14-Packet Capture配置
本章节下载: 14-Packet Capture配置 (202.51 KB)
目 录
Packet Capture是一种报文捕获及分析特性。使用该特性能够捕获设备接口的入方向报文,并将这些报文信息直接在用户的登录终端上显示或者存储为pcap格式的文件,方便用户后续查看。使用该特性还可以解析pcap或pcapng报文文件。
Packet Capture可以使用过滤表达式指定过滤规则,对需要捕获、显示的报文进行过滤,仅捕获、显示用户关心的报文。
过滤规则由关键字和操作符组合而成:
· 关键字又分为:
¡ 常量关键字:该类关键字为固定的字符串。使用时,用户需完整输入该关键字。
¡ 变量关键字:该类关键字形式固定,但内容可变。用户可自定义该关键字的取值。
· 操作符分为逻辑操作符、运算操作符和比较操作符。
关于捕获过滤规则的详细介绍请参见网页:http://wiki.wireshark.org/CaptureFilters。
关于显示过滤规则的详细介绍请参见网页:http://wiki.wireshark.org/DisplayFilters。
表1-1 常量关键字
常量关键字类型 |
描述 |
关键字 |
协议 |
捕获指定协议的报文 如果没有指明协议类型,则捕获Packet Capture支持的所有协议的报文 |
支持的协议有:arp、icmp、ip、ipv6、tcp、udp等 |
报文传输方向 |
捕获指定传输方向的报文 如果没有指定本关键字,缺省报文传输方向为源或目的方向。比如port 23等价于src or dst port 23 |
· src:表示源方向 · dst:表示目的方向 · src or dst:表示源或目的方向 |
报文传输方向类型 |
捕获指定的报文传输方向类型的报文 如果没有指定本类关键字,缺省报文传输方向类型为主机。比如src 2.2.2.2 等价于src host 2.2.2.2 |
· host:表示主机 · net:表示网段 · port:表示端口号 · portrange:表示端口号范围 |
特殊关键字 |
- |
· broadcast:表示捕获广播报文 · multicast:表示捕获组播报文、广播报文 · less:表示小于等于 · greater:表示大于等于 · len:表示报文长度 · vlan:表示捕获VLAN报文 |
捕获过滤规则的变量关键字不可以单独使用,其前需要使用常量关键字对其进行修饰。
协议类型常量关键字、broadcast和multicast关键字不能对变量关键字进行修饰。其它的常量关键字不可单独使用,其后需要使用变量关键字。
表1-2 变量关键字
变量关键字类型 |
举例 |
整型 |
使用二进制、八进制、十进制或十六进制形式表示。例如:port 23,表示端口号为23 |
整型范围 |
使用二进制、八进制、十进制、十六进制形式和“-”表示。例如:portrange 100-200,表示端口号范围为100到200 |
IPv4地址 |
使用点分十进制格式表示。例如:src 1.1.1.1,表示源主机IPv4地址是1.1.1.1 |
IPv6地址 |
使用冒号分十六进制格式表示。例如:dst host 1::1,表示报文的目的主机IPv6地址是1::1 |
IPv4网段 |
使用IPv4地址和掩码或者IPv4网络号表示。以下两种表达式等价: · src 1.1.1,表示源主机的IPv4网段为1.1.1 · src net 1.1.1.0/24,表示源主机的IPv4网段为1.1.1.0/24 |
IPv6网段 |
使用IPv6地址和网络前缀表示。例如:dst net 1::/64,表示目的IPv6网段为1::/64 需要注意的是,指定IPv6网段变量关键字时,必须指定net常量关键字 |
逻辑操作符的逻辑运算顺序为从左到右,其中非操作符优先级最高,与操作符和或操作符的优先级相同。
表1-3 逻辑操作符
逻辑操作符 |
描述 |
!或者not |
非操作符。表示对捕获过滤规则取反操作 |
&&或者and |
与操作符。表示连接多个捕获过滤规则。当此操作符连接多个过滤规则时,报文符合此操作符连接的全部过滤规则,才会过滤成功,否则,过滤失败 |
||或者or |
或操作符。表示对多个捕获过滤规则进行选择,只要满足一个过滤规则,则过滤成功,否则,过滤失败 |
表1-4 运算操作符
运算操作符 |
描述 |
+ |
加法运算符,用来将其两侧的值加到一起 |
- |
减法运算符,用来将它前面的数值减去它后面的数值 |
* |
乘法运算符,用来将其两侧的值相乘 |
/ |
除法运算符,用来将其左边的值被右边的值 |
& |
按位与,用来将其两侧的数值逐位进行比较产生一个新值。对于每一位,只有两个操作数的对应位都为1时结果才为1 |
| |
按位或,用来将其两侧的操作数逐位进行比较产生一个新值。对于每一位,如果其中任意操作数中对应的位为1,那么结果位就为1 |
<< |
按位左移,用来将其左侧操作数的每位向左移动,移动的位数由其右侧操作数指定 |
>> |
