- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
12-报文捕获配置
本章节下载: 12-报文捕获配置 (108.77 KB)
报文捕获功能使设备能够捕获其收到的报文,提供了一种定位网络问题的途径。使用该功能可以简化报文分析设备和网络监控设备的部署。
捕获的报文存放在设备的缓冲区中,用户可以通过命令行查看捕获的报文,也可以将捕获的报文输出为*.pcap格式文件,再用报文分析软件(如Ethereal、Wireshark)进行分析。
配置报文捕获功能时,需要注意:
· 如果要捕获按IPv6 ACL规则过滤的IPv6转发的报文,需要先执行acl ipv6 enable命令。有关该命令的详细介绍,请参见“ACL和QoS命令参考”中的“ACL”。
· 完成报文捕获后,建议使用undo packet capture命令停止本功能,以释放系统资源。
|
操作 |
命令 |
说明 |
|
|
设置报文捕获参数 |
packet capture { acl { acl-number | ipv6 acl6-number } | buffer-size size | length capture-length | mode { circular | linear } }* |
可选 |
|
|
启动报文捕获 |
立刻启动报文捕获(可同时设置报文捕获参数) |
packet capture start [ acl { acl-number | ipv6 acl6-number } | buffer-size size | length capture-length | mode { circular | linear } | [ packets packet-number | seconds second-number ] ]* |
二者必选其一 缺省情况下,报文捕获功能处于停止状态,报文捕获计划未设置 如果使用packet capture start命令,已配置的报文捕获计划将被取消 |
|
配置报文捕获计划 |
packet capture schedule datetime time date |
||
|
暂停报文捕获 |
packet capture stop |
可选 在查看、保存或清除报文缓冲区中的内容之前,需要暂停报文捕获 系统会在以下任何一种情况下自动暂停报文捕获: · 报文捕获模式为缺省的线性模式,且报文缓冲区写满; · 捕获的报文数量超过上限; · 报文捕获持续时间超过上限 |
|
|
保存报文捕获缓冲区中的内容 |
packet capture buffer save [ filename ] |
可选 请将.pcap作为保存的文件名后缀 |
|
在任意视图下执行display packet capture status命令可以即时查看当前报文捕获状态和已使用的缓冲区长度。
执行packet capture stop命令后,可以在任意视图下使用display packet capture buffer命令查看缓冲区中的内容,也可以在用户视图下执行reset packet capture buffer命令来清除缓冲区中的内容,以便进行新的报文捕获任务。
表1-2 报文捕获显示和维护
|
操作 |
命令 |
|
查看当前报文捕获状态 |
display packet capture status |
|
查看当前报文捕获缓冲区中的内容 |
display packet capture buffer [ start-index [ end-index ] ] [ length display-length ] |
|
清除报文捕获缓冲区中的内容 |
reset packet capture buffer |
在Switch上捕获该设备收到的来自192.168.1.0/24网段的报文,通过命令行将报文捕获结果保存为*.pcap文件,以便连接到Switch的PC下载该文件,再用报文分析软件进行分析。
图1-1 报文捕获应用组网图
(1) 启动报文捕获
# 为IPv4基本ACL 2000创建规则:匹配来自192.168.1.0/24网段的报文。
<Switch> system-view
[Switch] acl number 2000
[Switch-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Switch-acl-basic-2000] quit
[Switch] quit
# 设置Switch捕获按ACL 2000过滤的报文,并启动报文捕获。
<Switch> packet capture start acl 2000
# 查看报文捕获状态。
<Switch> display packet capture status
Current status : In process
Mode : Linear
Buffer size : 2097152 (bytes)
Buffer used : 1880 (bytes)
Max capture length : 68 (bytes)
ACL information : Basic or advanced IPv4 ACL 2000
Schedule datetime: Unspecified
Upper limit of duration : Unspecified (seconds)
Duration : 13 (seconds)
Upper limit of packets : Unspecified
Packets count : 10
由此可见,报文捕获正在进行。
(2) 保存报文捕获结果
# 暂停报文捕获。
<Switch> packet capture stop
# 将报文缓冲区中的内容保存为test.pcap文件。
<Switch> packet capture buffer save test.pcap
# 显示当前目录下的目录和文件信息。
<Switch> dir
Directory of flash:/
0 -rw- 1860 Sep 21 2012 12:52:58 test.pcap
1 drw- - Apr 26 2012 12:00:38 seclog
2 -rw- 10479398 Apr 26 2012 12:26:39 logfile.log
由此可见,报文捕获缓冲区的内容已成功保存。
# 完成报文捕获后,停止报文捕获功能,释放系统资源。
<Switch> undo packet capture
# 连接到Switch的PC可以通过FTP或者TFTP工具访问设备,将*.pcap文件复制到PC上,再用Wireshark等报文分析软件进行处理。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
