• wireshark - 强大的嗅探器，可以解码大量协议，大量过滤器。

• tshark - 命令行版本的wireshark

• dumpcap (wireshark 的一部分) - 只能捕获流量并且可以被wireshark / tshark使用

• tcpdump - 有限的协议解码，但在大多数 *NIX 平台上可用

• ettercap - 用于注入流量而不是嗅探

所有工具都使用 libpcap（在 windows winpcap 上）进行嗅探。Wireshark/tshark /dumpcap 可以使用 tcpdump 过滤器语法作为捕获过滤器。

由于 tcpdump 在大多数 *NIX 系统上可用，我通常使用 tcpdump。根据问题，我有时会使用 tcpdump 来捕获流量并将其写入文件，然后再使用wireshark 对其进行分析。如果可用，我使用 tshark 但如果问题变得更复杂，我仍然喜欢将数据写入文件，然后使用 Wireshark 进行分析。

“调试接口”是什么意思？

Wireshark & Co. 不会帮助您解决接口问题，但会帮助您解决连接/流量/协议/有效负载问题。

如果您想对此进行故障排除，最好的方法是让一台不涉及您要进行故障排除的流量的 PC 连接到同一台 Cisco 交换机，并跨越您要捕获到该 PC/笔记本电脑的端口（请注意，使用率非常高的链接如果使用 Gig-Ethernet，可能会导致您使用低端卡在笔记本电脑/PC 上丢包）

例如：（取自运行 12.2.x 的 3750）

monitor session 1 source interface Gi1/0/10 both
monitor session 1 destination interface Gi1/0/11 encapsulation replicate

还有许多其他选项，所有内容都在您的平台和 IOS 版本的文档中

请注意，某些平台（运行 IOS-XE 的平台，至少某些 6509 或其他平台）具有集成嗅探器（实际上是 Wireshark 的一个版本）。实际功能因版本而异，但我能够捕获 8mb 循环缓冲区上的流量并将其导入到成熟的 Wireshark 中，没有问题）