• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

10-网络管理和监控配置指导

目录

14-Packet Capture配置

本章节下载 14-Packet Capture配置  (202.51 KB)

14-Packet Capture配置


1 Packet Capture

1.1  Packet Capture简介

Packet Capture是一种报文捕获及分析特性。使用该特性能够捕获设备接口的入方向报文,并将这些报文信息直接在用户的登录终端上显示或者存储为pcap格式的文件,方便用户后续查看。使用该特性还可以解析pcap或pcapng报文文件。

1.2  构建捕获过滤规则

1.2.1  过滤规则的构成

Packet Capture可以使用过滤表达式指定过滤规则,对需要捕获、显示的报文进行过滤,仅捕获、显示用户关心的报文。

过滤规则由关键字和操作符组合而成:

·              关键字又分为:

¡  常量关键字:该类关键字为固定的字符串。使用时,用户需完整输入该关键字。

¡  变量关键字:该类关键字形式固定,但内容可变。用户可自定义该关键字的取值。

·              操作符分为逻辑操作符、运算操作符和比较操作符。

关于捕获过滤规则的详细介绍请参见网页:http://wiki.wireshark.org/CaptureFilters。

关于显示过滤规则的详细介绍请参见网页:http://wiki.wireshark.org/DisplayFilters。

1.2.2  捕获过滤规则关键字

1. 常量关键字

表1-1 常量关键字

常量关键字类型

描述

关键字

协议

捕获指定协议的报文

如果没有指明协议类型,则捕获Packet Capture支持的所有协议的报文

支持的协议有:arp、icmp、ip、ipv6、tcp、udp等

报文传输方向

捕获指定传输方向的报文

如果没有指定本关键字,缺省报文传输方向为源或目的方向。比如port 23等价于src or dst port 23

·          src:表示源方向

·          dst:表示目的方向

·          src or dst:表示源或目的方向

报文传输方向类型

捕获指定的报文传输方向类型的报文

如果没有指定本类关键字,缺省报文传输方向类型为主机。比如src 2.2.2.2 等价于src host 2.2.2.2

·          host:表示主机

·          net:表示网段

·          port:表示端口号

·          portrange:表示端口号范围

特殊关键字

-

·          broadcast:表示捕获广播报文

·          multicast:表示捕获组播报文、广播报文

·          less:表示小于等于

·          greater:表示大于等于

·          len:表示报文长度

·          vlan:表示捕获VLAN报文

 

2. 变量关键字

捕获过滤规则的变量关键字不可以单独使用,其前需要使用常量关键字对其进行修饰。

协议类型常量关键字、broadcast和multicast关键字不能对变量关键字进行修饰。其它的常量关键字不可单独使用,其后需要使用变量关键字。

表1-2 变量关键字

变量关键字类型

举例

整型

使用二进制、八进制、十进制或十六进制形式表示。例如:port 23,表示端口号为23

整型范围

使用二进制、八进制、十进制、十六进制形式和“-”表示。例如:portrange 100-200,表示端口号范围为100到200

IPv4地址

使用点分十进制格式表示。例如:src 1.1.1.1,表示源主机IPv4地址是1.1.1.1

IPv6地址

使用冒号分十六进制格式表示。例如:dst host 1::1,表示报文的目的主机IPv6地址是1::1

IPv4网段

使用IPv4地址和掩码或者IPv4网络号表示。以下两种表达式等价:

·          src 1.1.1,表示源主机的IPv4网段为1.1.1

·          src net 1.1.1.0/24,表示源主机的IPv4网段为1.1.1.0/24

IPv6网段

使用IPv6地址和网络前缀表示。例如:dst net 1::/64,表示目的IPv6网段为1::/64

需要注意的是,指定IPv6网段变量关键字时,必须指定net常量关键字

 

