- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
18-报文捕获
本章节下载: 18-报文捕获 (288.21 KB)
本帮助主要介绍以下内容:
· 特性简介
○ 过滤规则的构成
· 配置指南
报文捕获功能用于捕获设备接口收发的报文并对报文进行解析处理,便于用户分析接口收发的报文;还可以将报文数据存储为pcap格式的文件,方便用户后续查看。
用户可根据需要将捕获的报文自动上传到FTP服务器或存储在设备存储介质中。
报文捕获可以使用过滤表达式指定过滤规则,对需要捕获的报文进行过滤,仅捕获用户关心的报文。
过滤规则由字段名称和逻辑关系组合而成:
· 字段名称又分为:
○ 常量关键字:该类关键字为固定的字符串。使用时,用户需完整输入该关键字。
○ 变量关键字:该类关键字形式固定,但内容可变。用户可自定义该关键字的取值。
· 逻辑关系分为逻辑操作符、运算操作符和比较操作符,当前仅支持逻辑操作符和比较操作符。
关于捕获过滤规则的详细介绍请参见网页:http://wiki.wireshark.org/CaptureFilters。
表-1 常量关键字
|
常量关键字类型 |
描述 |
关键字 |
|
协议 |
捕获指定协议的报文 如果没有指明协议类型,则捕获报文捕获支持的所有协议的报文 |
支持的协议有:arp、icmp、ip、ip6、tcp、udp等 |
|
报文传输方向 |
捕获指定传输方向的报文 如果没有指定本关键字,缺省报文传输方向为源或目的方向。 |
· src:表示源方向 · dst:表示目的方向 · src or dst:表示源或目的方向 |
|
报文传输方向类型 |
捕获指定的报文传输方向类型的报文 |
· host:表示主机 · net:表示网段 · port:表示端口号 · portrange:表示端口号范围 |
|
特殊关键字 |
- |
· vlan:表示捕获VLAN报文 |
捕获过滤规则的变量关键字不可以单独使用,其前需要使用常量关键字对其进行修饰。
协议类型常量关键字、broadcast和multicast关键字不能对变量关键字进行修饰。其它的常量关键字不可单独使用,其后需要使用变量关键字。
表-2 变量关键字
|
变量关键字类型 |
举例 |
|
整型 |
使用二进制、八进制、十进制或十六进制形式表示。例如:port 23,表示端口号为23 |
|
整型范围 |
使用二进制、八进制、十进制、十六进制形式和“-”表示。例如:portrange 100-200,表示端口号范围为100到200 |
|
IPv4地址 |
使用点分十进制格式表示。例如:src host 1.1.1.1,表示源主机IPv4地址是1.1.1.1 |
|
IPv6地址 |
使用冒号分十六进制格式表示。例如:dst host 1::1,表示报文的目的主机IPv6地址是1::1 |
|
IPv4网段 |
使用IPv4地址和掩码或者IPv4网络号表示。例如:src net 1.1.1.0/24,表示源主机的IPv4网段为1.1.1.0/24 |
|
IPv6网段 |
使用IPv6地址和网络前缀表示。例如:dst net 1::/64,表示目的IPv6网段为1::/64 需要注意的是,指定IPv6网段变量关键字时,必须指定net常量关键字 |
逻辑操作符的逻辑运算顺序为从左到右,其中非操作符优先级最高,与操作符和或操作符的优先级相同。
表-3 逻辑操作符
|
逻辑操作符 |
描述 |
|
not |
非操作符。表示对捕获过滤规则取反操作 |
|
and |
与操作符。表示连接多个捕获过滤规则。当此操作符连接多个过滤规则时,报文符合此操作符连接的全部过滤规则,才会过滤成功,否则,过滤失败 |
|
or |
或操作符。表示对多个捕获过滤规则进行选择,只要满足一个过滤规则,则过滤成功,否则,过滤失败 |
表-4 比较操作符分类
|
比较操作符 |
描述 |
|
greater(>=) |
大于等于,判断左侧操作数大于等于右侧操作数 |
|
less(<=) |
小于等于,判断左侧操作数小于等于右侧操作数 |
由关键字和逻辑运算符组合的捕获过滤表达式。例如: dst port not 22 and dst port not 23,表示捕获目的端口号既不是23,又不是22的报文; dst port 23 or icmp,表示捕获目的端口号是23或ICMP协议的报文。
由关键字vlan、逻辑操作符等组合的捕获过滤表达式。其中,vlan_id为整型,表示VLAN编号。例如,vlan 1 and ip,表示捕获VLAN编号为1的IPv4报文。
需要注意的是:
· 对于带VLAN tag且接口允许通过的报文,必须使用此类捕获过滤表达式且关键字vlan要在其它捕获过滤条件之前指定,否则不能正常过滤。例如:vlan 3 and src host 192.168.1.10 and dst host 192.168.1.1,表示捕获VLAN 3内、192.168.1.10发往192.168.1.1的报文。
· 对于接口收到的不带VLAN tag的报文:
○ 如果设备会在报文头中添加VLAN tag,则为了捕获该类报文,必须在捕获过滤规则中设置过滤条件为“vlan xx”。对于三层报文,xx为报文出接口的缺省VLAN ID;对于二层报文,xx为入接口的缺省VLAN ID。
○ 如果设备不会在报文头中添加VLAN tag,则为了捕获该类报文,不能在捕获过滤规则中设置过滤条件为“vlan xx”。
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
· 二层接口上的大部分流量为硬件转发报文,对于硬件转发的报文,均需要使用QoS策略将硬件报文镜像到CPU才能捕获;对于软件转发的报文,不需要将报文镜像到CPU,直接开启报文捕获功能即可。
· 报文捕获功能可捕获帧长度小于等于9196字节的报文,当收到报文的帧长度大于9196时,设备不会捕获该报文。
1. 单击“系统管理 > 诊断中心 > 报文捕获”。
2. 在报文捕获页面配置报文捕获的相关参数,具体配置内容如下表所示:
表-5 报文捕获配置参数表
|
参数 |
说明 |
|
接口 |
选择进行报文捕获的接口 |
|
方向 |
选择报文捕获的方向 |
|
报文存储方式 |
选择存储报文文件的方式,可选择以下两种方式: · 设备本地 · 第三方FTP服务器 |
|
报文存储路径 |
选择存储报文文件的路径,后缀必须为pcap |
|
FTP用户 |
指定登录远程FTP服务器时使用的用户名 |
|
FTP密码 |
指定登录远程FTP服务器时使用的密码 |
|
文件大小 |
指定存储报文的文件大小,单位为千字节 |
|
捕获过滤表达式 |
指定用来捕获报文的过滤规则 |
|
报文最大长度 |
指定接口可捕获的报文的最大长度,单位为字节 |
|
捕获时长 |
指定捕获报文时长,单位为秒 |
3. 单击<开始>按钮,设备开始进行报文捕获,如果用户希望停止捕获可点击<停止>按钮。
4. 报文捕获完成后,单击<下载>按钮,设备会将报文捕获的文件导出到PC本地。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
