12-网络管理和监控命令参考

16-Packet Capture命令

本章节下载 16-Packet Capture命令  (136.00 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S12500/S12500-S/Command/Command_Manual/H3C_S12500-S_CR-R7536P05-6W100/12/201706/1005518_30005_0.htm

16-Packet Capture命令


1 Packet Capture

1.1  Packet Capture配置命令

1.1.1  packet-capture interface

说明

如需使用本命令,请先使用boot-loaderinstallissu命令安装Packet Capture特性软件包,有关安装步骤的详细介绍,请参见“基础配置指导”中的“软件升级”或“ISSU”。

packet-capture interface命令用来配置接口的入方向报文捕获。

【命令】

捕获并保存报文到文件:

packet-capture interface interface-type interface-number [ capture-filter capt-expression | limit-captured-frames limit | limit-frame-size bytes | autostop filesize kilobytes | autostop duration seconds | autostop files numbers | capture-ring-buffer filesize kilobytes | capture-ring-buffer duration seconds | capture-ring-buffer files numbers ] * write filepath [ raw | { brief | verbose } ] *

捕获并显示报文内容:

packet-capture interface interface-type interface-number [ capture-filter capt-expression | display-filter disp-expression | limit-captured-frames limit | limit-frame-size bytes | autostop duration seconds ] * [ raw | { brief | verbose } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface-type interface-number:表示以太网接口的接口类型和接口编号,用来开启指定接口的报文捕获功能。

capture-filter capt-expression:表示捕获报文时过滤规则的表达式,为1~256个字符的字符串,区分大小写。如果不指定此参数,则捕获该接口的所有入方向的报文。

display-filter disp-expression:表示显示捕获报文时过滤规则的表达式,为1~256个字符的字符串,区分大小写。如果不指定此参数,则显示所有捕获到的报文。

limit-captured-frames limit:表示捕获报文的最大个数,取值范围为0~2147483647,单位为个,缺省值为10。若指定报文最大个数为0,则表示没有限制。

limit-frame-size bytes:表示捕获报文的最大长度,取值范围为64~8000,单位为字节,缺省值为8000。当捕获到的报文超过此长度,会对报文进行截断。

autostop filesize kilobytes:表示报文文件(用来存储捕获报文的文件)的大小,取值范围为1~65536,单位为千字节。如果没有指定本参数,表示对报文文件大小没有限制。

autostop duration seconds:表示持续捕获报文的时长,取值范围为1~2147483647,单位为秒。如果没有指定本参数,表示不对捕获报文的时长进行限制。

autostop files numbers:表示允许写的报文文件的个数,取值范围为2~64。如果没有指定本参数,表示不对允许写的报文文件的个数进行限制。

capture-ring-buffer filesize kilobytes:表示切换存储报文文件大小,取值范围为1~65536,单位为千字节。如果没有指定本参数,表示不以文件大小为限制切换报文文件。

capture-ring-buffer duration seconds:表示切换存储报文文件时长,取值范围为1~2147483647,单位为秒。如果没有本参数,表示不以时长为限制切换报文文件。

capture-ring-buffer files numbers:表示报文文件的最大个数,取值范围为2~64。如果没有指定本参数,表示报文文件的最大个数没有限制。

write filepath:表示报文文件的名称,为1~64字符的字符串,后缀必须为“.pcap”,区分大小写。文件名命名规则的详细介绍,请参见“基础配置指导”中的“文件系统管理”。如果没有指定此参数,将不会保存捕获的报文。

raw将报文内容以十六进制格式显示。不指定该参数时,以字符串格式显示报文内容。

verbose:显示捕获报文的详细信息。

brief:显示捕获报文的简要信息。

【使用指导】

开启指定接口的报文捕获功能后,命令行输入界面会实时显示捕获报文的数量,此时,该用户界面下不允许输入命令行。如果用户希望停止捕获,直接输入Ctrl+C停止捕获报文。

当不指定rawbriefverbose中的任何一个参数时,指定write参数,显示捕获的报文个数;当不指定rawbriefverbosewrite中的任何一个参数时,显示报文的简要信息。

当没有设置报文文件切换条件时,捕获的报文会保存在一个报文文件中,文件名称由write filepath参数指定。如果配置了报文文件切换条件,则捕获的报文会被保存到文件名为扩展文件名的文件中,扩展文件名由filepath、文件生成序号和写入时间组成。当切换到新文件时,新生成的扩展报文文件序号按序递增。例如,指定的文件名称为a.pcap,则第一个生成的报文文件的名称为a_00001_20140211034151.pcap,当达到切换写文件条件时,则将报文写入新生成的a_00002_20140211034207.pcap文件中,依次类推。如果报文文件的最大个数已经达到,但是停止捕获条件还没有达到,设备会继续捕获报文,并用用新捕获的报文覆盖生成时间最早的报文文件。