1.2.3  捕获过滤规则操作符

1. 逻辑操作符

逻辑操作符的逻辑运算顺序为从左到右,其中非操作符优先级最高,与操作符和或操作符的优先级相同。

表1-3 逻辑操作符

逻辑操作符

描述

!或者not

非操作符。表示对捕获过滤规则取反操作

&&或者and

与操作符。表示连接多个捕获过滤规则。当此操作符连接多个过滤规则时,报文符合此操作符连接的全部过滤规则,才会过滤成功,否则,过滤失败

||或者or

或操作符。表示对多个捕获过滤规则进行选择,只要满足一个过滤规则,则过滤成功,否则,过滤失败

 

2. 运算操作符

表1-4 运算操作符

运算操作符

描述

+

加法运算符,用来将其两侧的值加到一起

-

减法运算符,用来将它前面的数值减去它后面的数值

*

乘法运算符,用来将其两侧的值相乘

/

除法运算符,用来将其左边的值被右边的值

&

按位与,用来将其两侧的数值逐位进行比较产生一个新值。对于每一位,只有两个操作数的对应位都为1时结果才为1

|

按位或,用来将其两侧的操作数逐位进行比较产生一个新值。对于每一位,如果其中任意操作数中对应的位为1,那么结果位就为1

<< 

按位左移,用来将其左侧操作数的每位向左移动,移动的位数由其右侧操作数指定

>> 

按位右移,用来将其左侧操作数的每位向右移动,移动的位数由其右侧操作数指定

[ ]

取位运算符,与协议类型关键字结合使用。例如:ip[6],表示IP报文偏移6个字节后,取得的一个字节的值

 

3. 比较操作符

表1-5 比较操作符分类

比较操作符

描述

=

相等,判断两侧操作数是否相等。例如:ip[6]=0x1c,表示捕获IPv4报文数据域偏移6字节,取得的一个字节值为0x1c的报文

!=

不等,判断两侧操作数是否不等。例如:len!=60,表示捕获报文长度不等于60字节的报文

大于,判断左侧操作数大于右侧操作数。例如:len>100,表示捕获报文长度大于100字节的报文

小于,判断左侧操作数小于右侧操作数。例如:len<100,表示捕获报文长度小于100字节的报文

>=

大于等于,判断左侧操作数大于等于右侧操作数;与常量关键字greater等价。例如:len>=100,表示捕获报文长度大于等于100字节的报文

<=

小于等于,判断左侧操作数小于等于右侧操作数;与常量关键字less等价。例如:len<=100,表示捕获报文长度小于等于100字节的报文

 

1.2.4  捕获过滤规则表达式

1. 逻辑操作符表达式

由关键字和逻辑运算符组合的捕获过滤表达式。例如:not port 23 and not port 22,表示捕获端口号既不是23,又不是22的报文;port 23 or icmp,表示捕获端口号是23或ICMP协议的报文。

由逻辑操作符连接的多个变量关键字,可以使用同一个常量关键字进行修饰(就近原则),例如:src 192.168.56.1 or 192.168.27,表示捕获的源IPv4地址为192.168.56.1或者源IPv4网段为192.168.27的报文。上述表达式与“src 192.168.56.1 or src 192.168.27”等价。

2. expr relop expr表达式

由关键字、运算操作符和比较操作符组合的捕获过滤表达式。其中,expr是算术表达式;relop为比较操作符。例如:len+100>=200,表示捕获长度大于等于100字节的报文。

3. proto [ expr:size ]表达式

由协议类型关键字和运算操作符“[ ]”组合的捕获过滤表达式。其中,proto表示协议类型,expr为算术表达式,表示偏移量,size为整数,表示字节个数,缺省值为1。proto [ expr:size ]的返回值为从proto协议报文数据区域起始位置,偏移expr个字节开始,取size个字节的数据。例如: ip[0]&0xf != 5,表示捕获第一个字节与0x0f按位相与得到的值不是5的IP报文。

expr:size也可以使用表达式的名称表示。例如:icmptype表示ICMP报文的类型域,则表达式:icmp [icmptype]=0x08,表示捕获icmp的type字段的值为0x08的报文。

