• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

12-网络管理和监控配置

目录

11-Packet Capture配置

本章节下载 11-Packet Capture配置  (877.54 KB)

11-Packet Capture配置


1 Packet Capture

说明

本手册使用CF卡类型的存储介质举例,设备实际支持的存储介质,请参见“基础配置指导”中的“文件系统管理”。

 

1.1  Packet Capture简介

Packet Capture是一种报文捕获及分析特性,该特性能够捕获设备接口的入方向报文并对报文进行解析处理,便于用户分析接口接收到的报文;还可以将报文数据存储为pcap格式的文件,方便用户对报文进行后续解析。

该特性不支持多终端操作,目前支持以下二种报文捕获的方式:

·     本地报文捕获

本地报文捕获功能可以将捕获的报文自动上传到FTP服务器、存储在设备存储介质中或者在控制台上显示报文信息,用户可以自行选择。用户可以任意选择其中一种方式来进行报文捕获。

·     远程报文捕获

远程报文捕获是指设备开启远程报文捕获服务功能后,用户必须通过PC上的第三方报文捕获软件Wireshark客户端与捕获报文的设备建立连接,远端报文捕获设备将报文数据发送给Wireshark客户端,供Wireshark客户端显示。

1.2  Packet Capture捕获过滤规则

Packet Capture可以使用捕获过滤表达式指定捕获过滤规则,对进入指定物理接口的报文进行过滤,满足捕获过滤规则的报文则被捕获。捕获过滤规则由关键字、逻辑操作符、运算操作符和比较操作符等组合而成。有关Packet Capture更多规则的详细介绍,请参见网址:http://wiki.wireshark.org/CaptureFilters

1.2.1  关键字

捕获过滤规则使用的关键字分为常量关键字和变量关键字。

1. 常量关键字

常量关键字是固定的字符串,可以分为以下几类:协议类型、传输方向和传输方向的类型等。

表1-1 常量关键字

常量关键字类型

描述

关键字

协议

捕获指定的协议报文。如果没有指明协议类型,默认捕获所有Packet Capture支持的协议

支持的协议有:ip,ipv6,arp,tcp,udp,icmp等

报文传输方向

捕获指定传输方向的报文。如果没有指定本关键字,默认报文传输方向为源或目的方向

·     src:表示源方向

·     dst:表示目的方向

·     src or dst:表示源或目的方向

报文传输方向类型

捕获指定的报文传输方向类型的报文。如果没有指定本类关键字,默认报文传输方向类型为主机

·     host:表示主机

·     net:表示网段

·     port:表示端口号

·     portrange:表示端口号范围

特殊关键字

-

·     broadcast:表示捕获广播报文

·     multicast:表示捕获组播报文、广播报文

·     less:表示小于等于

·     greater:表示大于等于

·     len:表示报文长度

·     vlan:表示捕获VLAN报文

 

2. 变量关键字

变量关键字形式固定,但内容可变。捕获过滤规则的变量关键字不可以单独使用,其前需要使用常量关键字对其进行修饰。

需要注意的是,所有的协议类型常量关键字、broadcast和multicast关键字不能对变量关键字进行修饰。其它的常量关键字不可单独使用,其后需要使用变量关键字。

表1-2 变量关键字

变量关键字类型

举例

整型

将整型用二进制、八进制、十进制或十六进制形式表示。例如:port 23,表示端口号为23

整型范围

将整型范围用二进制、八进制、十进制、十六进制形式和“-”表示。例如:portrange 100-200,表示端口号范围为100到200

IPv4地址

使用点分十进制格式表示。例如:src 1.1.1.1,表示源主机IPv4地址是1.1.1.1(在没有指定报文传输方向类型时,报文传输方向类型默认为host)

IPv6地址

使用冒号分十六进制格式表示。例如:dst host 1::1,表示报文的目的主机IPv6地址是1::1

IPv4网段

使用IPv4地址和掩码或者IPv4网络号表示。以下两种表达式等价:

·     src 1.1.1,表示源主机的IPv4网段为1.1.1

·     src net 1.1.1.0/24,表示源主机的IPv4网段为1.1.1.0/24

IPv6网段

使用IPv6地址和网络前缀表示。例如:dst net 1::/64,表示目的IPv6网段为1::/64

·     需要注意的是,指定IPv6网段变量关键字时,必须指定net常量关键字

 

