基於Wireshark控制資料包。
背景資訊
Wireshark是一種開源網路協定分析器,廣泛用於許多行業和教育機構。它對libpcap(資料包捕獲庫)捕獲的資料包進行解碼。Cisco NX-OS在Linux核心上運行,該核心使用libpcap庫來支援資料包捕獲。
使用Ethanalyzer,您可以:
- 捕獲Supervisor傳送或接收的資料包。
- 設定要捕獲的資料包數。
- 設定要捕獲的資料包的長度。
- 顯示包含摘要或詳細協定資訊的資料包。
- 開啟並儲存捕獲的資料包資料。
- 過濾根據許多條件捕獲的資料包。
- 過濾要在多個標準上顯示的資料包。
- 解碼控制資料包的內部7000報頭。
Ethanalyzer無法:
- 當您的網路遇到問題時發出警告。但是,Ethanalyzer可以幫助您確定問題的原因。
- 捕獲在硬體中轉發的資料平面流量。
- 支援特定於介面的捕獲。
輸出選項
這是ethanalyzer local interface inband命令輸出的摘要視圖。?選項顯示幫助。
使用detail選項可獲得詳細的協定資訊。^C可用於中止並在擷取過程中傳回交換器提示(如需要)。
篩選選項
Capture-Filter
使用capture-filter選項可以選擇在捕獲期間顯示或儲存到磁碟的資料包。捕獲過濾器在過濾時保持高捕獲率。由於尚未對資料包進行完全解除,因此過濾器欄位是預定義並受限制的。
Display-Filter
使用display-filter選項可更改捕獲檔案(tmp檔案)的檢視。顯示過濾器使用完全剖析的資料包,因此可以在分析網路跟蹤檔案時執行非常複雜和高級的過濾。但是,tmp檔案可以快速填充,因為它首先捕獲所有資料包,然後僅顯示所需資料包。
在此示例中,limit-captured-frames設定為5。使用capture-filter選項,Ethanalyzer向您顯示五個與過濾器主機10.10.10.2匹配的資料包。使用display-filter選項,Ethanalyzer首先捕獲五個資料包,然後僅顯示與過濾器ip.addr==10.10.10.2匹配的資料包。
寫入選項
寫入
使用write選項,可以將捕獲資料寫入到Cisco Nexus 7000系列交換機上某個儲存裝置(如bootflash或logflash)中的檔案,供以後分析。捕獲檔案大小限製為10 MB。
帶寫選項的Ethanalyzer命令示例為ethanalyzer local interface inband write bootflash: capture_file_name。帶有capture-filter的write選項和輸出檔名為first-capture的示例為:
將捕獲資料儲存到檔案時,捕獲的資料包預設不會顯示在終端視窗中。顯示選項強制Cisco NX-OS在將捕獲資料儲存到檔案的同時顯示資料包。
Capture-Ring-Buffer
capture-ring-buffer選項在指定的秒數、指定的檔案數或指定的檔案大小後建立多個檔案。這些選項的定義位於此螢幕抓圖中:
讀取選項
使用read選項可以讀取裝置本身上儲存的檔案。
您也可以將檔案傳輸到伺服器或PC,並使用Wireshark或任何其它可以讀取cap或pcap檔案的應用程式讀取該檔案。
Decode-Internal with Detail選項
decode-internal選項報告有關Nexus 7000如何轉發資料包的內部資訊。此資訊有助於您瞭解通過CPU的資料包流並對其進行故障排除。
將NX-OS索引轉換為十六進位制,然後使用show system internal pixm info ltl x命令將本地目標邏輯(LTL)索引對映到物理或邏輯介面。
Capture-Filter值示例
擷取IP主機之間的流量
host 10.1.1.1
捕獲來往於某個IP地址範圍的流量
net 172.16.7.0/24
net 172.16.7.0 mask 255.255.255.0
從一系列IP位址擷取流量
src net 172.16.7.0/24
src net 172.16.7.0 mask 255.255.255.0
擷取到一系列IP位址的流量
dst net 172.16.7.0/24
dst net 172.16.7.0 mask 255.255.255.0
僅捕獲特定協定上的流量 — 僅捕獲DNS流量
DNS是域名系統協定。
port 53
僅捕獲特定協定上的流量 — 僅捕獲DHCP流量
DHCP是動態主機配置協定。
port 67 or port 68
捕獲未使用特定協定的流量 — 排除HTTP或SMTP流量
SMTP是一種簡單郵件傳輸協定。
host 172.16.7.3 and not port 80 and not port 25
捕獲未使用特定協定的流量 — 排除ARP和DNS流量
ARP是位址解析通訊協定。
port not 53 and not arp
僅捕獲IP流量 — 排除ARP和STP等低層協定
STP是生成樹協定。
ip
僅捕獲單播流量 — 排除廣播和組播通告
not broadcast and not multicast
擷取第4層連線埠範圍內的流量
tcp portrange 1501-1549
根據乙太網路型別擷取流量 — 擷取EAPOL流量
EAPOL是LAN上的可擴充驗證通訊協定。
ether proto 0x888e
IPv6捕獲解決方法
ether proto 0x86dd
根據IP通訊協定型別擷取流量
ip proto 89
根據MAC地址拒絕乙太網幀 — 排除屬於LLDP組播組的流量
LLDP是鏈路層發現協定。
not ether dst 01:80:c2:00:00:0e
捕獲UDLD、VTP或CDP流量
UDLD是單向鏈路檢測,VTP是VLAN中繼協定,CDP是Cisco發現協定。
ether host 01:00:0c:cc:cc:cc
捕獲來往於MAC地址的流量
ether host 00:01:02:03:04:05
通用控制平面通訊協定
- UDLD:目標媒體訪問控制器(DMAC)= 01-00-0C-CC-CC-CC,乙太網型別= 0x0111
- LACP:DMAC = 01:80:C2:00:00:02和EthType = 0x8809。LACP代錶鏈路聚合控制協定。
- STP:DMAC = 01:80:C2:00:00:00和EthType = 0x4242 — 或 — DMAC = 01:00:0C:CC:CC:CD和EthType = 0x010B
- CDP:DMAC = 01-00-0C-CC-CC-CC,乙太網型別= 0x2000
- LLDP: DMAC = 01:80:C2:00:00:0E或01:80:C2:00:00:03或01:80:C2:00:00:00和EthType = 0x88CC
- DOT1X: DMAC = 01:80:C2:00:00:03和EthType = 0x888E。DOT1X代表IEEE 802.1x。
- IPv6:乙太網型別= 0x86DD
- UDP和TCP埠號清單
已知的問題
思科錯誤ID CSCue48854: Ethanalyzer capture-filter不捕獲SUP2上CPU的流量。
思科錯誤ID CSCtx79409: 不能將捕獲篩選器與decode-internal一起使用。
思科錯誤ID CSCvi02546: SUP3生成的資料包可以具有FCS,這是預期行為。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
3.0 |
26-Feb-2024 |
更新的格式。 |
2.0 |
29-Nov-2022 |
已刪除PII。
已新增Alt文本。
已更新標題和簡介、樣式要求、機器翻譯、德語、SEO和格式。 |
1.0 |
26-Apr-2013 |
初始版本 |
意見