4. vlan vlan_id表达式

由关键字vlan、逻辑操作符等组合的捕获过滤表达式。其中,vlan_id为整型,表示VLAN编号。例如,vlan 1 and ip4,表示捕获VLAN编号为1的IPv4报文。

需要注意的是:

·              对于带VLAN tag且接口允许通过的报文,必须使用此类捕获过滤表达式且关键字vlan要在其它捕获过滤条件之前指定,否则不能正常过滤。例如:vlan 3 and src 192.168.1.10 and dst 192.168.1.1,表示捕获VLAN 3内、192.168.1.10发往192.168.1.1的报文。

·              对于接口收到的不带VLAN tag的报文,设备会在报文头中添加VLAN tag,为了捕获该类报文,必须在捕获过滤规则中设置过滤条件为“vlan xx”。对于三层报文,xx为报文出接口的缺省VLAN ID;对于二层报文,xx为入接口的缺省VLAN ID。

1.3  构建显示过滤规则

当进行显示过滤时,所有报文仍然保存在捕获报文文件中;显示过滤只是将符合显示过滤条件的报文显示出来,不会改变文件的内容。

1.3.1  显示过滤规则关键字

1. 常量关键字

表1-6 常量关键字

常量关键字类型

描述

关键字

协议

显示指定协议的报文

如果没有指明协议类型,则显示捕获的所有协议的报文

支持的协议有:eth、ip、ipv6、tcp、udp、icmp、http、ftp、telnet等

报文字段

指定报文的特定字段

使用点“.”表示包含关系,格式为:protocol.field[.level1-subfield][.leveln-subfield]

例如:

·          tcp.flags.syn表示tcp协议报文flags字段中的syn位

·          tcp.port表示tcp协议的port字段

 

2. 变量关键字

报文字段的取值为变量关键字。报文的各个字段具有不同的类型,如表1-7所示。

表1-7 变量关键字的类型

字段类型

举例

整型

将整型字段值用二进制、八进制、十进制、十六进制形式表示。以下几种表达方式等价:

·          ip.len le 1500

·          ip.len le 02734

·          ip.len le 0x436

表示显示IP报文长度小于等于1500字节的报文信息

布尔变量

不使用其它操作符,单独使用报文字段,则默认指定字段的类型为布尔类型。例如: tcp.flags.syn,表示如果捕获到的报文存在tcp.flags.syn字段,则表达式的值为真,显示过滤成功;否则为假,显示过滤失败

MAC地址(6字节)

MAC地址使用以下三种分隔符表示:分号“:”、点“.”或者破折号“-”;分隔符可以在两个或者四个字节间使用。以下几种方式等价:

·          eth.dst==ff:ff:ff:ff:ff:ff

·          eth.dst==ff-ff-ff-ff-ff-ff

·          eth.dst ==ffff.ffff.ffff

以上的显示过滤表达式表示显示目的MAC地址为ffff.ffff.ffff的报文信息

IPv4地址

IPv4地址使用点分十进制格式表示。例如:

·          ip.addr==192.168.0.1,表示显示源或者目的IP地址为192.168.0.1的报文信息

·          ip.addr==129.111.0.0/16,表示显示源或者目的IP地址属于129.111网段的报文信息

IPv6地址

IPv6地址使用冒号分十六进制格式表示。例如:

·          ipv6.addr==1::1表示显示源或者目的IPv6地址为1::1的报文信息

·          ipv6.addr==1::/64表示显示源或者目的IPv6地址属于1::/64网段的报文信息

字符串

一些报文字段类型为字符串。例如,http.request version=="HTTP/1.1"表示显示http报文的request version字段为字符串HTTP/1.1的报文信息,双引号表示报文字段内容为字符串

 

1.3.2  显示过滤规则操作符

1. 逻辑操作符

逻辑操作符的逻辑运算顺序为从左到右。优先级从高到低依次为:括号操作符、非操作符、与操作符和或操作符,其中与操作符和或操作符的优先级相同。

表1-8 显示过滤逻辑操作符

英文

描述和举例

!或not

非操作符。表示对显示过滤规则取反操作

&&或and

与操作符。表示连接多个显示过滤规则

||或or

或操作符。表示对多个显示过滤规则进行选择

[ ]