1.2.2  捕获过滤操作符

1. 逻辑操作符

逻辑操作符的逻辑运算顺序为从左到右,下表为逻辑操作符的分类举例。

表1-3 逻辑操作符

逻辑操作符

描述

!或者not

非操作符。表示对捕获过滤规则取反操作

&&或者and

与操作符。表示连接多个捕获过滤规则。当此操作符连接多个过滤规则时,报文若符合此操作符连接的全部过滤规则,才会过滤成功,否则,过滤失败。

||或者or

或操作符。表示对多个捕获过滤规则进行选择。当此操作符连接多个过滤规则时,报文若不符合此操作符连接的全部过滤规则,才会过滤失败,否则,过滤成功。

 

其中非操作符优先级最高,与操作符和或操作符的优先级相同。

2. 运算操作符

表1-4 运算操作符

运算操作符

描述

+

加法运算符,用来将其两侧的值加到一起

-

减法运算符,用来将它前面的数值中减去它后面的数值

*

乘法运算符,用来将其两侧的值相乘

/

除法运算符,用来将其左边的值被右边的值除

&

按位与,用来将其两侧的数值逐位进行比较产生一个新值。对于每一位,只有两个操作数的对应位都为1时结果才为1

|

按位或,用来将其两侧的操作数逐位进行比较产生一个新值。对于每一位,如果其中任意操作数中对应的位为1,那么结果位就为1

<< 

按位左移,用来将其左侧操作数的每位向左移动,移动的位数由其右侧操作数指定

>> 

按位右移,用来将其左侧操作数的每位向右移动,移动的位数由其右侧操作数指定

[ ]

取位运算符,与协议类型关键字结合使用。例如:ip[6],表示IP报文偏移6个字节后,取得的一个字节的值

 

3. 比较操作符

下表为比较操作符的分类举例。

表1-5 比较操作符分类

比较操作符

描述

=

相等,判断两侧操作数是否相等。例如:ip[6]=0x1c,表示捕获IPv4报文数据域偏移6字节,取得的一个字节值为0x1c的报文

!=

不等,判断两侧操作数是否不等。例如:len!=60,表示捕获报文长度不等于60字节的报文

大于,判断左侧操作数大于右侧操作数。例如:len>100,表示捕获报文长度大于100字节的报文

小于,判断左侧操作数小于右侧操作数。例如:len<100,表示捕获报文长度小于100字节的报文

>=

大于等于,判断左侧操作数大于等于右侧操作数;与常量关键字greater等价。例如:len>=100,表示捕获报文长度大于等于100字节的报文

<=

小于等于,判断左侧操作数小于等于右侧操作数;与常量关键字less等价。例如:len<=100,表示捕获报文长度小于等于100字节的报文

 

1.2.3  捕获过滤表达式

捕获过滤表达式由关键字、逻辑操作符、运算操作符和比较操作符之间的多种组合而成。以下为典型捕获过滤表达式:

1. 逻辑操作符表达式

由关键字和逻辑运算符组合的捕获过滤表达式。例如:not port 23 and not port 22,表示捕获端口号既不是23,又不是22的报文;port 23 or icmp,表示捕获端口号是23或icmp协议的报文。

由逻辑操作符连接的多个变量关键字,可以使用同一个常量关键字进行修饰(就近原则),例如:src 192.168.56.1 or 192.168.27,表示捕获的源IPv4地址为192.168.56.1或者源IPv4网段为192.168.27的报文。上述表达式与“src 192.168.56.1 or src 192.168.27”等价。

2. expr relop expr表达式

由关键字、运算操作符和比较操作符组合的捕获过滤表达式。其中,expr是算术表达式;relop为比较操作符。例如:len+100>=200,表示捕获长度大于等于100字节的报文。

3. proto [ expr:size ]表达式

由协议类型关键字和运算操作符“[ ]”组合的捕获过滤表达式。其中,proto表示协议类型,expr为算术表达式,表示偏移量,size为整数,表示字节个数,缺省值为1。proto [ expr:size ]的返回值为从proto协议报文数据区域起始位置,偏移expr个字节开始,取size个字节的数据。例如: ip[0]&0xf != 5,表示捕获第一个字节与0x0f按位相与得到的值不是5的IP报文。

expr:size也可以使用名字表示。例如:icmptype表示ICMP报文的类型域,则表达式:icmp[icmptype]=0x08,表示捕获icmp的type字段的值为0x08的报文。