按位右移,用来将其左侧操作数的每位向右移动,移动的位数由其右侧操作数指定 |
[ ] |
取位运算符,与协议类型关键字结合使用。例如:ip[6],表示IP报文偏移6个字节后,取得的一个字节的值 |
表1-5 比较操作符分类
比较操作符 |
描述 |
= |
相等,判断两侧操作数是否相等。例如:ip[6]=0x1c,表示捕获IPv4报文数据域偏移6字节,取得的一个字节值为0x1c的报文 |
!= |
不等,判断两侧操作数是否不等。例如:len!=60,表示捕获报文长度不等于60字节的报文 |
> |
大于,判断左侧操作数大于右侧操作数。例如:len>100,表示捕获报文长度大于100字节的报文 |
< |
小于,判断左侧操作数小于右侧操作数。例如:len<100,表示捕获报文长度小于100字节的报文 |
>= |
大于等于,判断左侧操作数大于等于右侧操作数;与常量关键字greater等价。例如:len>=100,表示捕获报文长度大于等于100字节的报文 |
<= |
小于等于,判断左侧操作数小于等于右侧操作数;与常量关键字less等价。例如:len<=100,表示捕获报文长度小于等于100字节的报文 |
由关键字和逻辑运算符组合的捕获过滤表达式。例如:not port 23 and not port 22,表示捕获端口号既不是23,又不是22的报文;port 23 or icmp,表示捕获端口号是23或ICMP协议的报文。
由逻辑操作符连接的多个变量关键字,可以使用同一个常量关键字进行修饰(就近原则),例如:src 192.168.56.1 or 192.168.27,表示捕获的源IPv4地址为192.168.56.1或者源IPv4网段为192.168.27的报文。上述表达式与“src 192.168.56.1 or src 192.168.27”等价。
由关键字、运算操作符和比较操作符组合的捕获过滤表达式。其中,expr是算术表达式;relop为比较操作符。例如:len+100>=200,表示捕获长度大于等于100字节的报文。
由协议类型关键字和运算操作符“[ ]”组合的捕获过滤表达式。其中,proto表示协议类型,expr为算术表达式,表示偏移量,size为整数,表示字节个数,缺省值为1。proto [ expr:size ]的返回值为从proto协议报文数据区域起始位置,偏移expr个字节开始,取size个字节的数据。例如: ip[0]&0xf != 5,表示捕获第一个字节与0x0f按位相与得到的值不是5的IP报文。
expr:size也可以使用表达式的名称表示。例如:icmptype表示ICMP报文的类型域,则表达式:icmp [icmptype]=0x08,表示捕获icmp的type字段的值为0x08的报文。
由关键字vlan、逻辑操作符等组合的捕获过滤表达式。其中,vlan_id为整型,表示VLAN编号。例如,vlan 1 and ip4,表示捕获VLAN编号为1的IPv4报文。
需要注意的是:
· 对于带VLAN tag且接口允许通过的报文,必须使用此类捕获过滤表达式且关键字vlan要在其它捕获过滤条件之前指定,否则不能正常过滤。例如:vlan 3 and src 192.168.1.10 and dst 192.168.1.1,表示捕获VLAN 3内、192.168.1.10发往192.168.1.1的报文。
· 对于接口收到的不带VLAN tag的报文,设备会在报文头中添加VLAN tag,为了捕获该类报文,必须在捕获过滤规则中设置过滤条件为“vlan xx”。对于三层报文,xx为报文出接口的缺省VLAN ID;对于二层报文,xx为入接口的缺省VLAN ID。
当进行显示过滤时,所有报文仍然保存在捕获报文文件中;显示过滤只是将符合显示过滤条件的报文显示出来,不会改变文件的内容。
表1-6 常量关键字
常量关键字类型 |
描述 |
关键字 |
协议 |
显示指定协议的报文 如果没有指明协议类型,则显示捕获的所有协议的报文 |
支持的协议有:eth、ip、ipv6、tcp、udp、icmp、http、ftp、telnet等 |
报文字段 |
指定报文的特定字段 使用点“.”表示包含关系,格式为:protocol.field[.level1-subfield]…[.leveln-subfield] |
例如: · tcp.flags.syn表示tcp协议报文flags字段中的syn位 · tcp.port表示tcp协议的port字段 |
报文字段的取值为变量关键字。报文的各个字段具有不同的类型,如表1-7所示。
字段类型 |
举例 |
整型 |
将整型字段值用二进制、八进制、十进制、十六进制形式表示。以下几种表达方式等价: · ip.len le 1500 · ip.len le 02734 · ip.len le 0x436 表示显示IP报文长度小于等于1500字节的报文信息 |
布尔变量 |
不使用其它操作符,单独使用报文字段,则默认指定字段的类型为布尔类型。例如: tcp.flags.syn,表示如果捕获到的报文存在tcp.flags.syn字段,则表达式的值为真,显示过滤成功;否则为假,显示过滤失败 |
