14-Packet Capture配置
本章节下载: 14-Packet Capture配置 (406.75 KB)
目 录
Packet Capture是一种报文捕获及分析特性,该特性能够捕获设备接口的入方向报文并对报文进行解析处理,便于用户分析接口接收到的报文;还可以将报文数据存储为pcap格式的文件,方便用户后续查看。
该特性不支持多用户同时配置,目前支持以下三种报文捕获的方式:
· 本地报文捕获
本地报文捕获功能可以将捕获的报文自动上传到FTP服务器、存储在设备存储介质中或者在登录设备的终端上显示报文信息,用户可以任意选择其中一种方式来进行报文捕获。
· 远程报文捕获
远程报文捕获是指设备开启远程报文捕获服务功能后,用户必须通过PC上的第三方报文捕获软件Wireshark客户端与捕获报文的设备建立连接,远端报文捕获设备将报文数据发送给Wireshark客户端,供Wireshark客户端显示。
· 特性包报文捕获
· 如需支持特性包报文捕获功能,请先使用boot-loader、install或issu命令安装Packet Capture特性软件包,有关安装步骤的详细介绍,请参见“基础配置指导”中的“软件升级”或“ISSU”。
· 如果用户卸载了Packet Capture特性包,则本地报文捕获和远程报文捕获功能会被同时卸载。
特性包报文捕获可以将捕获的报文保存在本地或直接在终端显示报文信息,还可以解析pcap或pcapng文件。
Packet Capture可以使用捕获过滤表达式指定捕获过滤规则,对进入指定物理接口的报文进行过滤,满足捕获过滤规则的报文则被捕获。捕获过滤规则由关键字、逻辑操作符、运算操作符和比较操作符等组合而成。有关Packet Capture更多规则的详细介绍,请参见网址:http://wiki.wireshark.org/CaptureFilters。
捕获过滤规则使用的关键字分为常量关键字和变量关键字。
常量关键字是固定的字符串,可以分为以下几类:协议类型、传输方向和传输方向的类型等。
表1-1 常量关键字
常量关键字类型 |
描述 |
关键字 |
协议 |
捕获指定的协议报文。如果没有指明协议类型,默认捕获所有Packet Capture支持的协议 |
支持的协议有:ip,ip6,arp,tcp,udp,icmp等 |
报文传输方向 |
捕获指定传输方向的报文。如果没有指定本关键字,默认报文传输方向为源或目的方向 |
· src:表示源方向 · dst:表示目的方向 · src or dst:表示源或目的方向 |
报文传输方向类型 |
捕获指定的报文传输方向类型的报文。如果没有指定本类关键字,默认报文传输方向类型为主机 |
· host:表示主机 · net:表示网段 · port:表示端口号 · portrange:表示端口号范围 |
特殊关键字 |
- |
· broadcast:表示捕获广播报文 · multicast:表示捕获组播报文、广播报文 · less:表示小于等于 · greater:表示大于等于 · len:表示报文长度 · vlan:表示捕获VLAN报文 |
变量关键字形式固定,但内容可变。捕获过滤规则的变量关键字不可以单独使用,其前需要使用常量关键字对其进行修饰。
需要注意的是,所有的协议类型常量关键字、broadcast和multicast关键字不能对变量关键字进行修饰。其它的常量关键字不可单独使用,其后需要使用变量关键字。
表1-2 变量关键字
变量关键字类型 |
举例 |
整型 |
将整型用二进制、八进制、十进制或十六进制形式表示。例如:port 23,表示端口号为23 |
整型范围 |
将整型范围用二进制、八进制、十进制、十六进制形式和“-”表示。例如:portrange 100-200,表示端口号范围为100到200 |
IPv4地址 |
使用点分十进制格式表示。例如:src 1.1.1.1,表示源主机IPv4地址是1.1.1.1(在没有指定报文传输方向类型时,报文传输方向类型默认为host) |
IPv6地址 |
使用冒号分十六进制格式表示。例如:dst host 1::1,表示报文的目的主机IPv6地址是1::1 |
IPv4网段 |
使用IPv4地址和掩码或者IPv4网络号表示。以下两种表达式等价: · src 1.1.1,表示源主机的IPv4网段为1.1.1 · src net 1.1.1.0/24,表示源主机的IPv4网段为1.1.1.0/24 |
IPv6网段 |
使用IPv6地址和网络前缀表示。例如:dst net 1::/64,表示目的IPv6网段为1::/64 · 需要注意的是,指定IPv6网段变量关键字时,必须指定net常量关键字 |
逻辑操作符的逻辑运算顺序为从左到右,下表为逻辑操作符的分类举例。
表1-3 逻辑操作符
逻辑操作符 |
描述 |
!或者not |