括号操作符。与协议名称组合使用,详细介绍请参见“1.3.3  4. proto[…]表达式

 

2. 比较操作符

表1-9 显示过滤比较操作符

分类

描述和举例

eq或==

相等,判断两侧操作数是否相等。例如:ip.src==10.0.0.5,表示显示源IP地址为10.0.0.5的报文信息

ne或!=

不等,判断两侧操作数是否不等。例如:ip.src!=10.0.0.5,表示显示源IP地址不是10.0.0.5的报文信息

gt或>

大于,判断左侧操作数大于右侧操作数。例如:frame.len>100,表示显示捕获的帧长度大于100字节的帧信息

lt或<

小于,判断左侧操作数小于右侧操作数。例如:frame.len<100,表示显示捕获的帧长度小于100字节的帧信息

ge 或>=

大于等于,判断左侧操作数大于等于右侧操作数。例如:frame.len ge 0x100,表示显示捕获的帧长度大于等于256字节的帧信息

le或<=

小于等于,判断左侧操作数小于等于右侧操作数。例如:frame.len le 0x100表示显示捕获的帧长度小于等于256字节的帧信息

 

1.3.3  显示过滤规则表达式

1. 逻辑操作符表达式

由关键字和逻辑运算符组合的显示过滤表达式。例如:ftp or icmp,表示显示所有ftp协议和icmp协议报文信息。

2. 比较操作符表达式

由关键字和比较运算符组合的显示过滤表达式。例如:ip.len<=28,表示显示所有IP报文的长度字段小于等于28字节的IP报文。

3. 报文字段表达式

只由报文字段组成的显示过滤表达式,作用是显示存在某一具体字段的报文信息。例如:tcp.flags.syn,表示显示所有存在tcp.flags.syn位的报文。

4. proto[…]表达式

由协议类型和运算操作符“[ ]”组合的显示过滤表达式,proto[…]的类型为十六进制整型,其中,proto表示协议类型、字段。括号操作符内容有以下两种表达方式:

·              [n:m],n表示偏移位置,m表示指定的字节数;表示从偏移n个字节位置开始取后面m个字节数据。例如:eth.src[0:3]==00:00:83,表示源MAC地址的前三个字节分别为0x00、0x00、0x83。

·              [n-m],n表示偏移起始位置,m表示偏移结束位置;表示从偏移n个字节位置取到第m个字节位置,共取m-n+1个字节数据。例如:eth.src[1-2]==00:83,表示MAC地址的第二个字节和第三个字节分别为0x00、0x83。

·              [n],与[n:1]等价,表示取偏移n个字节位置的一个字节数据。例如:eth.src[2]==83,表示MAC地址的第三个字节为0x83。

1.4  配置准备

(1)      使用boot-loaderinstall命令安装Packet Capture特性软件包。关于boot-loaderinstall命令的详细介绍请参见“基础配置命令参考”中的“软件升级”。

(2)      重新登录设备。

1.5  配置报文捕获

1.5.1  配置限制和指导

在使用本功能的过程中,会阻断当前配置终端的输入,用户不能输入其它命令对设备进行操作,只有当报文捕获/显示结束时,配置终端才能输入其它命令。在大流量背景下退出捕获报文,可能会有延时。

1.5.2  配置报文捕获并将捕获的报文保存到本地

请在用户视图执行以下命令,配置报文捕获并将捕获的报文保存到本地。

packet-capture interface interface-type interface-number [ capture-filter capt-expression | limit-captured-frames limit | limit-frame-size bytes | autostop filesize kilobytes | autostop duration seconds | autostop files numbers | capture-ring-buffer filesize kilobytes | capture-ring-buffer duration seconds | capture-ring-buffer files numbers ] * write filepath [ raw | { brief | verbose } ] *