MAC地址(6字节) |
MAC地址使用以下三种分隔符表示:分号“:”、点“.”或者破折号“-”;分隔符可以在两个或者四个字节间使用。以下几种方式等价: · eth.dst==ff:ff:ff:ff:ff:ff · eth.dst==ff-ff-ff-ff-ff-ff · eth.dst ==ffff.ffff.ffff 以上的显示过滤表达式表示显示目的MAC地址为ffff.ffff.ffff的报文信息 |
IPv4地址 |
IPv4地址使用点分十进制格式表示。例如: · ip.addr==192.168.0.1,表示显示源或者目的IP地址为192.168.0.1的报文信息 · ip.addr==129.111.0.0/16,表示显示源或者目的IP地址属于129.111网段的报文信息 |
IPv6地址 |
IPv6地址使用冒号分十六进制格式表示。例如: · ipv6.addr==1::1表示显示源或者目的IPv6地址为1::1的报文信息 · ipv6.addr==1::/64表示显示源或者目的IPv6地址属于1::/64网段的报文信息 |
字符串 |
一些报文字段类型为字符串。例如,http.request version=="HTTP/1.1"表示显示http报文的request version字段为字符串HTTP/1.1的报文信息,双引号表示报文字段内容为字符串 |
逻辑操作符的逻辑运算顺序为从左到右。优先级从高到低依次为:括号操作符、非操作符、与操作符和或操作符,其中与操作符和或操作符的优先级相同。
表1-8 显示过滤逻辑操作符
英文 |
描述和举例 |
!或not |
非操作符。表示对显示过滤规则取反操作 |
&&或and |
与操作符。表示连接多个显示过滤规则 |
||或or |
或操作符。表示对多个显示过滤规则进行选择 |
[ ] |
括号操作符。与协议名称组合使用,详细介绍请参见“1.3.3 4. proto[…]表达式” |
表1-9 显示过滤比较操作符
分类 |
描述和举例 |
eq或== |
相等,判断两侧操作数是否相等。例如:ip.src==10.0.0.5,表示显示源IP地址为10.0.0.5的报文信息 |
ne或!= |
不等,判断两侧操作数是否不等。例如:ip.src!=10.0.0.5,表示显示源IP地址不是10.0.0.5的报文信息 |
gt或> |
大于,判断左侧操作数大于右侧操作数。例如:frame.len>100,表示显示捕获的帧长度大于100字节的帧信息 |
lt或< |
小于,判断左侧操作数小于右侧操作数。例如:frame.len<100,表示显示捕获的帧长度小于100字节的帧信息 |
ge 或>= |
大于等于,判断左侧操作数大于等于右侧操作数。例如:frame.len ge 0x100,表示显示捕获的帧长度大于等于256字节的帧信息 |
le或<= |
小于等于,判断左侧操作数小于等于右侧操作数。例如:frame.len le 0x100表示显示捕获的帧长度小于等于256字节的帧信息 |
由关键字和逻辑运算符组合的显示过滤表达式。例如:ftp or icmp,表示显示所有ftp协议和icmp协议报文信息。
由关键字和比较运算符组合的显示过滤表达式。例如:ip.len<=28,表示显示所有IP报文的长度字段小于等于28字节的IP报文。
只由报文字段组成的显示过滤表达式,作用是显示存在某一具体字段的报文信息。例如:tcp.flags.syn,表示显示所有存在tcp.flags.syn位的报文。
由协议类型和运算操作符“[ ]”组合的显示过滤表达式,proto[…]的类型为十六进制整型,其中,proto表示协议类型、字段。括号操作符内容有以下两种表达方式:
· [n:m],n表示偏移位置,m表示指定的字节数;表示从偏移n个字节位置开始取后面m个字节数据。例如:eth.src[0:3]==00:00:83,表示源MAC地址的前三个字节分别为0x00、0x00、0x83。
· [n-m],n表示偏移起始位置,m表示偏移结束位置;表示从偏移n个字节位置取到第m个字节位置,共取m-n+1个字节数据。例如:eth.src[1-2]==00:83,表示MAC地址的第二个字节和第三个字节分别为0x00、0x83。
· [n],与[n:1]等价,表示取偏移n个字节位置的一个字节数据。例如:eth.src[2]==83,表示MAC地址的第三个字节为0x83。
(1) 使用boot-loader或install命令安装Packet Capture特性软件包。关于boot-loader和install命令的详细介绍请参见“基础配置命令参考”中的“软件升级”。
(2) 重新登录设备。
在使用本功能的过程中,会阻断当前配置终端的输入,用户不能输入其它命令对设备进行操作,只有当报文捕获/显示结束时,配置终端才能输入其它命令。在大流量背景下退出捕获报文,可能会有延时。
请在用户视图执行以下命令,配置报文捕获并将捕获的报文保存到本地。
