11-报文捕获配置
本章节下载: 11-报文捕获配置 (185.17 KB)
目 录
报文捕获功能用于捕获设备的双向流量,并将捕获到的报文生存成Wireshark(一种网络封包分析软件)可识别的.cap后缀文件,保存到本地或外部服务器,供用户分析诊断出入设备的流量。
· 报文捕获功能不支持多用户同时配置。
· 报文捕获功能启动后,报文捕获的参数不能再被修改。
· 启动报文捕获功能会对设备的性能产生影响,因此建议只在需要捕获报文的情况下启动该功能。
· 捕获文件存储在本地的情况下,报文捕获启动后系统会删除捕获文件存储路径下所有.cap后缀的文件,因此请及时导出所需的捕获文件。
表1-1 报文捕获功能配置任务简介
配置任务 |
说明 |
详细配置 |
配置捕获报文的最大长度 |
可选 |
|
配置每个捕获文件存储报文的最大数目 |
可选 |
|
配置捕获文件的存储路径 |
可选 |
|
启动报文捕获功能 |
必选 |
|
停止报文捕获功能 |
可选 |
捕获报文的长度超过设置的最大长度后,报文捕获模块会对报文进行截断并生成多条捕获信息。
表1-2 配置捕获报文的最大长度
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置捕获报文的最大长度 |
packet-capture max-bytes bytes |
缺省情况下,捕获报文的最大长度为1600字节 |
捕获文件最初存储在设备内存中,当捕获文件存储的捕获条目达到最大存储数后,系统会将内存中的捕获文件上传到指定的存储路径,并将内存中的捕获文件删除。
捕获文件存储的捕获条目越多占用的内存也就越大,因此在系统内存剩余较少的情况下,请将捕获文件存储捕获条目的最大数目调小。
表1-3 配置捕获文件存储捕获条目的最大数
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置捕获文件存储捕获条目的最大数 |
packet-capture max-file-packets number |
缺省情况下,捕获文件存储捕获条目的最大数为100 |
由于设备存储空间有限,建议将捕获文件存储到外部服务器。
表1-4 配置捕获文件的存储路径
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置捕获文件的存储路径 |
packet-capture storage { local [ limit limit-space ] | remote serverpath [ vpn-instance vpn-instance-name ] [ user username [ password { cipher | simple } string ] ] } |
缺省情况下,捕获文件存储在当前主用设备缺省文件系统的pcap文件夹下 |
若希望捕获设备接收和发送的报文,则需要执行本配置。
表1-5 启动报文捕获功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
启动报文捕获功能 |
packet-capture start [ acl { acl-number | ipv6 acl-number } | interface interface-type interface-number ] * |
缺省情况下,报文捕获功能处于停止状态 |
若希望停止捕获设备接收和发送的报文,则需要执行本配置。
停止报文捕获功能后,当缓存中的报文比较多时,将这些缓存的报文全部保存到捕获文件会需要较长的时间,这时如果不再需要继续保存缓存中的报文,则可以使用立刻停止报文捕获功能。
表1-6 停止报文捕获功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
停止报文捕获功能 |
packet-capture stop [ immediately ] |
- |
在完成上述配置后,在任意视图下执行display命令可以显示配置后的报文捕获功能的状态信息。
表1-7 报文捕获显示和维护
操作 |
命令 |
显示报文捕获功能的配置和状态信息 |
display packet-capture status |
在Device上启动报文捕获功能对设备上的流量进行捕获,具体报文捕获需求如下:
· 捕获接口GigabitEthernet1/0/1上源IP地址网段为10.1.1.0/24和目的IP地址网段为20.1.1.0/24的报文;
· 限制捕获报文的最大长度为3000字节;
· 将捕获文件上传到FTP服务器。
图1-1 捕获出入设备流量配置举例组网图
(1) 配置各接口的IP地址(略)
(2) 创建安全域并将接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
# 配置IPv4高级ACL 3000,源IP地址网段为10.1.1.0/24,目的IP地址网段为20.1.1.0/2。
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 20.1.1.0 0.0.0.255
[Device-acl-ipv4-adv-3000] quit
(3) 配置安全域间实例
# 应用IPv4高级ACL 3000对安全域间实例source Trust destination Untrust收到的报文进行过滤。
[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-Trust-Untrust] packet-filter 3000
[Device-zone-pair-security-Trust-Untrust] quit
(4) 配置报文捕获功能
# 配置捕获文件的存储路径为ftp.remote.com/pcap/,FTP用户名为zhangsan,密码为123。
[Device] packet-capture storage remote ftp://ftp.remote.com/pcap/ user zhangsan password simple 123
# 配置捕获报文的最大长度为3000字节。
[Device] packet-capture max-bytes 3000
# 启动报文捕获功能,且在接口GigabitEthernet1/0/1上捕获匹配高级ACL 3000中permit规则的报文。
[Device] packet-capture start acl 3000 interface GigabitEthernet1/0/1
以上配置完成后,通过执行命令display packet-capture status可以查看到报文捕获的状态。
[Device] display packet-capture status
Capture status: Started
Filter: ACL 3000
Interface GigabitEthernet1/0/1
# 用抓包软件打开FTP服务器上的捕获报文文件进行分析。(此处以Ethereal软件为例打开捕获报文)
图1-2 用Ethereal抓包软件打开捕获的报文
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!