17-网络管理和监控命令参考

13-报文捕获命令

本章节下载  (175.02 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Command/Command_Manual/M9000_CR(V7)(R9141_R9712)-6W303/17/202012/1367214_30005_0.htm

13-报文捕获命令


1 报文捕获

1.1  报文捕获命令

1.1.1  display packet-capture status

display packet-capture status命令用来显示报文捕获功能的配置和状态信息。

【命令】

display packet-capture status

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示当前报文捕获功能的配置和状态信息。

<Sysname> display packet-capture status

  Capture status: Started

  Filter: ACL 3000

          Interface GigabitEthernet1/0/1

表1-1 display packet-capture status命令显示信息描述表

字段

描述

Capture status

表示报文捕获功能的状态,包括如下取值:

·     Started:报文捕获进行中

·     Stopped:报文捕获已停止

·     Saving:正在保存缓存中的报文

Filter

表示报文捕获的过滤条件,包括如下取值:

·     ACL:根据IPv4高级ACL进行过滤

·     ACL IPv6:根据IPv6高级ACL进行过滤

·     Interface:根据接口进行过滤

若报文捕获已停止,则不显示该字段

 

【相关命令】

·     packet-capture start

·     packet-capture stop

1.1.2  packet-capture max-bytes

packet-capture max-bytes命令用来配置捕获报文的最大长度。

undo packet-capture max-bytes命令用来恢复缺省情况。

【命令】

packet-capture max-bytes bytes

undo packet-capture max-bytes

【缺省情况】

捕获报文的最大长度为1600字节。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

bytes:表示可捕获报文的最大长度,取值范围为512~4096,单位为字节。

【使用指导】

对于一个报文,报文捕获功能仅能捕获最大长度以内的部分,并生成一条捕获信息,对于超出的部分不再进行捕获。因此,为能够捕获到完整报文,建议配置捕获报文的最大长度不低于接口的MTU值。

报文捕获开始后,不允许调整捕获报文的最大长度。

【举例】

# 配置捕获报文的最大长度为1500字节。

<Sysname> system-view

[Sysname] packet-capture max-bytes 1500

1.1.3  packet-capture max-file-packets

packet-capture max-file-packets命令用来配置捕获文件存储捕获条目的最大数。

undo packet-capture max-file-packets命令用来恢复缺省情况。

【命令】

packet-capture max-file-packets number

undo packet-capture max-file-packets

【缺省情况】

捕获文件存储捕获条目的最大数为100。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

number:表示捕获文件存储捕获条目的最大数,取值范围为100~1000,单位为条。

【使用指导】

当捕获文件存储的捕获条目达到最大存储个数后,系统会将内存中的捕获文件上传到指定的存储路径上,并将内存中的捕获文件删除。

捕获文件存储的捕获条目越多占用的内存也就越大,因此在系统内存剩余较少的情况下,请将捕获文件存储捕获条目的最大数调小。

报文捕获开始后,不允许调整捕获文件存储捕获条目的最大数。

【举例】

# 配置捕获文件存储捕获条目的最大数为500。

<Sysname> system-view

[Sysname] packet-capture max-file-packets 500

1.1.4  packet-capture start

packet-capture start命令用来启动报文捕获功能。

【命令】

packet-capture start [ acl { acl-number | ipv6 acl-number } | interface interface-type interface-number ] *

【缺省情况】

报文捕获功能处于停止状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

acl:表示捕获匹配高级ACL中permit规则的报文。

acl-number:表示IPv4高级ACL,取值范围为3000~3999。

ipv6 acl-number:表示IPv6高级ACL,取值范围为3000~3999。

interface interface-type interface-number:表示捕获指定接口上接收和发送的所有报文。

【使用指导】

启动报文捕获功能会对设备的性能产生影响,因此建议只在需要捕获报文的情况下开启该功能。

在捕获报文存储在本地的情况下,报文捕获开始后系统会删除捕获文件存储路径下所有.cap后缀的文件,因此请及时导出所需的捕获文件。

启动报文捕获时,如果没有指定任何参数,则表示捕获设备接收和发送的所有报文。

在非缺省Context中不支持在共享接口上开启此功能。

【举例】

# 启动报文捕获功能,捕获匹配高级ACL 3000中permit规则的报文。

<Sysname> system-view

[Sysname] packet-capture start acl 3000

The operation will delete .cap files in storage path,continue?[y/n]

1.1.5  packet-capture stop

packet-capture stop命令用来停止报文捕获功能。

【命令】

packet-capture stop [ immediately ]

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

immediately:表示立刻停止报文捕获功能,且缓存中的报文不再保存到捕获文件。若不指定此参数,则表示将缓存中的报文全部保存到捕获文件后,才停止报文捕获功能。

【使用指导】

停止报文捕获功能后,当缓存中的报文比较多时,将这些缓存的报文全部保存到捕获文件会需要较长的时间,这时如果不再需要继续保存缓存中的报文,则可以使用立刻停止报文捕获功能。

【举例】

# 停止报文捕获功能。

<Sysname> system-view

[Sysname] packet-capture stop

# 立刻停止报文捕获功能。

<Sysname> system-view

[Sysname] packet-capture stop immediately

1.1.6  packet-capture storage

packet-capture storage命令用来配置捕获文件的存储路径。

undo packet-capture storage命令用来恢复缺省情况。

【命令】

packet-capture storage { local [ limit limit-space ] | remote serverpath [ vpn-instance vpn-instance-name ] [ user username [ password { cipher | simple } string ] ] }

undo packet-capture storage

【缺省情况】

捕获文件存储在当前主控板缺省文件系统的pcap文件夹下。(独立运行模式)

捕获文件存储在当前全局主用主控板缺省文件系统的pcap文件夹下。(IRF模式)

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

local:表示将捕获文件存储在设备本地。

limit limit-space:表示捕获文件占用的最大存储空间,当捕获文件总大小超过最大存储空间限制时,自动停止抓包。limit-space是存储空间,取值范围为1024~10240,缺省值为4096,单位为KB。

remote:表示将捕获文件存储到外部的服务器。

serverpath:表示外部FTP/TFTP服务器的存储路径,为1~253个字符的字符串,区分大小写,仅包含字母、数字、“-”、“_”、“:”、“/”和“.”。

vpn-instance vpn-instance-name:指定FTP/TFTP服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示FTP/TFTP服务器位于公网。

user username:表示登录远程FTP服务器使用的用户名,为1~255个字符的字符串,区分大小写,不能包括“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”。

password:表示登录远程FTP服务器使用的密码。

cipher:表示以密文方式设置密码。

simple:表示以明文方式设置密码,该密码将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。

【使用指导】

由于设备存储空间有限,建议将捕获文件存储到外部的服务器。

捕获开始后,不允许更改捕获文件的存储路径。

【举例】

# 配置捕获文件存储路在FTP服务器上,服务器地址为1.1.1.2,用户名为zhangsan,密码为123。

<Sysname> system-view

[Sysname] packet-capture storage remote ftp://1.1.1.2 user zhangsan password simple 123

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们