非操作符。表示对捕获过滤规则取反操作 |
&&或者and |
与操作符。表示连接多个捕获过滤规则。当此操作符连接多个过滤规则时,报文若符合此操作符连接的全部过滤规则,才会过滤成功,否则,过滤失败。 |
||或者or |
或操作符。表示对多个捕获过滤规则进行选择。当此操作符连接多个过滤规则时,报文若不符合此操作符连接的全部过滤规则,才会过滤失败,否则,过滤成功。 |
其中非操作符优先级最高,与操作符和或操作符的优先级相同。
表1-4 运算操作符
运算操作符 |
描述 |
+ |
加法运算符,用来将其两侧的值加到一起 |
- |
减法运算符,用来将它前面的数值中减去它后面的数值 |
* |
乘法运算符,用来将其两侧的值相乘 |
/ |
除法运算符,用来将其左边的值被右边的值除 |
& |
按位与,用来将其两侧的数值逐位进行比较产生一个新值。对于每一位,只有两个操作数的对应位都为1时结果才为1 |
| |
按位或,用来将其两侧的操作数逐位进行比较产生一个新值。对于每一位,如果其中任意操作数中对应的位为1,那么结果位就为1 |
<< |
按位左移,用来将其左侧操作数的每位向左移动,移动的位数由其右侧操作数指定 |
>> |
按位右移,用来将其左侧操作数的每位向右移动,移动的位数由其右侧操作数指定 |
[ ] |
取位运算符,与协议类型关键字结合使用。例如:ip[6],表示IP报文偏移6个字节后,取得的一个字节的值 |
下表为比较操作符的分类举例。
表1-5 比较操作符分类
比较操作符 |
描述 |
= |
相等,判断两侧操作数是否相等。例如:ip[6]=0x1c,表示捕获IPv4报文数据域偏移6字节,取得的一个字节值为0x1c的报文 |
!= |
不等,判断两侧操作数是否不等。例如:len!=60,表示捕获报文长度不等于60字节的报文 |
> |
大于,判断左侧操作数大于右侧操作数。例如:len>100,表示捕获报文长度大于100字节的报文 |
< |
小于,判断左侧操作数小于右侧操作数。例如:len<100,表示捕获报文长度小于100字节的报文 |
>= |
大于等于,判断左侧操作数大于等于右侧操作数;与常量关键字greater等价。例如:len>=100,表示捕获报文长度大于等于100字节的报文 |
<= |
小于等于,判断左侧操作数小于等于右侧操作数;与常量关键字less等价。例如:len<=100,表示捕获报文长度小于等于100字节的报文 |
捕获过滤表达式由关键字、逻辑操作符、运算操作符和比较操作符之间的多种组合而成。以下为典型捕获过滤表达式:
由关键字和逻辑运算符组合的捕获过滤表达式。例如:not port 23 and not port 22,表示捕获端口号既不是23,又不是22的报文;port 23 or icmp,表示捕获端口号是23或icmp协议的报文。
由逻辑操作符连接的多个变量关键字,可以使用同一个常量关键字进行修饰(就近原则),例如:src 192.168.56.1 or 192.168.27,表示捕获的源IPv4地址为192.168.56.1或者源IPv4网段为192.168.27的报文。上述表达式与“src 192.168.56.1 or src 192.168.27”等价。
由关键字、运算操作符和比较操作符组合的捕获过滤表达式。其中,expr是算术表达式;relop为比较操作符。例如:len+100>=200,表示捕获长度大于等于100字节的报文。
由协议类型关键字和运算操作符“[ ]”组合的捕获过滤表达式。其中,proto表示协议类型,expr为算术表达式,表示偏移量,size为整数,表示字节个数,缺省值为1。proto [ expr:size ]的返回值为从proto协议报文数据区域起始位置,偏移expr个字节开始,取size个字节的数据。例如: ip[0]&0xf != 5,表示捕获第一个字节与0x0f按位相与得到的值不是5的IP报文。
expr:size也可以使用表达式的名称表示。例如:icmptype表示ICMP报文的类型域,则表达式:icmp[icmptype]=0x08,表示捕获icmp的type字段的值为0x08的报文。
由关键字vlan,逻辑操作符等组合的捕获过滤表达式。其中,vlan_id为整型,表示VLAN编号。例如,vlan 1 and ip6,表示捕获VLAN编号为1的IPv6报文。
需要注意的是:
· 对于带VLAN tag且接口允许通过的报文,必须使用此类捕获过滤表达式且关键字vlan要在其它捕获过滤条件之前指定,否则不能正常过滤。例如:vlan 3 and src 192.168.1.10 and dst 192.168.1.1,表示捕获VLAN 3内、192.168.1.10发往192.168.1.1的报文。
· 对于接口收到的不带VLAN tag的报文:
