- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
13-報文捕獲配置
本章節下載: 13-報文捕獲配置 (205.65 KB)
目 錄
報文捕獲功能用於捕獲設備的雙向流量,並將捕獲到的報文生存成Wireshark(一種網絡封包分析軟件)可識別的.cap後綴文件,保存到本地或外部服務器,供用戶分析診斷出入設備的流量。
捕獲報文的最小單位是一個報文,捕獲報文的具體過程如下:
(1) 首先捕獲一個報文中允許最大長度以內的部分,並生成一條捕獲信息,對於超出的部分不再進行捕獲;
(2) 然後將生成的捕獲信息條目存儲在內存中的捕獲文件;
(3) 最後當捕獲文件存儲的捕獲條目達到最大存儲數後,係統會將內存中的捕獲文件保存到指定的存儲路徑,並刪除內存中的捕獲文件。
· 啟動報文捕獲功能會對設備的性能產生影響,因此建議隻在需要捕獲報文的情況下啟動該功能。
· 捕獲文件存儲在本地的情況下,報文捕獲啟動後係統會刪除捕獲文件存儲路徑下所有.cap後綴的文件,因此報文捕獲完成後請及時導出所需的捕獲文件。
· 設備上同時隻允許一個用戶進行報文捕獲。
· 報文捕獲功能啟動後,報文捕獲的參數不能再被修改。
· 報文捕獲功能僅支持對缺省Context和使用共享接口的非缺省Context進行報文捕獲,對使用獨享接口的非缺省Context不支持報文捕獲。且僅支持在缺省Context中對非缺省Context的報文進行捕獲。有關Context的詳細介紹,請參見“虛擬化技術配置指導”中的“Context”。
· 報文捕獲功能必須通過配置流量鏡像功能,將流量鏡像到Context所進駐安全引擎組的主安全引擎上,以便實現對Context的報文進行捕獲。有關流鏡像的詳細介紹,請參見“網絡管理和監控配置指導”中的“流鏡像”。
· 僅支持基於ACL捕獲報文,不支持基於接口捕獲報文。
(1) 配置報文捕獲的參數
(2) 啟動報文捕獲功能
(3) 停止報文捕獲功能
(1) 進入係統視圖。
system-view
(2) 配置捕獲報文的最大長度。
packet-capture max-bytes bytes
缺省情況下,捕獲報文的最大長度為1600字節。
為能夠捕獲到完整報文,建議配置捕獲報文的最大長度不低於接口的MTU值。
(3) 配置捕獲文件存儲捕獲條目的最大數。
packet-capture max-file-packets number
缺省情況下,捕獲文件存儲捕獲條目的最大數為100。
(4) 配置捕獲文件的存儲路徑。
packet-capture storage { local [ limit limit-space ] | remote serverpath [ vpn-instance vpn-instance-name ] [ user username [ password { cipher | simple } string ] ] }
缺省情況下,捕獲文件存儲在當前主控板缺省文件係統的pcap文件夾下。(獨立運行模式)
缺省情況下,捕獲文件存儲在當前全局主用主控板缺省文件係統的pcap文件夾下。(IRF模式)
(1) 進入係統視圖。
system-view
(2) 啟動報文捕獲功能。
packet-capture start [ acl { acl-number | ipv6 acl-number } | interface interface-type interface-number ] *
缺省情況下,報文捕獲功能處於停止狀態。
可以通過本命令停止報文捕獲。由於當緩存中的報文比較多時,將這些緩存的報文全部保存到捕獲文件會需要較長的時間,因此係統提供了兩種保存方式:立刻停止報文捕獲功能(即指定immediately參數);保存完緩存中的報文後才停止報文捕獲功能。
(1) 進入係統視圖。
system-view
(2) 停止報文捕獲功能。
packet-capture stop [ immediately ]
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後的報文捕獲功能的狀態信息。
表1-1 報文捕獲顯示和維護
|
操作 |
命令 |
|
顯示報文捕獲功能的配置和狀態信息 |
display packet-capture status |
在Device上啟動報文捕獲功能對設備上的流量進行捕獲,具體報文捕獲需求如下:
· 在接口GigabitEthernet1/0/1上捕獲源IP地址網段為10.1.1.0/24與目的IP地址網段為20.1.1.0/24之間的雙向報文。
· 限製捕獲報文的最大長度為3000字節。
· 將捕獲文件上傳到FTP服務器。
圖1-1 報文捕獲基本組網配置組網圖
(1) 配置接口IP地址、路由、安全域及域間策略保證網絡可達,具體配置步驟略。
(2) 配置流鏡像功能
# 配置IPv4高級ACL 3001,能夠匹配源IP地址網段為10.1.1.0/24,目的IP地址網段為20.1.1.0/24的報文;和源IP地址網段為20.1.1.0/24,目的地址網段為10.1.1.0/24的報文。
<Device> system-view
[Device] acl advanced 3001
[Device-acl-ipv4-adv-3001] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 20.1.1.0 0.0.0.255
[Device-acl-ipv4-adv-3001] rule 1 permit ip source 20.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[Device-acl-ipv4-adv-3001] quit
# 創建流分類abc,並配置報文匹配規則為ACL 3001。
[Device] traffic classifier abc
[Device-classifier-abc] if-match acl 3001
[Device-classifier-abc] quit
# 創建流行為abc,並配置流鏡像到Context所進駐安全引擎組的主安全引擎上(本舉例假設此主安全引擎的Blade接口為Blade 4/0/1。
[Device] traffic behavior abc
[Device-behavior-abc] mirror-to interface blade 4/0/1
[Device-behavior-abc] quit
# 創建QoS策略abc,在策略中為流分類abc指定采用流行為abc。
[Device] qos policy abc
[Device-qospolicy-abc] classifier abc behavior abc
[Device-qospolicy-abc] quit
# 將QoS策略abc應用到接口GigabitEthernet1/0/1的inbound和outbound方向上,且必須開啟enhancement功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] qos apply policy abc inbound enhancement
[Device-GigabitEthernet1/0/1] qos apply policy abc outbound enhancement
[Device-GigabitEthernet1/0/1] quit
(3) 配置報文捕獲功能
# 配置捕獲文件的存儲路徑為ftp.remote.com/pcap/,FTP用戶名為zhangsan,密碼為123。
[Device] packet-capture storage remote ftp://ftp.remote.com/pcap/ user zhangsan password simple 123456TESTplat&!
# 配置捕獲報文的最大長度為3000字節。
[Device] packet-capture max-bytes 3000
# 開啟報文捕獲功能,捕獲匹配ACL 3001的報文。
[Device] packet-capture start acl 3001
以上配置完成後,通過執行命令display packet-capture status可以查看到報文捕獲的狀態。
[Device] display packet-capture status
Capture status: Started
Filter: ACL 3001
# 用抓包軟件打開FTP服務器上的捕獲報文文件進行分析。(此處以Ethereal軟件為例打開捕獲報文)
圖1-2 用Ethereal抓包軟件打開捕獲的報文
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
