Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

パケット キャプチャーを使用してネットワーク トラフィックを分析

パケット キャプチャの概要

パケット キャプチャは、ネットワーク トラフィックの分析とネットワークの問題のトラブルシューティングに役立つツールです。パケットキャプチャツールは、監視とロギングのためにネットワークを介して伝送されるリアルタイムデータパケットをキャプチャします。

注:

パケットキャプチャは、gr、ip、lsq-/lsなどの物理インターフェイス、rethインターフェイス、およびトンネルインターフェイスでサポートされます。ただし、パケットキャプチャは、セキュアトンネルインターフェイス(st0)ではサポートされていません。

パケットは、変更なしにバイナリデータとしてキャプチャされます。Wiresharkやtcpdumpなどのパケットアナライザで、パケット情報をオフラインで読み取ることができます。ルーティング エンジン宛てのパケットとルーティング エンジンから発信されるパケットを迅速にキャプチャして、オンラインで分析する必要がある場合、J-Web パケット キャプチャ診断ツールを使用できます。

注:

パケット キャプチャ ツールは IPv6 パケット キャプチャをサポートしていません。

J-Web 設定エディターまたは CLI 設定エディターのいずれかを使用して、パケット キャプチャを設定できます。

ネットワーク管理者とセキュリティ エンジニアは、パケット キャプチャを使用して、以下のタスクを実行します。

  • ネットワーク トラフィックを監視して、トラフィック パターンを分析します。

  • ネットワークの問題を特定してトラブルシューティングします。

  • 不正な侵入、スパイウェア アクティビティ、ping スキャンなど、ネットワーク内のセキュリティ侵害を検出します。

パパケット キャプチャは、レイヤー 2 ヘッダーを含むパケット全体をキャプチャし、libpcap 形式でファイルに保存する点を除き、デバイス上でトラフィック サンプリングと同様に機能します。パケット キャプチャは、IP フラグメントもキャプチャします。

同時にデバイス上のパケット キャプチャとトラフィック サンプリングを有効にすることはできません。トラフィック サンプリングとは異なり、パケット キャプチャのトレース操作はありません。

注:

デバイス上で、パケット キャプチャとポート ミラーリングを有効にできます。

このセクションでは、以下のトピックについて説明します。

デバイス インターフェイス上のパケット キャプチャ

パケットキャプチャは、T1、T3、E1、E3、シリアル、ギガビットイーサネット、ADSL、G.SHDSL、PPPoE、ISDNインターフェイスでサポートされています。

ISDN インターフェイス上のパケットをキャプチャするには、ダイラー インターフェイス上でパケット キャプチャを設定します。PPPoE インターフェイス上のパケットをキャプチャするには、PPPoE 論理インターフェイス上のパケット キャプチャを設定します。

パケット キャプチャは、PPP、Cisco HDLC、フレーム リレー、その他の ATM カプセル化をサポートします。パケット キャプチャは、MLPPP(マルチリンク PPP)、MLFR(マルチリンク フレーム リレー エンドツーエンド)、MFR UNI/NNI(マルチリンク フレーム リレー)カプセル化もサポートします。

インバウンドまたはアウトバウンド方向にインターフェイス上を流れるすべての IPv4 パケットをキャプチャできます。ただし、アウトバウンド方向のインターフェイス上にファイアウォール フィルターを設定および適用していない限り、フロー ソフトウェア モジュールをバイパスするトラフィック(ARP、OSPF、PIMなどのプロトコル パケット)では、ルーティング エンジンが生成するパケットはキャプチャされません。

トンネル インターフェイスは、アウトバウンド方向のパケット キャプチャのみサポートできます。

J-Web 設定エディターまたは CLI 設定エディターを使用して、最大パケット サイズ、キャプチャされたパケットを保存に使用するファイル サイズ、最大ファイル サイズ、最大パケット キャプチャ ファイル数、ファイル権限を指定します。

注:

アウトバウンド(エグレス)方向の T1、T3、E1、E3、シリアル、ISDN インターフェイスでキャプチャされたパケットの場合、キャプチャされたパケットのサイズは、PLP(パケット損失の優先度)ビットのため、設定されたパケット サイズよりも 1 バイト小さくなる場合があります。