¡ 如果设备会在报文头中添加VLAN tag,则为了捕获该类报文,必须在捕获过滤规则中设置过滤条件为“vlan xx”。对于三层报文,xx为报文出接口的缺省VLAN ID;对于二层报文,xx为入接口的缺省VLAN ID。
¡ 如果设备不会在报文头中添加VLAN tag,则为了捕获该类报文,不能在捕获过滤规则中设置过滤条件为“vlan xx”。
是否在报文头中添加VLAN tag,以及添加入接口的VLAN ID还是添加出接口的VLAN ID与设备的型号有关,请以设备的实际情况为准。
Packet Capture可以使用显示过滤表达式指定显示过滤规则,对捕获到的报文进行显示过滤。当进行显示过滤时,所有报文仍然保存在捕获报文文件中;显示过滤只是将符合显示过滤条件的报文显示出来,不会改变文件的内容。显示过滤规则由关键字,显示过滤操作符等组合而成,有关Packet Capture更多规则的详细介绍,请参见网址:http://wiki.wireshark.org/DisplayFilters。
显示过滤关键字主要分为两类:
· 协议类型
支持的协议包括:eth,ip,ipv6,tcp,udp,icmp,http,ftp,telnet等。例如:ftp,表示显示所有ftp协议的报文信息。
· 报文字段
指定报文的特定字段。使用点“.”表示包含关系。例如:tcp.flags.syn,表示tcp协议报文flags字段中的syn位。例如:tcp.port,表示tcp协议的port字段。
报文的各个字段具有不同的类型。字段类型如表1-6所示:
字段类型 |
举例 |
整型 |
将整型字段值用二进制、八进制、十进制、十六进制形式表示。以下几种表达方式等价: · ip.len le 1500 · ip.len le 02734 · ip.len le 0x436 表示显示IP报文长度小于等于1500字节的报文信息 |
布尔变量 |
不使用其它操作符,单独使用报文字段,则默认指定字段的类型为布尔类型。例如: tcp.flags.syn,表示如果捕获到的报文存在tcp.flags.syn字段,则表达式的值为真,显示过滤成功;否则为假,显示过滤失败 |
MAC地址(6字节) |
MAC地址使用以下三种分隔符表示:分号“:”、点“.”或者破折号“-”;分隔符可以在两个或者四个字节间使用。以下几种方式等价: · eth.dst==ff:ff:ff:ff:ff:ff · eth.dst==ff-ff-ff-ff-ff-ff · eth.dst ==ffff.ffff.ffff 以上的显示过滤表达式表示显示目的MAC地址为ffff.ffff.ffff的报文信息 |
IPv4地址 |
IPv4地址使用点分十进制格式表示。例如: · ip.addr==192.168.0.1,表示显示源或者目的IP地址为192.168.0.1的报文信息 · ip.addr==129.111.0.0/16,表示显示源或者目的IP地址属于129.111网段的报文信息 |
IPv6地址 |
IPv6地址使用冒号分十六进制格式表示。例如: · ipv6.addr==1::1表示显示源或者目的IPv6地址为1::1的报文信息 · ipv6.addr==1::/64表示显示源或者目的IPv6地址属于1::/64网段的报文信息 |
字符串 |
一些报文字段类型为字符串。例如,http.request version=="HTTP/1.1"表示显示http报文的request version字段为字符串HTTP/1.1的报文信息,双引号表示报文字段内容为字符串 |
逻辑操作符的逻辑运算顺序为从左到右,下表为逻辑操作符的分类举例:
表1-7 显示过滤逻辑操作符
英文 |
描述和举例 |
!或not |
非操作符。表示对显示过滤规则取反操作 |
&&或and |
与操作符。表示连接多个显示过滤规则 |
||或or |
或操作符。表示对多个显示过滤规则进行选择 |
[ ] |
括号操作符。与协议名称组合使用,详细介绍请参见“1.3.3 4. proto[…]表达式” |
优先级从高到低依次为:括号操作符、非操作符、与操作符和或操作符,其中与操作符和或操作符的优先级相同。
下表对比较操作符进行分类举例:
表1-8 显示过滤比较操作符
分类 |
描述和举例 |
eq或== |
相等,判断两侧操作数是否相等。例如:ip.src==10.0.0.5,表示显示源IP地址为10.0.0.5的报文信息 |
ne或!= |
不等,判断两侧操作数是否不等。例如:ip.src!=10.0.0.5,表示显示源IP地址不是10.0.0.5的报文信息 |
gt或> |
大于,判断左侧操作数大于右侧操作数。例如: frame.len>100,表示显示捕获的帧长度大于100字节的帧信息 |
lt或< |
小于,判断左侧操作数小于右侧操作数。例如:frame.len<100,表示显示捕获的帧长度小于100字节的帧信息 |
ge 或>= |