4. vlan vlan_id表达式

由关键字vlan,逻辑操作符等组合的捕获过滤表达式。其中,vlan_id为整型,表示VLAN编号。例如,vlan 1 and ip6,表示捕获VLAN编号为1的IPv6报文。

需要注意的是:

·     如果用户需要对带VLAN的报文进行捕获过滤,必须使用此类捕获过滤表达式且关键字vlan要在其它捕获过滤条件之前指定,否则不能正常过滤。例如:icmp,表示捕获不带vlan的icmp报文。

·     如果捕获过滤规则之前没有指定vlan,则认为这些捕获过滤规则只对不带vlan的报文进行捕获过滤,即对带vlan的报文不捕获。例如:

¡     !tcp and vlan 1:表示捕获不带vlan标记的tcp报文以外的且属于vlan 1的报文。

¡     icmp and vlan 1:icmp表示捕获不带vlan标记的icmp协议报文,而vlan 1表示捕获vlan标记为1的报文,所以该捕获过滤表达式前后矛盾,因此不会收到任何报文,对于此类捕获过滤规则,只要没有语法错误,命令行均会下发成功,用户需要自己保证逻辑的正确性。

1.3  Packet Capture显示过滤规则

Packet Capture可以使用显示过滤表达式指定显示过滤规则,对捕获到的报文进行显示过滤。当进行显示过滤时,所有报文仍然保存在捕获报文文件中;显示过滤只是将符合显示过滤条件的报文显示出来,不会改变文件的内容。显示过滤规则由关键字,显示过滤操作符等组合而成,有关Packet Capture更多规则的详细介绍,请参见网址:http://wiki.wireshark.org/DisplayFilters

1.3.1  关键字

显示过滤关键字主要分为两类:

·     协议类型

支持的协议包括:eth,ip,ipv6,tcp,udp,icmp,http,ftp,telnet等。例如:ftp,表示显示所有ftp协议的报文信息。

·     报文字段

指定报文的特定字段。使用点“.”表示包含关系。例如:tcp.flags.syn,表示tcp协议报文flags字段中的syn位。例如:tcp.port,表示tcp协议的port字段。

报文的各个字段具有不同的类型。字段类型如表1-6所示:

表1-6 显示过滤字段类型

字段类型

举例

整型

将整型字段值用二进制、八进制、十进制、十六进制形式表示。以下几种表达方式等价:

·     ip.len le 1500

·     ip.len le 02734

·     ip.len le 0x436

表示显示IP报文长度小于等于1500字节的报文信息

布尔变量

不使用其它操作符,单独使用报文字段,则默认指定字段的类型为布尔类型。例如: tcp.flags.syn,表示如果捕获到的报文存在tcp.flags.syn字段,则表达式的值为真,显示过滤成功;否则为假,显示过滤失败

MAC地址(6字节)

MAC地址使用以下三种分隔符表示:分号“:”、点“.”或者破折号“-”;分隔符可以在两个或者四个字节间使用。以下几种方式等价:

·     eth.dst==ff:ff:ff:ff:ff:ff

·     eth.dst==ff-ff-ff-ff-ff-ff

·     eth.dst ==ffff.ffff.ffff

以上的显示过滤表达式表示显示目的MAC地址为ffff.ffff.ffff的报文信息

IPv4地址

IPv4地址使用点分十进制格式表示。例如:

·     ip.addr==192.168.0.1,表示显示源或者目的IP地址为192.168.0.1的报文信息

·     ip.addr==129.111.0.0/16,表示显示源或者目的IP地址属于129.111网段的报文信息

IPv6地址

IPv6地址使用冒号分十六进制格式表示。例如:

·     ipv6.addr==1::1表示显示源或者目的IPv6地址为1::1的报文信息

·     ipv6.addr==1::/64表示显示源或者目的IPv6地址属于1::/64网段的报文信息

字符串

一些报文字段类型为字符串。例如,http.request version=="HTTP/1.1"表示显示http报文的request version字段为字符串HTTP/1.1的报文信息,双引号表示报文字段内容为字符串