1.5.3  配置报文捕获并将捕获的报文显示到登录终端

请在用户视图执行以下命令,配置报文捕获并将捕获的报文显示到登录终端。

packet-capture interface interface-type interface-number [ capture-filter capt-expression | display-filter disp-expression | limit-captured-frames limit | limit-frame-size bytes | autostop duration seconds ] * [ raw | { brief | verbose } ] *

1.6  停止报文捕获

1. 功能简介

在配置报文捕获时,用户可通过参数来实现自动停止报文捕获。在报文捕获过程中,使用本功能可手工停止报文捕获。

2. 配置步骤

执行快捷键<Ctrl+C>,可结束报文捕获。

1.7  解析并显示报文文件

1. 功能简介

用户将捕获的报文保存到报文文件后,可以:

·              将文件上传到FTP/TFTP服务器,再通过第三方软件Wireshark解析并显示报文文件的内容。

·              使用packet-capture read命令,在设备本地解析并显示报文文件的内容。

2. 配置限制和指导

使用快捷键<Ctrl+C>可停止解析/显示本地报文文件。

3. 配置步骤

请在用户视图执行以下命令,解析并显示本地报文文件。

packet-capture read filepath [ display-filter disp-expression ] [ raw | { brief | verbose } ] *

1.8  Packet Capture典型配置举例

1.8.1  报文捕获配置举例

1. 组网需求

在设备的二层接口GigabitEthernet1/0/1上开启报文捕获功能。需要捕获接口GigabitEthernet1/0/1入方向上的、VLAN 3的、192.168.1.10到192.168.1.1以及192.168.1.11到192.168.1.1的所有软件转发报文和硬件转发报文。

2. 组网图

3. 配置步骤

(1)      安装Packet Capture特性软件包,以便用户可以配置报文捕获功能

# 查看设备的版本信息,准备和设备当前运行的Boot包、System包兼容的Packet Capture特性软件包。

<Device> display version

H3C Comware Software, Version 7.1.070, Demo 01

Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.

H3C XXX uptime is 0 weeks, 0 days, 5 hours, 33 minutes

Last reboot reason : Cold reboot

Boot image: flash:/boot-01.bin

Boot image version: 7.1.070, Demo 01

  Compiled Oct 20 2016 16:00:00

System image: flash:/system-01.bin

System image version: 7.1.070, Demo 01

  Compiled Oct 20 2016 16:00:00

其它显示信息略……。

# 从IP地址为192.168.1.1的TFTP服务器上下载Packet Capture特性软件包packet-capture-01.bin。

<Device> tftp 192.168.1.1 get packet-capture-01.bin

Press CTRL+C to abort.

  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current

                                 Dload  Upload   Total   Spent    Left  Speed

100 11.3M    0 11.3M    0     0   155k      0 --:--:--  0:01:14 --:--:--  194k

Writing file...Done.

# 给IRF中的所有成员设备(此处以slot 1和slot 2为例)都安装Packet Capture特性软件包,并让该软件包在设备重启后能够继续生效。

<Device> install activate feature flash:/packet-capture-01.bin slot 1

Verifying the file flash:/packet-capture-01.bin on slot 1....Done.            

Identifying the upgrade methods....Done.                                       

Upgrade summary according to following table:                                  

                                                                               

flash:/packet-capture-01.bin                              

  Running Version             New Version                                      

  None                        Demo 01                                  

                                                                               

  Slot                        Upgrade Way                                       

  1                           Service Upgrade                                  

Upgrading software images to compatible versions. Continue? [Y/N]:y            

This operation might take several minutes, please wait....................Done.

<Device> install activate feature flash:/packet-capture-01.bin slot 2

Verifying the file flash:/packet-capture-01.bin on slot 2....Done.            

Identifying the upgrade methods....Done.                                       

Upgrade summary according to following table:                                  

                                                                               

flash:/packet-capture-01.bin                              

  Running Version             New Version                                       

  None                        Demo 01                                  

                                                                               

  Slot                        Upgrade Way                                       

  2                           Service Upgrade                                  

Upgrading software images to compatible versions. Continue? [Y/N]:y            

This operation might take several minutes, please wait....................Done.