大于等于,判断左侧操作数大于等于右侧操作数。例如:frame.len ge 0x100,表示显示捕获的帧长度大于等于256字节的帧信息 |
le或<= |
小于等于,判断左侧操作数小于等于右侧操作数。例如:frame.len le 0x100表示显示捕获的帧长度小于等于256字节的帧信息 |
显示过滤表达式由协议和报文字段、显示过滤操作符之间的多种组合而成。以下为典型的显示过滤表达式:
由关键字和逻辑运算符组合的显示过滤表达式。例如:ftp or icmp,表示显示所有ftp协议和icmp协议报文信息。
由关键字和比较运算符组合的显示过滤表达式。例如:ip.len<=28,表示显示所有IP报文的长度字段小于等于28字节的IP报文。
只由报文字段组成的显示过滤表达式,作用是显示存在某一具体字段的报文信息。例如:tcp.flags.syn,表示显示所有存在tcp.flags.syn位的报文。
由协议类型和运算操作符“[ ]“组合的显示过滤表达式,proto[…]的类型为十六进制整型,其中,proto表示协议类型、字段。括号操作符内容有以下两种表达方式:
· [n:m],n表示偏移位置,m表示指定的字节数;表示从偏移n个字节位置开始取后面m个字节数据。例如:eth.src[0:3]==00:00:83,表示源MAC地址的前三个字节分别为0x00、0x00、0x83。
· [n-m],n表示偏移起始位置,m表示偏移结束位置;表示从偏移n个字节位置取到第m个字节位置,共取m-n+1个字节数据。例如:eth.src[1-2]==00:83,表示MAC地址的第二个字节和第三个字节分别为0x00、0x83。
· [n],与[n:1]等价,表示取偏移n个字节位置的一个字节数据。例如:eth.src[2] == 83,表示MAC地址的第三个字节为0x83。
表1-9 Packet Capture配置任务简介
配置任务 |
说明 |
详细配置 |
配置Packet Capture本地报文捕获 |
三者必选其一 |
|
配置Packet Capture远程报文捕获 |
||
配置特性包报文捕获 |
用户可以通过本配置将接口捕获的报文保存到本地或FTP服务器上,若将捕获的报文保存到本地,则用户可以使用packet-capture read命令对保存的报文文件进行解析;若用户将捕获的报文保存到FTP服务器上,则用户可以使用第三方软件Wireshark连接到FTP服务器对文件进行解析。
表1-10 配置接口本地报文捕获并将捕获的报文保存到本地或FTP服务器
操作 |
命令 |
说明 |
配置接口本地报文捕获并将捕获的报文保存到本地或FTP服务器 |
packet-capture local interface interface-type interface-number [ capture-filter capt-expression | limit-frame-size bytes | autostop filesize kilobytes | autostop duration seconds ] * write { filepath | url url [ username username [ password { cipher | simple } string ] ] } |
配置本命令后,不会阻断当前登录终端的输入,用户可以输入其它命令对设备进行操作 若用户想退出报文捕获,则需要输入packet-capture stop命令停止报文捕获 |
远程报文捕获需要在设备上配置远程报文捕获,然后将第三方软件与设备建立连接,将捕获的报文上送到第三方软件显示。
表1-11 配置接口远程报文捕获
操作 |
命令 |
说明 |
配置接口远程报文捕获 |
packet-capture remote interface interface-type interface-number [ port port ] |
若用户希望退出报文捕获,则需要输入packet-capture stop命令停止报文捕获 |
在设备上配置远程报文捕获后,需要使用Wireshark客户端连接到开启捕获的设备上,获取捕获的报文进行分析。
第三方软件Wireshark客户端上的操作步骤如下:
(1) 打开Wireshark软件,选择“Capture > Options”。
(2) 选择“Interface > Remote”。
(3) 输入开启报文捕获的设备接口的IP地址(和Wireshark软件路由可达的接口IP地址)和绑定的RPCAP服务端口号(不输入值时表示使用缺省端口号2002)。
(4) 点击<OK>按钮,再点击<Start>按钮启动捕获。
图1-1 Wireshark操作步骤图
用户可以通过本配置将接口捕获的报文保存到本地,使用packet-capture read命令对保存的报文文件进行解析。需要注意的是,使用本命令保存捕获的报文,可以通过参数配置保存多个报文文件。