パケット キャプチャを設定したインターフェイスでカプセル化を変更するには、パケット キャプチャを無効にする必要があります。

パケット キャプチャ用のファイアウォール フィルター

デバイス上のパケット キャプチャを有効にすると、パケット キャプチャ設定で指定された方向に流れるすべてのパケット(インバウンド、アウトバウンド、またはその両方)がキャプチャされ、保存されます。すべてのパケットをキャプチャするようにインターフェイスを設定すると、デバイスのパフォーマンスが低下する可能性があります。ファイアウォール フィルターがあるインターフェイスでキャプチャされるパケットの数を制御し、特定のトラフィック フローのパケットをキャプチャするさまざまな基準を指定できます。

インターフェイス サンプリングはホスト デバイスから発信されるパケットをキャプチャしないため、ホスト デバイスから生成されるパケットをキャプチャする必要がある場合、インターフェイス上の適切なファイアウォール フィルターを設定および適用する必要があります。

パケット キャプチャ ファイル

インターフェイス上のパケット キャプチャが有効になっている場合、レイヤー 2 ヘッダーを含むパケット全体がキャプチャされ、ファイルに保存されます。キャプチャされるパケットの最大サイズを、最大 1500 バイトに指定できます。パケット キャプチャは、物理インターフェイスごとに 1 つのファイルを作成します。

ファイルの作成と保存は、以下の方法で行われます。パケット キャプチャ ファイルの名前を にした場合を仮定しますpcap-file。パケットキャプチャは、複数のファイル(物理インターフェイスごと)を作成して、各ファイル名の末尾に物理インターフェイスの名前を追加します。例えば、pcap-file.fe-0.0.1ギガビットイーサネットインターフェイスの場合はfe-0.0.1とします。という名前のファイルが最大サイズにpcap-file.fe-0.0.1達すると、ファイルの名前が に変更されますpcap-file.fe-0.0.1.0。という名前のファイルが再び最大サイズにpcap-file.fe-0.0.1達すると、 pcap-file.fe-0.0.1.0というファイル名は に変更pcap-file.fe-0.0.1.1され、 というファイル名は に変更pcap-file.fe-0.0.1されますpcap-file.fe-0.0.1.0。このプロセスは、最大ファイル数を超え、最も古いファイルが上書きされるまで続きます。pcap-file.fe-0.0.1ファイルは、常に最新のファイルです。

インターフェイス上のパケット キャプチャを無効にした後でも、パケット キャプチャ ファイルは削除されません。

パケット キャプチャ ファイルの分析

パケット キャプチャ ファイルは、 ディレクト/var/tmpリ内の libpcap 形式で保存されます。ファイルに、ユーザーまたは管理者権限を指定できます。

パケット キャプチャ ファイルを開いて、tcpdump、または libpcap 形式を認識するパケット アナライザによってオフラインで分析できます。また、FTPまたは SCP(Session Control Protocol)を使用して、外部デバイスにパケット キャプチャ ファイルを転送できます。

注:

分析用にファイルを開いたり、FTP または SCPで外部デバイスにファイルを転送したりする前に、パケット キャプチャを無効にします。パケット キャプチャを無効にすると、内部ファイル バッファがフラッシュされ、キャプチャされたすべてのパケットがファイルに書き込まれます。

運用モードからのパケットキャプチャ

データ・パス・デバッグまたはエンドツーエンド・デバッグは、パケット・プロセス・パスに沿って複数の処理装置でトレースとデバッグを提供します。パケット キャプチャは、データ パス デバッグ機能の 1 つです。設定をコミットすることなく、本番システムへの影響を最小限に抑えながら、運用モードからパケットキャプチャを実行できます。

フィルターを使用してパケットをキャプチャし、キャプチャするパケットを定義できます。パケット フィルターは、論理インターフェイス、プロトコル、送信元 IP アドレス プレフィックス、送信元ポート、宛先 IP アドレス プレフィックス、宛先ポートに基づいてパケットを除外できます。パケット キャプチャ出力のファイル名、ファイル タイプ、ファイル サイズ、キャプチャ サイズを変更できます。フィルターを 2 つのフィルターに拡張し、フィルターの値を入れ替えることもできます。

