32-报文示踪
本章节下载: 32-报文示踪 (207.83 KB)
本帮助主要介绍以下内容:
· 特性简介
○ 应用场景
○ 报文示踪模式
· 配置指南
报文示踪功能用来分析和追踪设备中各个安全业务模块(如:攻击防范、uRPF、会话管理和连接数限制等)对报文的处理过程,通过查看报文示踪记录的详细信息,有利于管理员对网络故障的快速排查和定位。
当出现网络故障时,通常由于设备上配置了较多的安全业务,导致管理员无法快速、准确地定位故障。报文示踪功能可以帮助管理员有效解决上述问题。
为满足不同情况下网络故障定位的需求,报文示踪功能提供了如下三种诊断模式:
· 真实流量诊断:指在实际网络环境中,对经过设备的真实流量进行追踪和分析。此种方式适用于在实际网络中定位网络故障。
· 导入报文诊断:指将捕获的文件(必须是“.cap”或 “.pcap”格式的文件)导入设备,对报文进行分析,对报文被处理的过程进行回放。此种方式适用于在本设备上已经捕获所需报文的场景,或者需要对其他设备(如不支持报文示踪功能的设备等)上的报文进行协助分析的场景。
· 构造报文诊断:指设备根据管理员输入的参数信息构造一个报文,用来验证和查看已配置的安全业务功能对此报文的处理结果。此种方式适用于在设备上配置完各项所需的功能后,模拟一个真实流量的报文,来验证设备对报文的处理是否可以达到预期效果的场景。
· 仅在诊断报文前选择捕获诊断报文功能后,报文示踪过程才会生成.cap文件,否则不会生成。
· 捕获报文生成.cap文件被下载后,设备上保存的此文件即被删除,管理员将无法再次导出。
· 导入报文诊断模式仅能导入文件中的前10条流,每条流又仅能导入前10个报文,且仅能对导入的完整报文进行示踪,不完整的报文无法进行示踪。
进行报文示踪前,可以通过配置参数信息,选择对哪些报文进行示踪,具体可配置的参数如下:
· IP类型:包括IPv4和IPv6两种。IPv4表示仅对IPv4类型的报文进行示踪;IPv6表示仅对IPv6类型的报文进行示踪;
· 入接口:选择需要示踪报文的入接口;
· 协议:选择需要示踪报文的协议;
· 源地址:选择需要示踪报文的源地址;
· 源端口:选择需要示踪报文的源端口;
· 目的地址:选择需要示踪报文的目的地址;
· 目的端口:选择需要示踪报文的目的端口;
· 源MAC:选择需要示踪报文的源MAC地址;
· 目的MAC:选择需要示踪报文的目的MAC地址;
· VLAN ID:选择需要示踪报文的VLAN ID。
· 诊断时间:选择需要示踪报文的时间长短,达到指定时间后,报文示踪功能停止。此功能仅真实流量诊断模式支持。
· 捕获诊断报文:选择此功能后,设备在报文示踪的同时会把报文捕获下来,并形成.cap文件供管理员分析使用。管理员可点击<导出>按钮并选择“捕获报文”选项下载此.cap文件。
对报文诊断结束后,通过诊断信息可以查看各安全业务模块对报文的处理情况。对正确处理报文的业务模块,系统会给出示意;对丢弃报文的业务模块,系统会给出示意,并给出丢包原因。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!