报文示踪
本帮助主要介绍以下内容:
特性简介
报文示踪功能用来分析和追踪设备中各个安全业务模块(如:攻击防范、uRPF、会话管理和并发连接限制等)对报文的处理过程,通过查看报文示踪记录的详细信息,有利于管理员对网络故障的快速排查和定位。
应用场景
当出现网络故障时,通常由于设备上配置了较多的安全业务,导致管理员无法快速、准确地定位故障。报文示踪功能可以帮助管理员有效解决上述问题。
报文示踪模式
为满足不同情况下网络故障定位的需求,报文示踪功能提供了如下三种诊断模式:
真实流量诊断:指在实际网络环境中,对经过设备的真实流量进行追踪和分析。此种方式适用于在实际网络中定位网络故障。
导入报文诊断:指将捕获的文件(必须是“.cap”或 “.pcap”格式的文件)导入设备,对报文进行分析,对报文被处理的过程进行回放。此种方式适用于在本设备上已经捕获所需报文的场景,或者需要对其他设备(如不支持报文示踪功能的设备等)上的报文进行协助分析的场景。
构造报文诊断:指设备根据管理员输入的参数信息构造一个报文,用来验证和查看已配置的安全业务功能对此报文的处理结果。此种方式适用于在设备上配置完各项所需的功能后,模拟一个真实流量的报文,来验证设备对报文的处理是否可以达到预期效果的场景。
vSystem相关说明
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
使用限制和注意事项
仅在诊断报文前选择捕获诊断报文功能后,报文示踪过程才会生成.cap文件,否则不会生成。
捕获报文生成.cap文件被下载后,设备上保存的此文件即被删除,管理员将无法再次导出。
导入报文诊断模式仅能导入文件中的前10条流,每条流又仅能导入前10个报文,且仅能对导入的完整报文进行示踪,不完整的报文无法进行示踪。
当接口开启保持上一跳功能并转发成功时,设备无法读取下一跳的IP地址,此时下一跳会显示为255.255.255.255(IPv4)或::(IPv6)。
配置指南
配置准备
报文示踪
选择“系统 > 诊断中心 > 报文示踪”。
在“报文示踪”页面,可以通过配置参数信息,选择对哪些报文进行示踪,具体配置内容如下表所示:
图-1 报文示踪参数配置
表-1 配置参数表
参数
说明
诊断模式
配置报文示踪的诊断模式,取值包括:
真实流量
导入报文
构造报文
IP类型
配置IP地址类型,包括IPv4和IPv6两种:
IPv4:表示仅对IPv4类型的报文进行示踪
IPv6:表示仅对IPv6类型的报文进行示踪
入接口
选择需要示踪报文的入接口
协议
选择需要示踪报文的协议
源地址
选择需要示踪报文的源地址
源端口
选择需要示踪报文的源端口
目的地址
选择需要示踪报文的目的地址
目的端口
选择需要示踪报文的目的端口
源MAC
选择需要示踪报文的源MAC地址
目的MAC
选择需要示踪报文的目的MAC地址
VLAN ID
选择需要示踪报文的VLAN ID
诊断时间
选择需要示踪报文的时间长短,达到指定时间后,报文示踪功能停止。此功能仅真实流量诊断模式支持
捕获诊断报文
选择此功能后,设备在报文示踪的同时会把报文捕获下来,并形成.cap文件供管理员分析使用。管理员可点击<导出>按钮并选择“捕获报文”选项下载此.cap文件
单击<诊断>按钮,设备将开始进行报文示踪。
对报文诊断结束后,通过诊断信息可以查看各安全业务模块对报文的处理情况。对正确处理报文的业务模块,系统会给出
示意;对丢弃报文的业务模块,系统会给出
示意,并给出丢包原因。