packet-capture interface interface-type interface-number [ capture-filter capt-expression | limit-captured-frames limit | limit-frame-size bytes | autostop filesize kilobytes | autostop duration seconds | autostop files numbers | capture-ring-buffer filesize kilobytes | capture-ring-buffer duration seconds | capture-ring-buffer files numbers ] * write filepath [ raw | { brief | verbose } ] *
请在用户视图执行以下命令,配置报文捕获并将捕获的报文显示到登录终端。
packet-capture interface interface-type interface-number [ capture-filter capt-expression | display-filter disp-expression | limit-captured-frames limit | limit-frame-size bytes | autostop duration seconds ] * [ raw | { brief | verbose } ] *
在配置报文捕获时,用户可通过参数来实现自动停止报文捕获。在报文捕获过程中,使用本功能可手工停止报文捕获。
执行快捷键<Ctrl+C>,可结束报文捕获。
用户将捕获的报文保存到报文文件后,可以:
· 将文件上传到FTP/TFTP服务器,再通过第三方软件Wireshark解析并显示报文文件的内容。
· 使用packet-capture read命令,在设备本地解析并显示报文文件的内容。
使用快捷键<Ctrl+C>可停止解析/显示本地报文文件。
请在用户视图执行以下命令,解析并显示本地报文文件。
packet-capture read filepath [ display-filter disp-expression ] [ raw | { brief | verbose } ] *
在设备的二层接口GigabitEthernet1/0/1上开启报文捕获功能。需要捕获接口GigabitEthernet1/0/1入方向上的、VLAN 3的、192.168.1.10到192.168.1.1以及192.168.1.11到192.168.1.1的所有软件转发报文和硬件转发报文。
(1) 安装Packet Capture特性软件包,以便用户可以配置报文捕获功能
# 查看设备的版本信息,准备和设备当前运行的Boot包、System包兼容的Packet Capture特性软件包。
<Device> display version
H3C Comware Software, Version 7.1.070, Demo 01
Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.
H3C XXX uptime is 0 weeks, 0 days, 5 hours, 33 minutes
Last reboot reason : Cold reboot
Boot image: flash:/boot-01.bin
Boot image version: 7.1.070, Demo 01
Compiled Oct 20 2016 16:00:00
System image: flash:/system-01.bin
System image version: 7.1.070, Demo 01
Compiled Oct 20 2016 16:00:00
其它显示信息略……。
# 从IP地址为192.168.1.1的TFTP服务器上下载Packet Capture特性软件包packet-capture-01.bin。
<Device> tftp 192.168.1.1 get packet-capture-01.bin
Press CTRL+C to abort.
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 11.3M 0 11.3M 0 0 155k 0 --:--:-- 0:01:14 --:--:-- 194k
Writing file...Done.
# 给IRF中的所有成员设备(此处以slot 1和slot 2为例)都安装Packet Capture特性软件包,并让该软件包在设备重启后能够继续生效。
<Device> install activate feature flash:/packet-capture-01.bin slot 1
Verifying the file flash:/packet-capture-01.bin on slot 1....Done.
Identifying the upgrade methods....Done.