運用モードからのパケット キャプチャは、SRX4600、SRX5400、SRX5600、および SRX5800 でサポートされています。

動作モードからパケットをキャプチャするには、次の手順を実行する必要があります。

  1. 動作モードからパケットフィルタを定義し、 request packet-capture start CLI コマンドを使用して要件に基づいてトラフィックのタイプをトレースします。使用可能なパケット キャプチャ フィルター オプションについては、 パケット キャプチャの開始の要求 を参照してください。
  2. 必要なパケットをキャプチャします。
  3. request packet-capture stop CLI コマンドを使用してパケット キャプチャを停止するか、要求された数のパケットを収集した後、パケット キャプチャを自動的に停止することができます。
  4. キャプチャされたパケットデータレポートを表示または分析します。

動作モードからパケットをキャプチャする場合の制限は、以下のとおりです。

  1. 設定モードのパケット キャプチャと運用モードのパケット キャプチャは共存できません。

  2. 動作モードのパケット キャプチャは 1 回限りの操作であり、システムはこのコマンドの履歴を保存しません。

  3. 動作モードのパケットキャプチャは、トラフィックフローのレートが低い場合に使用してください。

関連項目

例:パケットキャプチャを有効にし、デバイス上のファイアウォールフィルターを設定する

この例では、パケットキャプチャを有効にし、パケットキャプチャ用のファイアウォールフィルターを設定して、デバイスの論理インターフェイスに適用する方法を示しています。ファイアウォールフィルターを設定して、キャプチャするトラフィックの量を制限またはフィルターし、ネットワークトラフィックを分析し、ネットワーク問題のトラブルシューティングを行うことができます。

要件

開始する前に、以下を実行します。

概要

この例では、各ファイルの最大パケットキャプチャーサイズを500バイトに設定します。範囲は 68~1500 で、デフォルトは 68 バイトです。パケット キャプチャー ファイルのターゲット ファイル名を pcap-file に指定します。そして、キャプチャーするファイルの最大数を100に指定します。範囲は 2〜10,000 で、デフォルトは 10 ファイルです。各ファイルの最大サイズは 1024 バイトに設定します。範囲は1,024~104,857,600で、デフォルトは512,000バイトです。

dest-allと呼ばれるファイアウォールフィルターと、特定の宛先アドレス(192.168.1.1/32)からのパケットをキャプチャするためのdest-termという用語名を設定します。一致条件を定義して、サンプル化されたパケットを受け取ります。最後に、インターフェイス fe-0/0/1 上のすべての発信パケットに dest-all フィルターを適用します。

ループバック インターフェイスでファイアウォール フィルターを適用した場合、ルーティング エンジン間のすべてのトラフィックに影響します。ファイアウォール フィルターにsampleアクションがある場合、ルーティング エンジン間のパケットはサンプル化されます。パケットキャプチャが有効になっている場合、ルーティングエンジン間のパケットは、入出力インターフェイス向けに作成されたファイルでキャプチャされます。

すべてのユーザーがパケットキャプチャファイルを読む権限を持つように指定します。

設定

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

デバイス上でパケット キャプチャーを有効にするには:

  1. パケット キャプチャーの最大サイズを設定します。

  2. ターゲット ファイル名を指定します。

  3. キャプチャーするファイルの最大数を指定します。

  4. 各ファイルの最大サイズを指定します。

  5. すべてのユーザーにファイルの読み取り権限を指定します。

  6. パケットキャプチャ用のファイアウォールフィルターを設定します。

  7. 一致条件とそのアクションを定義します。この allow-all-else という用語は、SRXが他のトラフィックをドロップしないようにするために使用します。

  8. インターフェイスにファイアウォールフィルターを適用して、着信パケットと発信パケットをキャプチャします。

  9. コミットして、パケットキャプチャを有効にします。

  10. パケットキャプチャを無効にして、オブジェクトの収集を停止します。

結果

コンフィギュレーションモードからrun show forwarding-optionsおよびrun show firewall filter dest-allの各コマンドを入力し、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

パケットキャプチャ設定用のファイアウォールフィルターを確認

目的

パケットキャプチャ用のファイアウォールフィルターがデバイスに設定されていることを確認します。

アクション

設定モードから、run show forwarding-optionsおよびrun show firewall filter dest-allコマンドを入力します。出力に、宛先アドレスに送信されたパケットをキャプチャするための、意図されたファイル設定が表示されていることを確認します。

目的

キャプチャされたパケットが、デバイスの/var/tmpディレクトリに保存されていることを確認します。

アクション

動作モードからfile list /var/tmp/コマンドを入力します。

キャプチャーしたパケットを検証する

目的

パケット キャプチャー ファイルが /var/tmp ディレクトリの下に保存され、オフラインでパケットを分析できるか検証します。

アクション

  1. パケット キャプチャーを無効にします。

    FTP を使用して、パケット キャプチャー ファイル(例:126b.fe-0.0.1)を、パケット アナライザ ツール(例:tools-server)をインストールしたサーバーに転送します。