 

1.3.2  显示过滤操作符

1. 逻辑操作符

逻辑操作符的逻辑运算顺序为从左到右,下表为逻辑操作符的分类举例:

表1-7 显示过滤逻辑操作符

英文

描述和举例

!或not

非操作符。表示对显示过滤规则取反操作

&&或and

与操作符。表示连接多个显示过滤规则

||或or

或操作符。表示对多个显示过滤规则进行选择

[ ]

括号操作符。与协议名称组合使用,详细介绍请参见“1.3.3  4. proto[…]表达式

 

优先级从高到低依次为:括号操作符、非操作符、与操作符和或操作符,其中与操作符和或操作符的优先级相同。

2. 比较操作符

下表对比较操作符进行分类举例:

表1-8 显示过滤比较操作符

分类

描述和举例

eq或==

相等,判断两侧操作数是否相等。例如:ip.src==10.0.0.5,表示显示源IP地址为10.0.0.5的报文信息

ne或!=

不等,判断两侧操作数是否不等。例如:ip.src!=10.0.0.5,表示显示源IP地址不是10.0.0.5的报文信息

gt或>

大于,判断左侧操作数大于右侧操作数。例如: frame.len>100,表示显示捕获的帧长度大于100字节的帧信息

lt或<

小于,判断左侧操作数小于右侧操作数。例如:frame.len<100,表示显示捕获的帧长度小于100字节的帧信息

ge 或>=

大于等于,判断左侧操作数大于等于右侧操作数。例如:frame.len ge 0x100,表示显示捕获的帧长度大于等于256字节的帧信息

le或<=

小于等于,判断左侧操作数小于等于右侧操作数。例如:frame.len le 0x100表示显示捕获的帧长度小于等于256字节的帧信息

 

1.3.3  显示过滤表达式

显示过滤表达式由协议和报文字段、显示过滤操作符之间的多种组合而成。以下为典型的显示过滤表达式:

1. 逻辑操作符表达式

由关键字和逻辑运算符组合的显示过滤表达式。例如:ftp or icmp,表示显示所有ftp协议和icmp协议报文信息。

2. 比较操作符表达式

由关键字和比较运算符组合的显示过滤表达式。例如:ip.len<=28,表示显示所有IP报文的长度字段小于等于28字节的IP报文。

3. 报文字段表达式

只由报文字段组成的显示过滤表达式,作用是显示存在某一具体字段的报文信息。例如:tcp.flags.syn,表示显示所有存在tcp.flags.syn位的报文。

4. proto[…]表达式

由协议类型和运算操作符“[ ]“组合的显示过滤表达式,proto[…]的类型为十六进制整型,其中,proto表示协议类型、字段。括号操作符内容有以下两种表达方式:

·     [n:m],n表示偏移位置,m表示指定的字节数;表示从偏移n个字节位置开始取后面m个字节数据。例如:eth.src[0:3]==00:00:83,表示源MAC地址的前三个字节分别为0x00、0x00、0x83。

·     [n-m],n表示偏移起始位置,m表示偏移结束位置;表示从偏移n个字节位置取到第m个字节位置,共取m-n+1个字节数据。例如:eth.src[1-2]==00:83,表示MAC地址的第二个字节和第三个字节分别为0x00、0x83。

·     [n],与[n:1]等价,表示取偏移n个字节位置的一个字节数据。例如:eth.src[2] == 83,表示MAC地址的第三个字节为0x83。

1.4  Packet Capture配置任务简介

表1-9 Packet Capture配置任务简介

配置任务

说明

详细配置

配置AP Radio本地报文捕获

二者必选其一

1.5 

配置AP Radio远程报文捕获

1.6 

 

1.5  配置AP Radio本地报文捕获

用户可以通过本配置将射频接口捕获的报文保存到FTP服务器上,通过使用第三方软件Wireshark连接到FTP服务器对保存的报文文件进行解析。

表1-10 配置AP Radio本地报文捕获并将捕获的报文保存到FTP服务器

操作

命令

说明

配置AP Radio本地报文捕获并将捕获的报文保存到FTP服务器

packet-capture local ap ap-name radio radio-id [ capture-filter capt-expression | limit-frame-size bytes | autostop filesize kilobytes | autostop duration seconds ] * write url url [ username username [ password { cipher | simple } key ] ]

