- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
08-報文捕獲配置
本章節下載: 08-報文捕獲配置 (193.21 KB)
目 錄
報文捕獲功能用於捕獲設備的雙向流量,並將捕獲到的報文生存成Wireshark(一種網絡封包分析軟件)可識別的.cap後綴文件,保存到本地或外部服務器,供用戶分析診斷出入設備的流量。
捕獲報文的最小單位是一個報文,捕獲報文的具體過程如下:
(1) 首先捕獲一個報文中允許最大長度以內的部分,並生成一條捕獲信息,對於超出的部分不再進行捕獲;
(2) 然後將生成的捕獲信息條目存儲在內存中的捕獲文件;
(3) 最後當捕獲文件存儲的捕獲條目達到最大存儲數後,係統會將內存中的捕獲文件保存到指定的存儲路徑,並刪除內存中的捕獲文件。
· 啟動報文捕獲功能會對設備的性能產生影響,因此建議隻在需要捕獲報文的情況下啟動該功能。
· 捕獲文件存儲在本地的情況下,報文捕獲啟動後係統會刪除捕獲文件存儲路徑下所有.cap後綴的文件,因此報文捕獲完成後請及時導出所需的捕獲文件。
· 設備上同時隻允許一個用戶進行報文捕獲。
· 報文捕獲功能啟動後,報文捕獲的參數不能再被修改。
· 報文捕獲功能僅支持對缺省Context和使用獨享接口的非缺省Context進行報文捕獲,不支持對非缺省Context的共享接口進行報文捕獲。有關Context的詳細介紹,請參見“虛擬化技術配置指導”中的“Context”。
(1) 配置報文捕獲的參數
(2) 啟動報文捕獲功能
(3) 停止報文捕獲功能
(1) 進入係統視圖。
system-view
(2) 配置捕獲報文的最大長度。
packet-capture max-bytes bytes
缺省情況下,捕獲報文的最大長度為1600字節。
為能夠捕獲到完整報文,建議配置捕獲報文的最大長度不低於接口的MTU值。
(3) 配置捕獲文件存儲捕獲條目的最大數。
packet-capture max-file-packets number
缺省情況下,捕獲文件存儲捕獲條目的最大數為100。
(4) 配置捕獲文件的存儲路徑。
packet-capture storage { local [ limit limit-space ] | remote serverpath [ vpn-instance vpn-instance-name ] [ user username [ password { cipher | simple } string ] ] }
缺省情況下,捕獲文件存儲在當前主用設備缺省文件係統的pcap文件夾下。
(1) 進入係統視圖。
system-view
(2) 啟動報文捕獲功能。
packet-capture start [ acl { acl-number | ipv6 acl-number } | interface interface-type interface-number | vlan vlan-id&<1-5> ] * [ inbound | outbound ]
缺省情況下,報文捕獲功能處於停止狀態。
可以通過本命令停止報文捕獲。由於當緩存中的報文比較多時,將這些緩存的報文全部保存到捕獲文件會需要較長的時間,因此係統提供了兩種保存方式:立刻停止報文捕獲功能(即指定immediately參數);保存完緩存中的報文後才停止報文捕獲功能。
(1) 進入係統視圖。
system-view
(2) 停止報文捕獲功能。
packet-capture stop [ immediately ]
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後的報文捕獲功能的狀態信息。
表1-1 報文捕獲顯示和維護
|
操作 |
命令 |
|
顯示報文捕獲功能的配置和狀態信息 |
display packet-capture status |
在Device上啟動報文捕獲功能對設備上的流量進行捕獲,具體報文捕獲需求如下:
· 捕獲接口GigabitEthernet1/0/1上的報文;
· 限製捕獲報文的最大長度為3000字節;
· 將捕獲文件上傳到FTP服務器。
圖1-1 報文捕獲基本組網配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口IP地址,具體配置步驟略。
(2) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
(3) 配置安全策略
# 配置名稱capturelocalout的安全策規則,使設備device捕獲的報文可以上傳到FTP服務器,假設FTP服務器的地址為10.1.2.2/24,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name capturelocalout
[Device-security-policy-ip-1-capturelocalout] source-zone local
[Device-security-policy-ip-1-capturelocalout] destination-zone dmz
[Device-security-policy-ip-1-capturelocalout] destination-ip-host 10.1.2.2
[Device-security-policy-ip-1-capturelocalout] action pass
[Device-security-policy-ip-1-capturelocalout] quit
[Device-security-policy-ip] quit
(4) 配置報文捕獲功能。
# 配置捕獲文件的存儲路徑,FTP用戶名及密碼,捕獲文件的最大字節長度,在接口GigabitEthernet1/0/1上開啟報名捕獲功能。
[Device] packet-capture storage remote ftp://ftp.remote.com/pcap/ user zhangsan password simple 123456TESTplat&!
[Device] packet-capture max-bytes 3000
[Device] packet-capture start interface gigabitethernet 1/0/1
# 以上配置完成後,通過執行命令display packet-capture status可以查看到報文捕獲的狀態。
[Device] display packet-capture status
Capture status: Started
Filter: Interface GigabitEthernet1/0/1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
