40-报文捕获(仅适用于F50X0-D和F5000-AK5X5)
本章节下载: 40-报文捕获(仅适用于F50X0-D和F5000-AK5X5) (229.61 KB)
本帮助主要介绍以下内容:
· 特性简介
· 配置指南
¡ 开始报文捕获
¡ 配置报文捕获参数
报文捕获功能用于捕获设备的双向流量,并将捕获到的报文生成Wireshark(一种网络封包分析软件)可识别的.cap后缀文件,保存到本地或外部服务器,供用户分析诊断出入设备的流量。
1. 选择“系统 > 诊断中心 > 报文捕获”。
2. 在“报文捕获”页面单击<开始报文捕获>按钮,进入“配置报文捕获过滤条件”页面。
3. 在“配置报文捕获过滤条件”页面,具体配置内容如下表所示:
表-1 配置参数表
参数 |
说明 |
ACL |
表示捕获匹配高级ACL中permit规则的报文 |
4. 单击<开始>按钮,设备将开始进行报文捕获,报文捕获页面上的报文捕获状态为开始。
5. 在“报文捕获”页面单击<停止报文捕获>按钮,设备将停止对报文进行捕获,报文捕获页面上的报文捕获状态为停止,捕获文件将显示在捕获报文页面下方。
1. 选择“系统 > 诊断中心 > 报文捕获”。
2. 在“报文捕获”页面单击<配置报文捕获参数>按钮,进入“配置报文捕获参数”页面。
3. 在“配置报文捕获参数”页面,具体配置内容如下表所示:
表-2 配置参数表
参数 |
说明 |
每报文最大长度 |
当待捕获报文的长度超过设置的最大长度后,报文捕获模块会对报文进行截断 |
每捕获文件存储报文数 |
当捕获文件存储的捕获条目达到最大存储个数后,系统会将内存中的捕获文件上传到指定的存储路径上,并将内存中的捕获文件删除。捕获文件存储的捕获条目越多占用的内存也就越大,因此在系统内存剩余较少的情况下,请将捕获文件存储捕获条目的最大数调小 |
保存在设备 |
表示将捕获文件存储在设备本地,且需要配置捕获文件最大存储空间,当捕获文件总大小超过最大存储空间限制时,自动停止报文捕获 |
保存到外部服务器 |
表示将捕获文件存储到外部的FTP/TFTP服务器。当外部存储服务器为FTP服务器时,需要配置登录FTP服务器的用户名和密码 |
4. 单击<确定>按钮,完成报文捕获参数配置。
· 报文捕获功能不支持多用户同时配置。
· 报文捕获功能启动后,报文捕获的参数不能再被修改。
· 启动报文捕获功能会对设备的性能产生影响,因此建议只在需要捕获报文的情况下启动该功能。
· 捕获文件存储在本地的情况下,报文捕获启动后系统会删除捕获文件存储路径下所有.cap后缀的文件,因此请及时导出所需的捕获文件。
· 报文捕获功能不支持对非缺省Context的独享接口进行报文捕获。有关Context的详细介绍,请参见“虚拟设备联机帮助“。
· 当需要捕获非缺省Context共享接口上的报文时,必须在缺省Context中通过流量镜像的方式对其报文进行捕获。
· 报文捕获功能必须通过配置流量镜像功能,将流量镜像到Context所进驻安全引擎组的主安全引擎上,以便实现对Context的报文进行捕获。流镜像功能需要以CLI方式进行配置,有关流镜像的详细介绍,请参见CLI配置指导的“网络管理和监控配置指导”中的“流镜像”。
· 仅支持基于ACL捕获报文,不支持基于接口捕获报文。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!