配置本命令后,不会阻断当前控制台的输入,用户可以输入其它命令对设备进行操作

若用户想退出报文捕获,则需要输入packet-capture stop命令停止报文捕获

 

1.6  配置AP Radio远程报文捕获

远程报文捕获需要在设备上开启远程报文捕获功能,然后将第三方软件与设备建立连接,将捕获的报文上送到第三方软件显示。

表1-11 配置AP Radio远程报文捕获

操作

命令

说明

配置AP Radio远程报文捕获

packet-capture remote ap ap-name radio radio-id [ port port ]

若退出报文捕获,需要输入命令packet-capture stop

 

在设备上开启远程报文捕获后,需要使用Wireshark客户端连接到开启捕获的设备(若开启AP上的远程捕获,则需要连接到开启报文捕获的AP上)上,获取捕获的报文进行分析。

第三方软件Wireshark客户端上的操作步骤如下:

(1)     打开Wireshark软件,选择“Capture > Options”。

(2)     选择“Interface > Remote”。

(3)     输入开启报文捕获的AP的IP地址(和Wireshark软件路由可达的接口IP地址)和绑定的端口号。

(4)     点击<OK>按钮,再点击<Start>按钮启动捕获。

图1-1 Wireshark操作步骤图

 

1.7  Packet Capture显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后的报文捕获状态信息。

表1-12 Packet Capture显示和维护

操作

命令

显示报文捕获状态

display packet-capture status

 

1.8  Packet Capture典型配置举例

1.8.1  本地报文捕获配置举例

1. 组网需求

·     在AP的Radio 1上开启本地报文捕获功能,要求捕获1KB的协议类型为TCP,且报文的源IP地址为192.168.20.173的报文。

·     Switch做为FTP服务器,保存AP上送的报文。

2. 组网图

图1-2 本地报文捕获组网图

 

3. 配置步骤

(1)     配置Switch

# 在Switch上添加一个FTP用户abc,并设置其认证密码为123456,访问时使用的用户角色为network-admin,授权访问目录为Cfa0的根目录,可以使用的服务类型为FTP。

<Switch> system-view

[Switch] local-user abc class manage

[Switch-luser-abc] password simple 123456

[Switch-luser-abc] authorization-attribute user-role network-admin work-directory cfa0:/

[Switch-luser-abc] service-type ftp

[Switch-luser-abc] quit

# 启动Switch的FTP服务功能。

[Switch] ftp server enable

[Switch] quit

(2)     配置本地报文捕获功能

# 在AC上开启AP的Radio 1上的本地报文捕获功能,指定过滤字符串为"src 192.168.20.173 and tcp",将捕获的报文上送到IP地址为10.1.1.1的FTP服务器上,保存文件名为abc.pcap,FTP用户名为abc,密码为123456,当捕获的报文文件大小达到1KB,退出捕获过程。

<AC> packet-capture local ap ap1 radio 1 autostop filesize 1 capture-filter "src 192.168.20.173 and tcp" write url ftp://10.1.1.1/abc.pcap username abc password simple 123456

4. 验证配置

通过display packet-capture status命令可以查看当前报文捕获的状态,在PC上使用wireshark软件与FTP服务器建立连接,可以解析报文文件。

1.8.2  远程报文捕获配置举例

1. 组网需求

在AP的Radio 1上开启远程报文捕获功能,将捕获的报文上送到Wireshark软件上解析。

2. 组网图

图1-3 远程报文捕获组网图

 

3. 配置步骤

(1)     开启AP设备的Radio 1射频上的远程报文捕获功能

# 开启AP设备的Radio 1射频上的远程报文捕获功能,指定RPCAP服务端口号为2014。

<AC> packet-capture remote ap ap1 radio 1 port 2014

(2)     在PC上打开Wireshark软件,菜单栏选择Capture,在弹出的下拉菜单中选择Options,弹出Capture Options对话框后,选择remote捕获方式,输入捕获地址10.1.1.1和端口号2014,点击“OK”按钮,再点击“Start”按钮,此时在弹出的报文捕获窗口会看到捕获的报文。

图1-4 Wireshark软件报文捕获窗口

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们