- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
06-报文捕获配置
本章节下载: 06-报文捕获配置 (181.31 KB)
目 录
报文捕获功能用于捕获设备的双向流量,并将捕获到的报文生存成Wireshark(一种网络封包分析软件)可识别的.cap后缀文件,保存到本地或外部服务器,供用户分析诊断出入设备的流量。
捕获报文的最小单位是一个报文,捕获报文的具体过程如下:
(1) 首先捕获一个报文中允许最大长度以内的部分,并生成一条捕获信息,对于超出的部分不再进行捕获;
(2) 然后将生成的捕获信息条目存储在内存中的捕获文件;
(3) 最后当捕获文件存储的捕获条目达到最大存储数后,系统会将内存中的捕获文件保存到指定的存储路径,并删除内存中的捕获文件。
· 启动报文捕获功能会对设备的性能产生影响,因此建议只在需要捕获报文的情况下启动该功能。
· 捕获文件存储在本地的情况下,报文捕获启动后系统会删除捕获文件存储路径下所有.cap后缀的文件,因此报文捕获完成后请及时导出所需的捕获文件。
· 设备上同时只允许一个用户进行报文捕获。
· 报文捕获功能启动后,报文捕获的参数不能再被修改。
(1) 配置报文捕获的参数
(2) 启动报文捕获功能
(3) 停止报文捕获功能
(1) 进入系统视图。
system-view
(2) 配置捕获报文的最大长度。
packet-capture max-bytes bytes
缺省情况下,捕获报文的最大长度为1600字节。
为能够捕获到完整报文,建议配置捕获报文的最大长度不低于接口的MTU值。
(3) 配置捕获文件存储捕获条目的最大数。
packet-capture max-file-packets number
缺省情况下,捕获文件存储捕获条目的最大数为100。
(4) 配置捕获文件的存储路径。
packet-capture storage { local [ limit limit-space ] | remote serverpath [ vpn-instance vpn-instance-name ] [ user username [ password { cipher | simple } string ] ] }
缺省情况下,捕获文件存储在当前主用设备缺省文件系统的pcap文件夹下。
(1) 进入系统视图。
system-view
(2) 启动报文捕获功能。
packet-capture start [ acl { acl-number | ipv6 acl-number } | interface interface-type interface-number ] *
缺省情况下,报文捕获功能处于停止状态。
可以通过本命令停止报文捕获。由于当缓存中的报文比较多时,将这些缓存的报文全部保存到捕获文件会需要较长的时间,因此系统提供了两种保存方式:立刻停止报文捕获功能(即指定immediately参数);保存完缓存中的报文后才停止报文捕获功能。
(1) 进入系统视图。
system-view
(2) 停止报文捕获功能。
packet-capture stop [ immediately ]
在完成上述配置后,在任意视图下执行display命令可以显示配置后的报文捕获功能的状态信息。
表1-1 报文捕获显示和维护
|
操作 |
命令 |
|
显示报文捕获功能的配置和状态信息 |
display packet-capture status |
在Device上启动报文捕获功能对设备上的流量进行捕获,具体报文捕获需求如下:
· 捕获接口GigabitEthernet1/0/1上的报文;
· 限制捕获报文的最大长度为3000字节;
· 将捕获文件上传到FTP服务器。
图1-1 报文捕获基本组网配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口IP地址,具体配置步骤略。
(2) 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
(3) 配置安全策略
# 配置名称capturelocalout的安全策规则,使设备device捕获的报文可以上传到FTP服务器,假设FTP服务器的地址为10.1.2.2/24,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name capturelocalout
[Device-security-policy-ip-1-capturelocalout] source-zone local
[Device-security-policy-ip-1-capturelocalout] destination-zone dmz
[Device-security-policy-ip-1-capturelocalout] destination-ip-host 10.1.2.2
[Device-security-policy-ip-1-capturelocalout] action pass
[Device-security-policy-ip-1-capturelocalout] quit
[Device-security-policy-ip] quit
(4) 配置报文捕获功能。
# 配置捕获文件的存储路径,FTP用户名及密码,捕获文件的最大字节长度,在接口GigabitEthernet1/0/1上开启报名捕获功能。
<Device> system-view
[Device] packet-capture storage remote ftp://ftp.remote.com/pcap/ user zhangsan password simple 123456TESTplat&!
[Device] packet-capture max-bytes 3000
[Device] packet-capture start interface gigabitethernet 1/0/1
# 以上配置完成后,通过执行命令display packet-capture status可以查看到报文捕获的状态。
[Device] display packet-capture status
Capture status: Started
Filter: Interface GigabitEthernet1/0/1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