    1. 構成モードから、FTP を使用して tools-server に接続します。

    2. パケットキャプチャーファイルが保存されているデバイス上のディレクトリに移動します。

    3. 分析するパケット キャプチャー ファイルをサーバーにコピーします(例:126b.fe-0.0.1)。

    4. 構成モードに戻ります。

  2. サーバー上のパケットキャプチャーファイルをtcpdumpが含まれるサーバー、またはlibpcap形式をサポートするパケットアナライザーで開き、出力を確認します。

例:インターフェイスでパケットキャプチャを設定する

この例では、インターフェイス上でパケット キャプチャーを構成してトラフィックを分析する方法を示します。

要件

開始する前に、以下を実行します。

概要

この例では、fe-0/0/1と呼ばれるインターフェイスを作成し、インバウンドとアウトバウンドとして論理インターフェイスでパケットキャプチャを有効にするためのトラフィックの方向を設定します。

注:

出力方向のインターフェイス上にファイアウォールフィルターを設定および適用していない限り、フローソフトウェアモジュールをバイパスするトラフィック(ARP、OSPF、PIMなどのプロトコルパケット)では、ルーティングエンジンが生成するパケットはキャプチャーされません。

設定

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

インターフェイス上でパケット キャプチャーを構成するには:

  1. インターフェイスを作成します。

  2. トラフィックの方向を構成します。

  3. デバイスの設定が完了したら、設定をコミットします。

検証

パケット キャプチャー構成を検証する

目的

設定が正常に機能していることを確認します。

パケット キャプチャーがインターフェイス上で構成されているか検証します。

アクション

設定モードからrun show interfaces fe-0/0/1コマンドを入力します。

パケットキャプチャを無効にする

分析またはデバイスへのファイルの転送を実行するには、パケット キャプチャ ファイルを開く前にパケット キャプチャを無効にする必要があります。パケット キャプチャを無効にすると、内部ファイル バッファがフラッシュされ、キャプチャされたすべてのパケットがファイルに書き込まれます。

パケット キャプチャを無効にするには、設定モードから入力します。

デバイスの設定が完了したら、設定モードから commit を入力します。

パケット キャプチャが設定されたインターフェイスでのカプセル化の変更

パケット キャプチャ用に設定されたデバイス インターフェイスでカプセル化を変更する前に、パケット キャプチャを無効にして、最新パケット キャプチャ ファイルの名前を変更する必要があります。それ以外の場合、パケット キャプチャは、同じパケットキャプチャファイルで異なるカプセル化が含まれているパケットを保存します。異なるカプセル化のパケットを含むパケットファイルは、tcpdumpのようなパケット アナライザツールが分析できないため、便利ではありません。

カプセル化を変更した後は、デバイスでパケット キャプチャを安全に再有効化できます。

パケット キャプチャが設定されたインターフェイスでカプセル化を変更するには:

  1. パケット キャプチャを無効にする(パケット キャプチャの無効化を参照してください)。
  2. 設定モードから commitを入力します。
  3. .chdsl拡張でカプセル化を変更する最新のパケット キャプチャファイルを名前を変更します。
    1. 運用モードから、ローカル UNIX シェルにアクセスします。
    2. パケット キャプチャファイルが保存されているディレクトリにナビゲートします。
    3. カプセル化を変更するインターフェイスの最新パケット キャプチャファイルの名前を変更します。例えば、fe.0.0.0
    4. 操作モードに戻ります。
  4. J-Web ユーザーインターフェイスまたはCLI設定エディターを使用して、インターフェイスでのカプセル化を変更します。
  5. デバイスの設定が完了したら、設定モードから commit を入力します。
  6. パケットキャプチャを再有効化する(参照 例:デバイスでパケット キャプチャの有効化)。
  7. デバイスの設定が完了したら、設定モードから commit を入力します。

パケットキャプチャファイルの削除

var/tmpディレクトリからパケットキャプチャファイルを削除しても、一時的にパケットキャプチャファイルが削除されるだけです。インターフェイスのパケットキャプチャファイルは、次回パケット キャプチャの構成変更がコミットされたときや、パケットキャプチャファイルのローテーションの一環として、自動的に再作成されます。