表1-1 packet-capture命令参数描述表

操作

参数

说明

过滤表达式

·     capture-filter capt-expression:设备根据此规则对报文进行过滤并捕获匹配过滤规则的报文。

·     display-filter disp-expression:设备对已捕获的报文进行过滤,并将匹配的报文内容进行显示。

捕获过滤不能对报文内容进行过滤,显示过滤可以对报文内容进行过滤

捕获过滤规则详细描述请参见“网络管理和监控配置指导”中的“Packet Capture”。

停止捕获

使用以下任意参数,即可实现设备自动停止捕获报文。当同时配置多个停止捕获参数时,先匹配成功的参数生效:

·     autostop filesize kilobytes:当报文文件的大小达到配置值时,则自动停止捕获报文

·     autostop duration seconds:当持续捕获报文的时长达到最大值时,则自动停止捕获报文

·     autostop files numbers:当写过的文件的个数达到配置值时(包括被覆盖写过的文件),则自动停止捕获报文

·     limit-captured-frames limit:当捕获报文的个数达到配置值时,则自动停止捕获报文

报文捕获功能还受文件系统空闲空间大小的限制。当文件系统空闲空间不足时,即便停止捕获参数设置的条件没有匹配,也将自动停止捕获报文

切换存储

使用以下任意参数,即可触发报文文件的切换。当同时配置多个切换参数时,先匹配成功的参数生效:

·     capture-ring-buffer filesize kilobytes:当报文文件大小达到配置值时,切换到下一个文件来存储捕获报文

·     capture-ring-buffer duration seconds:当捕获报文时长达到配置值时,切换到下一个文件来存储捕获报文

·     当指定autostop files参数或者capture-ring-buffer files参数时,如果同时指定autostop filesize参数,则autostop filesize作为切换条件参数处理

当指定autostop files参数或者capture-ring-buffer files参数时,则需指定切换存储参数

当同时指定autostop filesizecapture-ring-buffer filesize时,autostop filesize作为停止条件参数将失效,autostop filesize作为切换条件参数将生效。当autostop filesizecapture-ring-buffer filesize均作为切换条件参数,配置命令时后输入的生效

 

【举例】

# 配置接口Ten-GigabitEthernet1/0/1的入方向报文捕获。

<Sysname> packet-capture interface ten-gigabitethernet 1/0/1

【相关命令】

·     packet-capture read

1.1.2  packet-capture read

说明

如需使用本命令,请先使用boot-loaderinstallissu命令安装Packet Capture特性软件包,有关安装步骤的详细介绍,请参见“基础配置指导”中的“软件升级”或“ISSU”。

 

packet-capture read命令用来解析并显示保存的报文文件。

【命令】

packet-capture read filepath [ display-filter disp-expression ] [ raw | { brief | verbose } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

filepath:指定读取的文件的完整路径,为1~64个字符的字符串,后缀为“.pcap”或“.pcapng”,区分大小写。文件名命名规则的详细介绍,请参见“基础配置指导”中的“文件系统管理”。

display-filter disp-expression:指定用来显示报文的过滤规则,为1~256个字符的字符串。disp-expression为显示报文的过滤规则。设备报文文件内容匹配参数指定的显示过滤规则,并将匹配的报文内容进行显示。显示过滤语法规则参见Packet Capture配置手册。如果不指定此参数,则显示报文文件中的所有报文信息。

raw:将报文文件内容用十六进制格式显示。不指定该参数时,以字符串格式显示报文内容。

brief:显示报文文件的简要信息。

verbose:显示报文文件的详细信息。

【使用指导】

配置解析并显示报文文件内容后,Packet Capture终端显示从指定文件中读取解析的报文信息,如果用户希望退出此过程,可以直接输入Ctrl+C退出解析过程。

设备保存报文文件时使用pcap格式,但解析的报文文件可以为pcap或pcapng格式。

未指定rawbriefverbose参数时,则显示简要信息。

【举例】

# 解析flash:/test目录下的报文文件aaaa.pcap

<Sysname> packet-capture read flash:/test/aaaa.pcap

【相关命令】

·     packet-capture interface

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们