表1-12 配置特性包报文捕获并将捕获的报文保存到本地
操作 |
命令 |
说明 |
配置特性包报文捕获并将捕获的报文保存到本地 |
packet-capture interface interface-type interface-number [ capture-filter capt-expression | limit-captured-frames limit | limit-frame-size bytes | autostop filesize kilobytes | autostop duration seconds | autostop files numbers | capture-ring-buffer filesize kilobytes | capture-ring-buffer duration seconds | capture-ring-buffer files numbers ] * write filepath [ raw | { brief | verbose } ] * |
配置本命令后,会阻断当前登录终端的输入,不能输入其它命令对设备进行操作,只有当报文捕获结束或者输入Ctrl+C结束报文捕获时,才能解除登录终端阻断 需要注意的是,在大流量背景下退出捕获报文,可能会有延时 |
表1-13 配置特性包捕获并将捕获的报文显示到登录终端
操作 |
命令 |
说明 |
配置特性包报文捕获并将捕获的报文显示到登录终端 |
packet-capture interface interface-type interface-number [ capture-filter capt-expression | display-filter disp-expression | limit-captured-frames limit | limit-frame-size bytes | autostop duration seconds ] * [ raw | { brief | verbose } ] * |
配置本命令后,会阻断当前登录终端的输入,不能输入其它命令对设备进行操作,只有当报文捕获结束或者输入Ctrl+C结束报文捕获时,才能解除登录终端阻断 需要注意的是,在大流量背景下退出捕获报文,可能会有延时 |
若用户将报文文件保存在设备本地,则可以在设备本地解析并显示保存的报文文件,并通过指定过滤显示信息规则,灵活显示报文信息。
表1-14 解析并显示保存的报文文件
操作 |
命令 |
说明 |
解析并显示保存的报文文件 |
packet-capture read filepath [ display-filter disp-expression ] [ raw | { brief | verbose } ] * |
可以通过输入Ctrl+C退出解析过程 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后的报文捕获状态信息。
表1-15 Packet Capture显示和维护
操作 |
命令 |
显示报文捕获状态 |
display packet-capture status |
在Device的Ten-GigabitEthernet1/0/1接口上开启远程报文捕获功能,将捕获的报文上送到Wireshark软件上解析。
图1-2 远程报文捕获组网图
(1) 配置Device
在接口Ten-GigabitEthernet1/0/1的入方向上应用QoS策略,用来限制只捕获去往Network(假设IP地址为20.1.1.0/16网段)的硬件转发报文。
# 创建IPv4高级ACL 3000,用来匹配目的地址为20.1.1.0/16网段的报文。
<Device> system-view
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit ip destination 20.1.1.0 255.255.0.0
[Device-acl-ipv4-adv-3000] quit
# 定义流行为behavior1,配置流量镜向到CPU。
[Device] traffic behavior behavior1
[Device-behavior-behavior1] mirror-to cpu
[Device-behavior-behavior1] quit
# 定义类classifier1,匹配ACL3000。
[Device] traffic classifier classifier1
[Device-classifier-class1] if-match acl 3000
[Device-classifier-class1] quit