パケット キャプチャ ファイルを削除するには:

  1. パケット キャプチャを無効にする(パケット キャプチャの無効化を参照してください)。
  2. インターフェイスのパケット キャプチャ ファイルを削除します。
    1. 運用モードから、ローカル UNIX シェルにアクセスします。
    2. パケット キャプチャファイルが保存されているディレクトリにナビゲートします。
    3. インターフェイスのパケットキャプチャーファイルを削除します(例:pcap-file.fe.0.0.0)。
    4. 操作モードに戻ります。
  3. パケットキャプチャを再有効化する(参照 例:デバイスでパケット キャプチャの有効化)。
  4. デバイスの設定が完了したら、設定モードから commit を入力します。

パケットヘッダーを表示する

monitor traffic コマンドを入力して、ネットワークインターフェイスを介して伝送されるパケット ヘッダーを次の構文で表示します。

注:

monitor traffic コマンドを使用すると、システムのパフォーマンスが低下する可能性があります。システムのパケットスループットへの影響を最小限に抑えるため、countmatching といったフィルタリングオプションを使用することをお勧めします。

表 1 で、monitor traffic コマンドのオプションについて説明します。

表 1: CLI監視トラフィックコマンドのオプション

オプション

説明

absolute-sequence

(オプション)TCP シーケンス番号の絶対値を表示します。

count number

(オプション)指定された数のパケットヘッダーを表示します。0100,000 の値を指定します。この数値に達すると、コマンドを終了してコマンド プロンプトに戻ります。

interface interface-name

(オプション)指定されたインターフェイス上のトラフィックのパケット ヘッダーを表示します。インターフェイスが指定されていない場合、最も低い番号のインタフェースを監視します。

layer2-headers

(オプション)リンク層パケット ヘッダーを行ごとに表示します。

matching "expression"

(オプション)引用符 (" ") で囲まれた式を照合するパケット ヘッダーを表示します。表 2 から 表 4 は、式で使用できる照合条件、論理演算子、算術演算子、2 項演算子、および関係演算子を一覧表示します。

no-domain-names

(オプション)ホスト名のドメイン名部分の表示を抑止します。

no-promiscuous

(オプション)notを指定して、監視対象インターフェイスを無作為検出モードにします。

プロミスキャスモードでは、インターフェイスに到達したすべてのパケットを読み取ります。非プロミスキャス モードでは、インターフェイスは自分宛のパケットのみを読み取ります。

no-resolve

(オプション)ホスト名の表示を抑止します。

no-timestamp

(オプション)パケットヘッダーのタイムスタンプの表示を抑止します。

print-ascii

(オプション)各パケット ヘッダーを ASCII 形式で表示します。

print-hex

(オプション)リンクレイヤー ヘッダーを除く各パケットヘッダーを 16 進数で表示します。

size bytes

(オプション)指定した各パケットのバイト数を表示します。パケット ヘッダーがこのサイズを超える場合、表示されるパケット ヘッダーは切り捨てられます。デフォルト値は 96 です。

brief

(オプション)最小のパケットヘッダー情報を表示します。これはデフォルトです。

detail

(オプション)パケット ヘッダー情報を適度に詳しく表示します。一部のプロトコルでは、詳細情報を表示するために size オプションも使用する必要があります。

extensive

(オプション)パケット ヘッダー情報の最も広範なレベルを表示します。一部のプロトコルでは、広範な情報を表示するために size オプションも使用する必要があります。

monitor traffic コマンドを終了してコマンドプロンプトに戻るには、Ctrl-Cを押します。

monitor traffic コマンドで表示されるパケットヘッダー情報を制限する場合は、matching "expression" オプションを含めます。式は、表 2 に記載され、引用符(" ")で囲まれた 1 つ以上の照合条件で構成されます。表 3 に記載されている論理演算子(優先順位の高いものから順に記載)を使って、照合条件を組み合わせることができます。

たとえば、TCP または UDP のパケット ヘッダーを表示するには、次のように入力します。

以下のタイプの式を比較するには、表 4 に記載されている関係演算子(優先順位の高いものから順に記載)を使用します。

  • 算術 - 表 4 に記載されている算術演算子を使用する式。

  • 2 項 - 表 4 に記載されている 2 項演算子を使用する式。

  • パケットデータアクセサー—以下の構文を使用する式:

    protocol表 2 内の任意のプロトコルに置き換えます。byte-offset を、比較に使用するパケット ヘッダーの先頭からのバイト オフセットに置き換えます。オプションの size パラメーターは、パケット ヘッダーで検査されるバイト数(1、2、または 4 バイト)を表します。

