请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 867|回复: 1

【原创翻译】Nexus 7000 Ethanalyzer 使用教程

[复制链接]
发表于 2018-2-27 17:52:34 | 显示全部楼层 |阅读模式
本帖最后由 wanlwang 于 2018-2-27 18:04 编辑

简介
本文描述Ethanalyzer,控制数据包的一个Cisco NX-OS集成的数据包捕获工具根据Wireshark。
Wireshark是开放原始码的软体、网络协议分析器用途广泛在许多行业间和教育机构。它解码libpcap捕获的数据包,数据包捕获库。Cisco NX-OS运行在它上面Linux内核,使用libpcap库为了支持数据包捕获。
使用Ethanalyzer,您能:
·        捕获由Supervisor发送或接收的数据包。
·        设置将捕获的数据包数量。
·        设置将捕获的数据包的长度。
·        显示有摘要或详细的协议信息的数据包。
·        打开并且保存捕获的数据包数据。
·        在许多标准中过滤捕获的数据包。
·        在许多标准中过滤将显示的数据包。
·        解码控制数据包的内部7000报头。
Ethanalyzer不能完成的:
·        当您的网络遇到问题时,会警告您。然而, Ethanalyzer也许帮助您确定问题的原因。
·        捕获在硬件方面转发的数据层面流量。
·        支持特定接口的捕获。
输出选项
这是输出一张简略图展示ethanalyzer local interface inband命令的。‘?’选项显示帮助。
请使用‘detail’选项展示详细的协议信息。如果需要终止capture可以使用ctrl+C。
过滤器选项
捕获过滤器
请使用'capture-filter'选项显示或保存的数据包到磁盘在捕获期间。当过滤时,捕获过滤器保持捕获高速率。由于全双工解剖不是完成在数据包,过滤器领域预定义并且被限制。
显示过滤器
请使用‘display-filter’选项为了更改捕获文件(tmp文件)的视图。显示过滤器使用充分地被解剖的数据包,因此您能执行非常复杂和先进的过滤当您分析tracefile时的网络。然而,因为首先获取所有信息包然后显示仅所需的信息包, tmp文件会被迅速填装。
在本例中,’limit-captured-frames’设置到5。使用‘capture-filter’选项, Ethanalyzer显示五个数据包匹配过滤器‘host 10.10.10.2'。使用‘display-filter’选项, Ethanalyzer首先获取5个数据包然后仅显示匹配过滤器'ip.addr==10.10.10.2.的数据包
write选项
write
‘write’选项让您写捕获数据到一个文件在其中一存储设备中(例如boothflash或logflash)在后续分析的Cisco连结7000系列交换机。捕获文件大小被限制为10 MB。
示例命令与‘write’选项的Ethanalyzer: ethanalyzer local interface inband writebootflash capture_file_name。示例‘write’选项与‘capture-filter’选项,并且输出文件名是'first-capture':
当捕获数据保存到文件时,默认情况下,获取数据包在终端窗口没有显示。当保存捕获数据到文件时, ‘display’选项强制Cisco NX-OS显示数据包。
capture-ring-buffer
‘capture-ring-buffer’选项在指定的秒,指定的文件数量或者指定的文件大小以后创建多个文件。那些选项的定义如下:
read选项
‘read’选项在设备让您读保存的文件。
您能也拷贝文件到服务器或PC,后缀为cap或pcap的文件,使用Wireshark或其他应用程序读取。
decode-internalwith Detail Option
'decode-internal'选项报告关于nexus7000内部如何转发数据包。此信息帮助您了解和排除故障数据包通过CPU。
转换NX-OS索引对十六进制,然后使用show system internal pixm info ltl x为了映射Local Target Logic (LTL)索引到物理或逻辑接口。
捕获过滤器值示例
/IP主机的捕获流量
host 1.1.1.1
/IP地址范围的捕获流量
net 172.16.7.0/24
net 172.16.7.0 mask 255.255.255.0
IP地址范围的捕获流量
src net 172.16.7.0/24
src net 172.16.7.0 mask 255.255.255.0
IP地址范围的捕获流量
dst net 172.16.7.0/24
dst net 172.16.7.0 mask 255.255.255.0
仅捕获流量在有些协议-捕获仅DNS流量
DNS是域名系统协议。
port 53
仅捕获流量在有些协议-仅捕获DHCP流量
DHCP是动态主机配置协议。
port 67 or port 68
捕获流量不在有些协议-请排除HTTPSMTP流量
SMTP是简单邮件转发协议。
host 172.16.7.3 and not port 80 and notport 25
捕获流量不在有些协议-请排除ARPDNS流量
ARP是地址解析协议。
port not 53 and not arp
仅捕获IP数据流-排除较低层协议类似ARPSTP
STP是生成树协议。
ip
仅捕获单播流量-排除广播并且组播通告
not broadcast and not multicast
捕获在范围的流量Layer4端口内
tcp portrange 1501-1549
捕获根据以太网类型的流量-捕获EAPOL流量
EAPOL是LAN上的可扩展认证协议。
ether proto 0x888e
IPv6捕获应急方案
ether proto 0x86dd
根据IP协议类型的捕获流量
ip proto 89
根据MAC地址的拒绝以太网帧-排除属于LLDP组播组的流量
LLDP是链路层发现协议。
not ether dst 01:80:c2:00:00:0e
捕获UDLDVTP或者CDP数据流
UDLD是单向链路检测, VTP是VLAN中继协议,并且CDP是Cisco发现协议。
ether host 01:00:0c:cc:cc:cc
/MAC地址的捕获流量
ether host 00:01:02:03:04:05
Note:
和= &&
或=||
非=!
MAC地址格式:xx : xx : xx : xx : xx : xx

普通控制平面协议
·        UDLD :目的地媒介访问控制器(DMAC) = 01-00-0C-CC-CC-CC和EthType = 0x0111
·        LACP :DMAC = 01:80:C2:00:00:02和EthType = 0x8809。LACP代表链路汇聚控制协议。
·        STP :DMAC = 01:80:C2:00:00:00和EthType = 0x4242 -或- DMAC = 01:00:0C:CC:CC:CD和EthType = 0x010B
·        CDP :DMAC = 01-00-0C-CC-CC-CC和EthType = 0x2000
·        LLDP :DMAC = 01:80:C2:00:00:0E或者01:80:C2:00:00:03或者01:80:C2:00:00:00和EthType = 0x88CC
·        DOT1X :DMAC = 01:80:C2:00:00:03和EthType = 0x888E。DOT1X代表IEEE 802.1x。
·        IPv6 :EthType = 0x86DD

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (1 评价)
发表于 2018-2-28 09:02:47 | 显示全部楼层
抢个沙发。。。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-6-23 12:11 , Processed in 0.085433 second(s), 32 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表