<Device> install commit

This operation will take several minutes, please wait.......................Done.

# 重新登录设备,以便用户能够执行packet-capture interfacepacket-capture read命令行。

(2)      在接口GigabitEthernet1/0/1的入方向上应用QoS策略,用来限制只捕获192.168.1.10到192.168.1.1、192.168.1.11到192.168.1.1的硬件转发报文。(二层接口上的大部分流量为硬件转发报文,对于硬件报文,需要镜像到CPU才能捕获;对于软件转发报文,不需要配置QoS策略,直接开启报文捕获功能即可)

# 创建IPv4高级ACL 3000,用来匹配192.168.1.10到192.168.1.1、192.168.1.11到192.168.1.1的报文。

<Device> system-view

[Device] acl advanced 3000

[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.1.10 0 destination 192.168.1.1 0

[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.1.11 0 destination 192.168.1.1 0

[Device-acl-ipv4-adv-3000] quit

# 定义流行为behavior1,配置流量镜向到CPU。

[Device] traffic behavior behavior1

[Device-behavior-behavior1] mirror-to cpu

[Device-behavior-behavior1] quit

# 定义类classifier1,匹配ACL3000。

[Device] traffic classifier classifier1

[Device-classifier-class1] if-match acl 3000

[Device-classifier-class1] quit

# 定义一个名为user1的策略,并在策略user1中为类classifier1指定采用流行为behavior1。

[Device] qos policy user1

[Device-qospolicy-user1] classifier classifier1 behavior behavior1

[Device-qospolicy-user1] quit

# 将策略user1应用到接口GigabitEthernet1/0/1的入方向上。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] qos apply policy user1 inbound

[Device-GigabitEthernet1/0/1] quit

[Device] quit

(3)      开启报文捕获功能

# 开启GigabitEthernet1/0/1接口上的报文捕获功能,指定捕获报文个数上限为10,指定捕获的报文存入文件a.pcap。在192.168.1.10上使用Telnet方式登录192.168.1.1,创造报文捕获条件。

<Device> packet-capture interface gigabitethernet 1/0/1 capture-filter "vlan 3 and src 192.168.1.10 or 192.168.1.11 and dst 192.168.1.1" limit-captured-frames 10 write flash:/a.pcap

Capturing on 'GigabitEthernet1/0/1'

10

4. 验证配置

# 在设备上解析报文文件flash:/a.pcap。

<Device> packet-capture read flash:/a.pcap

  1   0.000000 192.168.1.10 -> 192.168.1.1 TCP 62 6325 > telnet [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1

  2   0.000061 192.168.1.10 -> 192.168.1.1 TCP 60 6325 > telnet [ACK] Seq=1 Ack=1 Win=65535 Len=0

  3   0.024370 192.168.1.10 -> 192.168.1.1 TELNET 60 Telnet Data ...

  4   0.024449 192.168.1.10 -> 192.168.1.1 TELNET 78 Telnet Data ...

  5   0.025766 192.168.1.10 -> 192.168.1.1 TELNET 65 Telnet Data ...

  6   0.035096 192.168.1.10 -> 192.168.1.1 TELNET 60 Telnet Data ...

  7   0.047317 192.168.1.10 -> 192.168.1.1 TCP 60 6325 > telnet [ACK] Seq=42 Ack=434 Win=65102 Len=0

  8   0.050994 192.168.1.10 -> 192.168.1.1 TCP 60 6325 > telnet [ACK] Seq=42 Ack=436 Win=65100 Len=0

  9   0.052401 192.168.1.10 -> 192.168.1.1 TCP 60 6325 > telnet [ACK] Seq=42 Ack=438 Win=65098 Len=0

 10   0.057736 192.168.1.10 -> 192.168.1.1 TCP 60 6325 > telnet [ACK] Seq=42 Ack=440 Win=65096 Len=0

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们