取消
显示结果 
搜索替代 
您的意思是: 
cancel
5667
查看次数
16
有帮助
1
评论
wanlwang
Cisco Employee
Cisco Employee
本帖最后由 wanlwang 于 2018-2-27 18:04 编辑
简介
本文描述Ethanalyzer,控制数据包的一个Cisco NX-OS集成的数据包捕获工具根据Wireshark。
Wireshark是开放原始码的软体、网络协议分析器用途广泛在许多行业间和教育机构。它解码libpcap捕获的数据包,数据包捕获库。Cisco NX-OS运行在它上面Linux内核,使用libpcap库为了支持数据包捕获。
使用Ethanalyzer,您能:
· 捕获由Supervisor发送或接收的数据包。
· 设置将捕获的数据包数量。
· 设置将捕获的数据包的长度。
· 显示有摘要或详细的协议信息的数据包。
· 打开并且保存捕获的数据包数据。
· 在许多标准中过滤捕获的数据包。
· 在许多标准中过滤将显示的数据包。
· 解码控制数据包的内部7000报头。
Ethanalyzer不能完成的:
· 当您的网络遇到问题时,会警告您。然而, Ethanalyzer也许帮助您确定问题的原因。
· 捕获在硬件方面转发的数据层面流量。
· 支持特定接口的捕获。
输出选项
这是输出一张简略图展示ethanalyzer local interface inband命令的。‘?’选项显示帮助。
180154ay900d7zmn1qpvt9.png
请使用‘detail’选项展示详细的协议信息。如果需要终止capture可以使用ctrl+C。
180155ah6lzjzs8h04sa8l.png
过滤器选项
捕获过滤器
请使用'capture-filter'选项显示或保存的数据包到磁盘在捕获期间。当过滤时,捕获过滤器保持捕获高速率。由于全双工解剖不是完成在数据包,过滤器领域预定义并且被限制。
显示过滤器
请使用‘display-filter’选项为了更改捕获文件(tmp文件)的视图。显示过滤器使用充分地被解剖的数据包,因此您能执行非常复杂和先进的过滤当您分析tracefile时的网络。然而,因为首先获取所有信息包然后显示仅所需的信息包, tmp文件会被迅速填装。
在本例中,’limit-captured-frames’设置到5。使用‘capture-filter’选项, Ethanalyzer显示五个数据包匹配过滤器‘host 10.10.10.2'。使用‘display-filter’选项, Ethanalyzer首先获取5个数据包然后仅显示匹配过滤器'ip.addr==10.10.10.2.的数据包
180156e13ojqy361oanmqx.png
write选项
write
‘write’选项让您写捕获数据到一个文件在其中一存储设备中(例如boothflash或logflash)在后续分析的Cisco连结7000系列交换机。捕获文件大小被限制为10 MB。
示例命令与‘write’选项的Ethanalyzer: ethanalyzer local interface inband writebootflash capture_file_name。示例‘write’选项与‘capture-filter’选项,并且输出文件名是'first-capture':
180157i1oesl0mecgjnnsc.png
当捕获数据保存到文件时,默认情况下,获取数据包在终端窗口没有显示。当保存捕获数据到文件时, ‘display’选项强制Cisco NX-OS显示数据包。
capture-ring-buffer
‘capture-ring-buffer’选项在指定的秒,指定的文件数量或者指定的文件大小以后创建多个文件。那些选项的定义如下:
180157sxwcfg7ycc0me0p7.png
read选项
‘read’选项在设备让您读保存的文件。
180158gmzyszzwhoyslmi7.png
您能也拷贝文件到服务器或PC,后缀为cap或pcap的文件,使用Wireshark或其他应用程序读取。
180159uszwa0o3pz0omgo1.png
180200vodwau4cdao0l1d1.png
decode-internalwith Detail Option
'decode-internal'选项报告关于nexus7000内部如何转发数据包。此信息帮助您了解和排除故障数据包通过CPU。
180200zpb6ccgbb62vuv87.png
转换NX-OS索引对十六进制,然后使用show system internal pixm info ltl x为了映射Local Target Logic (LTL)索引到物理或逻辑接口。
捕获过滤器值示例
/IP主机的捕获流量
host 1.1.1.1
/IP地址范围的捕获流量
net 172.16.7.0/24
net 172.16.7.0 mask 255.255.255.0
IP地址范围的捕获流量
src net 172.16.7.0/24
src net 172.16.7.0 mask 255.255.255.0
IP地址范围的捕获流量
dst net 172.16.7.0/24
dst net 172.16.7.0 mask 255.255.255.0
仅捕获流量在有些协议-捕获仅DNS流量
DNS是域名系统协议。
port 53
仅捕获流量在有些协议-仅捕获DHCP流量
DHCP是动态主机配置协议。
port 67 or port 68
捕获流量不在有些协议-请排除HTTPSMTP流量
SMTP是简单邮件转发协议。
host 172.16.7.3 and not port 80 and notport 25
捕获流量不在有些协议-请排除ARPDNS流量
ARP是地址解析协议。
port not 53 and not arp
仅捕获IP数据流-排除较低层协议类似ARPSTP
STP是生成树协议。
ip
仅捕获单播流量-排除广播并且组播通告
not broadcast and not multicast
捕获在范围的流量Layer4端口内
tcp portrange 1501-1549
捕获根据以太网类型的流量-捕获EAPOL流量
EAPOL是LAN上的可扩展认证协议。
ether proto 0x888e
IPv6捕获应急方案
ether proto 0x86dd
根据IP协议类型的捕获流量
ip proto 89
根据MAC地址的拒绝以太网帧-排除属于LLDP组播组的流量
LLDP是链路层发现协议。
not ether dst 01:80:c2:00:00:0e
捕获UDLDVTP或者CDP数据流
UDLD是单向链路检测, VTP是VLAN中继协议,并且CDP是Cisco发现协议。
ether host 01:00:0c:cc:cc:cc
/MAC地址的捕获流量
ether host 00:01:02:03:04:05
Note:
和= &&
或=||
非=!
MAC地址格式:xx : xx : xx : xx : xx : xx

普通控制平面协议
· UDLD :目的地媒介访问控制器(DMAC) = 01-00-0C-CC-CC-CC和EthType = 0x0111
· LACP :DMAC = 01:80:C2:00:00:02和EthType = 0x8809。LACP代表链路汇聚控制协议。
· STP :DMAC = 01:80:C2:00:00:00和EthType = 0x4242 -或- DMAC = 01:00:0C:CC:CC:CD和EthType = 0x010B
· CDP :DMAC = 01-00-0C-CC-CC-CC和EthType = 0x2000
· LLDP :DMAC = 01:80:C2:00:00:0E或者01:80:C2:00:00:03或者01:80:C2:00:00:00和EthType = 0x88CC
· DOT1X :DMAC = 01:80:C2:00:00:03和EthType = 0x888E。DOT1X代表IEEE 802.1x。
· IPv6 :EthType = 0x86DD

评论
SMG-SH
Level 7
Level 7
抢个沙发。。。
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接