Upgrade summary according to following table:
flash:/packet-capture-01.bin
Running Version New Version
None Demo 01
Slot Upgrade Way
1 Service Upgrade
Upgrading software images to compatible versions. Continue? [Y/N]:y
This operation might take several minutes, please wait....................Done.
<Device> install activate feature flash:/packet-capture-01.bin slot 2
Verifying the file flash:/packet-capture-01.bin on slot 2....Done.
Identifying the upgrade methods....Done.
Upgrade summary according to following table:
flash:/packet-capture-01.bin
Running Version New Version
None Demo 01
Slot Upgrade Way
2 Service Upgrade
Upgrading software images to compatible versions. Continue? [Y/N]:y
This operation might take several minutes, please wait....................Done.
<Device> install commit
This operation will take several minutes, please wait.......................Done.
# 重新登录设备,以便用户能够执行packet-capture interface和packet-capture read命令行。
(2) 在接口GigabitEthernet1/0/1的入方向上应用QoS策略,用来限制只捕获192.168.1.10到192.168.1.1、192.168.1.11到192.168.1.1的硬件转发报文。(二层接口上的大部分流量为硬件转发报文,对于硬件报文,需要镜像到CPU才能捕获;对于软件转发报文,不需要配置QoS策略,直接开启报文捕获功能即可)
# 创建IPv4高级ACL 3000,用来匹配192.168.1.10到192.168.1.1、192.168.1.11到192.168.1.1的报文。
<Device> system-view
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.1.10 0 destination 192.168.1.1 0
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.1.11 0 destination 192.168.1.1 0
[Device-acl-ipv4-adv-3000] quit
# 定义流行为behavior1,配置流量镜向到CPU。
[Device] traffic behavior behavior1
[Device-behavior-behavior1] mirror-to cpu
[Device-behavior-behavior1] quit
# 定义类classifier1,匹配ACL3000。
[Device] traffic classifier classifier1
[Device-classifier-class1] if-match acl 3000
[Device-classifier-class1] quit
# 定义一个名为user1的策略,并在策略user1中为类classifier1指定采用流行为behavior1。
[Device] qos policy user1
[Device-qospolicy-user1] classifier classifier1 behavior behavior1
[Device-qospolicy-user1] quit
# 将策略user1应用到接口GigabitEthernet1/0/1的入方向上。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] qos apply policy user1 inbound
[Device-GigabitEthernet1/0/1] quit
[Device] quit
(3) 开启报文捕获功能
# 开启GigabitEthernet1/0/1接口上的报文捕获功能,指定捕获报文个数上限为10,指定捕获的报文存入文件a.pcap。在192.168.1.10上使用Telnet方式登录192.168.1.1,创造报文捕获条件。
<Device> packet-capture interface gigabitethernet 1/0/1 capture-filter "vlan 3 and src 192.168.1.10 or 192.168.1.11 and dst 192.168.1.1" limit-captured-frames 10 write flash:/a.pcap
Capturing on 'GigabitEthernet1/0/1'
10
# 在设备上解析报文文件flash:/a.pcap。
<Device> packet-capture read flash:/a.pcap
1 0.000000 192.168.1.10 -> 192.168.1.1 TCP 62 6325 > telnet [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1
2 0.000061 192.168.1.10 -> 192.168.1.1 TCP 60 6325 > telnet [ACK] Seq=1 Ack=1 Win=65535 Len=0
3 0.024370 192.168.1.10 -> 192.168.1.1 TELNET 60 Telnet Data ...
4 0.024449 192.168.1.10 -> 192.168.1.1 TELNET 78 Telnet Data ...
5 0.025766 192.168.1.10 -> 192.168.1.1 TELNET 65 Telnet Data ...
6 0.035096 192.168.1.10 -> 192.168.1.1 TELNET 60 Telnet Data ...
7 0.047317 192.168.1.10 -> 192.168.1.1 TCP 60 6325 > telnet [ACK] Seq=42 Ack=434 Win=65102 Len=0
8 0.050994 192.168.1.10 -> 192.168.1.1 TCP 60 6325 > telnet [ACK] Seq=42 Ack=436 Win=65100 Len=0
9 0.052401 192.168.1.10 -> 192.168.1.1 TCP 60 6325 > telnet [ACK] Seq=42 Ack=438 Win=65098 Len=0
10 0.057736 192.168.1.10 -> 192.168.1.1 TCP 60 6325 > telnet [ACK] Seq=42 Ack=440 Win=65096 Len=0
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!