# 定义一个名为user1的策略,并在策略user1中为类classifier1指定采用流行为behavior1。
[Device] qos policy user1
[Device-qospolicy-user1] classifier classifier1 behavior behavior1
[Device-qospolicy-user1] quit
# 将策略user1应用到接口Ten-GigabitEthernet1/0/1的入方向上。
[Device] interface ten-gigabitEthernet1/0/1
[Device-Ten-GigabitEthernet1/0/1] qos apply policy user1 inbound
[Device-Ten-GigabitEthernet1/0/1] quit
[Device] quit
# 在Ten-GigabitEthernet1/0/1上开启远程报文捕获功能,指定RPCAP服务端口号为2014。
<Device> packet-capture remote interface ten-gigabitEthernet1/0/1 port 2014
# 在Ten-GigabitEthernet1/0/10/1上开启远程报文捕获功能,指定RPCAP服务端口号为2014。
<Device> packet-capture remote interface ten-gigabitEthernet1/0/1 port 2014
配置Wireshark
a. 在PC上打开Wireshark软件,选择“Capture > Options”。
b. 选择“Interface > Remote”。
c. 输入Device的IP地址(该地址必须和Wireshark路由可达)和绑定的RPCAP服务端口号2014。
d. 点击<OK>按钮,再点击<Start>按钮启动捕获。此时在报文捕获窗口可看到捕获到的报文。
在设备的二层接口Ten-GigabitEthernet1/0/1上开启特性包报文捕获功能。需要捕获接口Ten-GigabitEthernet1/0/1入方向上的、VLAN 3的、192.168.1.10到192.168.1.1以及192.168.1.11到192.168.1.1的所有软件转发报文和硬件转发报文。
(1) 安装Packet Capture特性软件包,以便用户可以配置特性包报文捕获功能
# 查看设备的版本信息,准备和设备当前运行的Boot包、System包兼容的Packet Capture特性软件包。
<Device> display version
H3C Comware Software, Version 7.1.070, Demo 01
Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.
H3C S6860-54HT uptime is 0 weeks, 0 days, 5 hours, 33 minutes
Last reboot reason : Cold reboot
Boot image: flash:/boot-01.bin
Boot image version: 7.1.070, Demo 01
Compiled Oct 20 2016 16:00:00
System image: flash:/system-01.bin
System image version: 7.1.070, Demo 01
Compiled Oct 20 2016 16:00:00
其它显示信息略……。
# 从IP地址为192.168.1.1的TFTP服务器上下载Packet Capture特性软件包flash:/packet-capture-01.bin。
<Device> tftp 192.168.1.1 get packet-capture-01.bin
Press CTRL+C to abort.
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 11.3M 0 11.3M 0 0 155k 0 --:--:-- 0:01:14 --:--:-- 194k
Writing file...Done.
# 给IRF中的所有成员设备(此处以slot 1和slot 2为例)都安装Packet Capture特性软件包,并让该软件包在设备重启后能够继续生效。
<Device> install activate feature flash:/packet-capture-01.bin slot 2
Verifying the file flash:/packet-capture-01.bin on slot 1....Done.
Identifying the upgrade methods....Done.