    たとえば、以下のコマンドは、すべてのマルチキャスト トラフィックを表示します。

表 2: CLI モニター トラフィック照合条件

一致条件

説明
エンティティ タイプ

host [address | hostname]

指定されたアドレスまたはホスト名を含むパケット ヘッダーを照合します。以下のプロトコル照合条件のいずれかを先頭に追加して、その後スペースを入れて、host:arpiprarp、または任意の方向照合条件のいずれかに足すことができます。

network address

指定したネットワーク アドレスを含む送信元または宛先アドレスを持つパケット ヘッダーを照合します。

network address mask mask

指定したネットワーク アドレスとサブネット マスクを含むパケット ヘッダーを照合します。

port [port-number | port-name]

指定された送信元または宛先の TCP または UDP ポート番号またはポート名を含むパケット ヘッダーを照合します。
方向  

destination

指定された宛先を含むパケット ヘッダーを照合します。方向照合条件は、エンティティ タイプ照合条件の前に空白文字を挟んで記述できます。

source

指定された送信元を含むパケット ヘッダーを照合します。

source and destination

指定された送信元and宛先を含むパケットヘッダーを照合します。

source or destination

指定された送信元or宛先を含むパケットヘッダーを照合します。
パケット長さ

less bytes

指定された値(単位はバイト)以下の長さのパケットを照合します。

greater bytes

指定した値(単位:バイト)以上の長さのパケットを照合します。

プロトコル

arp

すべてのARPパケットを照合します。

ether

すべてのイーサネット フレームを照合します。

ether [broadcast | multicast]

ブロードキャストまたはマルチキャストイーサネットフレームを照合します。この照合条件は、 source または destination の前に追加できます。

ether protocol [address | (\arp | \ip | \rarp)

指定したアドレスまたはプロトコルタイプを持つイーサネットフレームを照合します。引数 arpip、および rarp も独立した照合条件であるため、ether protocol の照合条件で使用する場合は先頭にバックスラッシュ(\)を追加する必要があります。

icmp

すべてのICMPパケットを照合します。

ip

すべてのIPパケットを照合します。

ip [broadcast | multicast]

ブロードキャストまたはマルチキャストIPパケットを照合します。

ip protocol [address | (\icmp | igrp | \tcp | \udp)]

指定されたアドレスまたはプロトコル タイプを含むIPパケットを照合します。引数 icmptcp、および udp も独立した照合条件であるため、ip protocol の照合条件で使用する場合は先頭にバックスラッシュ(\)を追加する必要があります。

isis

すべてのIS-ISルーティングメッセージを照合します。

rarp

すべてのRARPパケットを照合します。

tcp

すべての TCP パケットを照合します。

udp

すべての UDP パケットを照合します。
表 3: CLI モニター トラフィック論理演算子

論理演算子

説明

!

論理NOT。最初の条件が一致しない場合は、次の条件が評価されます。

&&

論理AND。最初の条件が一致すると、次の条件が評価されます。最初の条件が一致しない場合は、次の条件は省略されます。

||

論理OR。最初の条件が一致すると、次の条件は省略されます。最初の条件が一致しない場合は、次の条件が評価されます。

()

グループ演算子がデフォルトの優先順位を上書きします。括弧は特殊文字で、それぞれの前にバックスラッシュ(\)が必要です。
表 4: CLI モニター トラフィック 算術演算子、2 項演算子、関係演算子

オペレータ

説明
算術演算子

+

加算演算子。

減算演算子。

/

除算演算子。
2項演算子

&

ビット単位のAND。

*

ビット単位の排他的論理和。

|

ビット単位の包含的論理和。
関係演算子

<=

最初の式が 2 番目の式以下の場合、一致が発生します。

>=

最初の式が 2 番目の式以上の場合、一致が発生します。

<

最初の式が 2 番目の式未満の場合、一致が発生します。

>

最初の式が 2 番目の式より大きい場合、一致が発生します。

=

最初の式と 2 番目の式が等しい場合、一致が発生します。

!=

最初の式と2番目の式が等くない場合、一致が発生します。

以下に、monitor traffic コマンドの出力例を示します。