- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
13-報文捕獲配置
本章節下載: 13-報文捕獲配置 (108.77 KB)
報文捕獲功能使設備能夠捕獲其收到的報文,提供了一種定位網絡問題的途徑。使用該功能可以簡化報文分析設備和網絡監控設備的部署。
捕獲的報文存放在設備的緩衝區中,用戶可以通過命令行查看捕獲的報文,也可以將捕獲的報文輸出為*.pcap格式文件,再用報文分析軟件(如Ethereal、Wireshark)進行分析。
配置報文捕獲功能時,需要注意:
· 如果要捕獲按IPv6 ACL規則過濾的IPv6轉發的報文,需要先執行acl ipv6 enable命令。有關該命令的詳細介紹,請參見“ACL和QoS命令參考”中的“ACL”。
· 完成報文捕獲後,建議使用undo packet capture命令停止本功能,以釋放係統資源。
|
操作 |
命令 |
說明 |
|
|
設置報文捕獲參數 |
packet capture { acl { acl-number | ipv6 acl6-number } | buffer-size size | length capture-length | mode { circular | linear } }* |
可選 |
|
|
啟動報文捕獲 |
立刻啟動報文捕獲(可同時設置報文捕獲參數) |
packet capture start [ acl { acl-number | ipv6 acl6-number } | buffer-size size | length capture-length | mode { circular | linear } | [ packets packet-number | seconds second-number ] ]* |
二者必選其一 缺省情況下,報文捕獲功能處於停止狀態,報文捕獲計劃未設置 如果使用packet capture start命令,已配置的報文捕獲計劃將被取消 |
|
配置報文捕獲計劃 |
packet capture schedule datetime time date |
||
|
暫停報文捕獲 |
packet capture stop |
可選 在查看、保存或清除報文緩衝區中的內容之前,需要暫停報文捕獲 係統會在以下任何一種情況下自動暫停報文捕獲: · 報文捕獲模式為缺省的線性模式,且報文緩衝區寫滿; · 捕獲的報文數量超過上限; · 報文捕獲持續時間超過上限 |
|
|
保存報文捕獲緩衝區中的內容 |
packet capture buffer save [ filename ] |
可選 請將.pcap作為保存的文件名後綴 |
|
在任意視圖下執行display packet capture status命令可以即時查看當前報文捕獲狀態和已使用的緩衝區長度。
執行packet capture stop命令後,可以在任意視圖下使用display packet capture buffer命令查看緩衝區中的內容,也可以在用戶視圖下執行reset packet capture buffer命令來清除緩衝區中的內容,以便進行新的報文捕獲任務。
表1-2 報文捕獲顯示和維護
|
操作 |
命令 |
|
查看當前報文捕獲狀態 |
display packet capture status |
|
查看當前報文捕獲緩衝區中的內容 |
display packet capture buffer [ start-index [ end-index ] ] [ length display-length ] |
|
清除報文捕獲緩衝區中的內容 |
reset packet capture buffer |
在Switch上捕獲該設備收到的來自192.168.1.0/24網段的報文,通過命令行將報文捕獲結果保存為*.pcap文件,以便連接到Switch的PC下載該文件,再用報文分析軟件進行分析。
圖1-1 報文捕獲應用組網圖
(1) 啟動報文捕獲
# 為IPv4基本ACL 2000創建規則:匹配來自192.168.1.0/24網段的報文。
<Switch> system-view
[Switch] acl number 2000
[Switch-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Switch-acl-basic-2000] quit
[Switch] quit
# 設置Switch捕獲按ACL 2000過濾的報文,並啟動報文捕獲。
<Switch> packet capture start acl 2000
# 查看報文捕獲狀態。
<Switch> display packet capture status
Current status : In process
Mode : Linear
Buffer size : 2097152 (bytes)
Buffer used : 1880 (bytes)
Max capture length : 68 (bytes)
ACL information : Basic or advanced IPv4 ACL 2000
Schedule datetime: Unspecified
Upper limit of duration : Unspecified (seconds)
Duration : 13 (seconds)
Upper limit of packets : Unspecified
Packets count : 10
由此可見,報文捕獲正在進行。
(2) 保存報文捕獲結果
# 暫停報文捕獲。
<Switch> packet capture stop
# 將報文緩衝區中的內容保存為test.pcap文件。
<Switch> packet capture buffer save test.pcap
# 顯示當前目錄下的目錄和文件信息。
<Switch> dir
Directory of flash:/
0 -rw- 1860 Sep 21 2012 12:52:58 test.pcap
1 drw- - Apr 26 2012 12:00:38 seclog
2 -rw- 10479398 Apr 26 2012 12:26:39 logfile.log
由此可見,報文捕獲緩衝區的內容已成功保存。
# 完成報文捕獲後,停止報文捕獲功能,釋放係統資源。
<Switch> undo packet capture
# 連接到Switch的PC可以通過FTP或者TFTP工具訪問設備,將*.pcap文件複製到PC上,再用Wireshark等報文分析軟件進行處理。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