Upgrade summary according to following table:
flash:/packet-capture-01.bin
Running Version New Version
None Demo 01
Slot Upgrade Way
1 Service Upgrade
Upgrading software images to compatible versions. Continue? [Y/N]:y
This operation might take several minutes, please wait....................Done.<Device> install activate feature flash:/packet-capture-01.bin slot 2
Verifying the file flash:/packet-capture-01.bin on slot 2....Done.
Identifying the upgrade methods....Done.
Upgrade summary according to following table:
flash:/packet-capture-01.bin
Running Version New Version
None Demo 01
Slot Upgrade Way
2 Service Upgrade
Upgrading software images to compatible versions. Continue? [Y/N]:y
This operation might take several minutes, please wait....................Done.
<Device> install commit
This operation will take several minutes, please wait.......................Done.
<Device> install commit
This operation will take several minutes, please wait.......................Done.
# 重新登录设备,以便用户能够执行packet-capture interface和packet-capture read命令行。
(2) 在接口Ten-GigabitEthernet1/0/1的入方向上应用QoS策略,用来限制只捕获192.168.1.10到192.168.1.1、192.168.1.11到192.168.1.1的硬件转发报文。
# 创建IPv4高级ACL 3000,并定制如下规则:只捕获源IP为192.168.56.1的报文。
<Device> system-view
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168. 1.10 0 destination 192.168.1.1 0
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.1.11 0 destination 192.168.1.1 0
[Device-acl-ipv4-adv-3000] quit
# 定义流行为behavior1,配置流量镜向到CPU。
[Device] traffic behavior behavior1
[Device-behavior-behavior1] mirror-to cpu
[Device-behavior-behavior1] quit
# 定义类classifier1,匹配ACL3000。
[Device] traffic classifier classifier1
[Device-classifier-class1] if-match acl 3000
[Device-classifier-class1] quit
# 定义一个名为user1的策略,并在策略user1中为类classifier1指定采用流行为behavior1。
[Device] qos policy user1
[Device-qospolicy-user1] classifier classifier1 behavior behavior1
[Device-qospolicy-user1] quit
#将策略user1应用到接口Ten-GigabitEthernet1/0/1的入方向上。
[Device] interface ten-gigabitethernet 1/0/1
[Device-Ten-GigabitEthernet1/0/1] qos apply policy user1 inbound
[Device-Ten-GigabitEthernet1/0/1] quit
[Device] quit
(3) 开启报文捕获功能
# 开启Ten-GigabitEthernet1/0/1接口上的报文捕获功能,指定捕获报文个数上限为10,指定捕获的报文存入文件a.pcap。
<Device> packet-capture interface ten-gigabitethernet 1/0/1 limit-captured-frames 10 write flash:/a.pcap
Capturing on 'Ten-GigabitEthernet1/0/1'
10
# 在设备上解析报文文件flash:/a.pcap。
<Device> packet-capture read flash:/a.pcap
1 0.000000 192.168.1.10 -> 192.168. 1.1 TCP 62 6325 > telnet [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1
2 0.000061 192.168.1 .10-> 192.168. 1.1 TCP 60 6325 > telnet [ACK] Seq=1 Ack=1 Win=65535 Len=0
3 0.024370 192.168.1.10 -> 192.168. 1.1 TELNET 60 Telnet Data ...
4 0.024449 192.168.1 .10-> 192.168. 1.1 TELNET 78 Telnet Data ...
5 0.025766 192.168.1.10-> 192.168. 1.1 TELNET 65 Telnet Data ...
6 0.035096 192.168.1.10 -> 192.168. 1.1 TELNET 60 Telnet Data ...
7 0.047317 192.168.1.10 -> 192.168. 1.1 TCP 60 6325 > telnet [ACK] Seq=42 Ack=434 Win=65102 Len=0
8 0.050994 192.168.1.10 -> 192.168. 1.1 TCP 60 6325 > telnet [ACK] Seq=42 Ack=436 Win=65100 Len=0
9 0.052401 192.168.1.10 -> 192.168. 1.1 TCP 60 6325 > telnet [ACK] Seq=42 Ack=438 Win=65098 Len=0
10 0.057736 192.168.1 .10 -> 192.168. 1.1 TCP 60 6325 > telnet [ACK] Seq=42 Ack=440 Win=65096 Len=0
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!