国家 / 地区

13-网络管理和监控配置指导

12-报文捕获配置

本章节下载  (108.77 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S12500/S12500/Configure/Operation_Manual/H3C_S12500_CG-R1828P04-6W182/13/201910/1235500_30005_0.htm

12-报文捕获配置


1 报文捕获

1.1  报文捕获简介

报文捕获功能使设备能够捕获其收到的报文,提供了一种定位网络问题的途径。使用该功能可以简化报文分析设备和网络监控设备的部署。

捕获的报文存放在设备的缓冲区中,用户可以通过命令行查看捕获的报文,也可以将捕获的报文输出为*.pcap格式文件,再用报文分析软件(如Ethereal、Wireshark)进行分析。

1.2  配置报文捕获

配置报文捕获功能时,需要注意:

·     如果要捕获按IPv6 ACL规则过滤的IPv6转发的报文,需要先执行acl ipv6 enable命令。有关该命令的详细介绍,请参见“ACL和QoS命令参考”中的“ACL”。

·     完成报文捕获后,建议使用undo packet capture命令停止本功能,以释放系统资源。

表1-1 配置报文捕获

操作

命令

说明

设置报文捕获参数

packet capture { acl { acl-number | ipv6 acl6-number } | buffer-size size | length capture-length | mode { circular | linear } }*

可选

启动报文捕获

立刻启动报文捕获(可同时设置报文捕获参数)

packet capture start [ acl { acl-number | ipv6 acl6-number } | buffer-size size | length capture-length | mode { circular | linear } | [ packets packet-number | seconds second-number ] ]*

二者必选其一

缺省情况下,报文捕获功能处于停止状态,报文捕获计划未设置

如果使用packet capture start命令,已配置的报文捕获计划将被取消

配置报文捕获计划

packet capture schedule datetime time date

暂停报文捕获

packet capture stop

可选

查看、保存或清除报文缓冲区中的内容之前,需要暂停报文捕获

系统会在以下任何一种情况下自动暂停报文捕获:

·     报文捕获模式为缺省的线性模式,且报文缓冲区写满;

·     捕获的报文数量超过上限;

·     报文捕获持续时间超过上限

保存报文捕获缓冲区中的内容

packet capture buffer save [ filename ]

可选

请将.pcap作为保存的文件名后缀

 

1.3  报文捕获显示和维护

在任意视图下执行display packet capture status命令可以即时查看当前报文捕获状态和已使用的缓冲区长度。

执行packet capture stop命令后,可以在任意视图下使用display packet capture buffer命令查看缓冲区中的内容,也可以在用户视图下执行reset packet capture buffer命令来清除缓冲区中的内容,以便进行新的报文捕获任务。

表1-2 报文捕获显示和维护

操作

命令

查看当前报文捕获状态

display packet capture status

查看当前报文捕获缓冲区中的内容

display packet capture buffer [ start-index [ end-index ] ] [ length display-length ]

清除报文捕获缓冲区中的内容

reset packet capture buffer

 

1.4  报文捕获典型配置举例

1. 组网需求

在Switch上捕获该设备收到的来自192.168.1.0/24网段的报文,通过命令行将报文捕获结果保存为*.pcap文件,以便连接到Switch的PC下载该文件,再用报文分析软件进行分析。

2. 组网图

图1-1 报文捕获应用组网图

 

 

3. 配置步骤

(1)     启动报文捕获

# 为IPv4基本ACL 2000创建规则:匹配来自192.168.1.0/24网段的报文。

<Switch> system-view

[Switch] acl number 2000

[Switch-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Switch-acl-basic-2000] quit

[Switch] quit

# 设置Switch捕获按ACL 2000过滤的报文,并启动报文捕获。

<Switch> packet capture start acl 2000

# 查看报文捕获状态。

<Switch> display packet capture status

  Current status :          In process

  Mode :                    Linear

  Buffer size :             2097152 (bytes)

  Buffer used :             1880 (bytes)

  Max capture length :      68 (bytes)

  ACL information :         Basic or advanced IPv4 ACL 2000

  Schedule datetime:        Unspecified

  Upper limit of duration : Unspecified (seconds)

  Duration :                13 (seconds)

  Upper limit of packets :  Unspecified

  Packets count :           10

由此可见,报文捕获正在进行。

(2)     保存报文捕获结果

# 暂停报文捕获。

<Switch> packet capture stop

# 将报文缓冲区中的内容保存为test.pcap文件。

<Switch> packet capture buffer save test.pcap

# 显示当前目录下的目录和文件信息。

<Switch> dir

Directory of flash:/

 

   0     -rw-      1860  Sep 21 2012 12:52:58   test.pcap

   1     drw-         -  Apr 26 2012 12:00:38   seclog

   2     -rw-  10479398  Apr 26 2012 12:26:39   logfile.log

由此可见,报文捕获缓冲区的内容已成功保存。

# 完成报文捕获后,停止报文捕获功能,释放系统资源。

<Switch> undo packet capture

# 连接到Switch的PC可以通过FTP或者TFTP工具访问设备,将*.pcap文件复制到PC上,再用Wireshark等报文分析软件进行处理。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!