• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

17-网络管理和监控配置指导

目录

12-报文捕获配置

本章节下载 12-报文捕获配置  (205.27 KB)

12-报文捕获配置


1 报文捕获

1.1  报文捕获简介

报文捕获功能用于捕获设备的双向流量,并将捕获到的报文生存成Wireshark(一种网络封包分析软件)可识别的.cap后缀文件,保存到本地或外部服务器,供用户分析诊断出入设备的流量。

捕获报文的最小单位是一个报文,捕获报文的具体过程如下:

(1)     首先捕获一个报文中允许最大长度以内的部分,并生成一条捕获信息,对于超出的部分不再进行捕获;

(2)     然后将生成的捕获信息条目存储在内存中的捕获文件;

(3)     最后当捕获文件存储的捕获条目达到最大存储数后,系统会将内存中的捕获文件保存到指定的存储路径,并删除内存中的捕获文件。

1.2  报文捕获配置限制和指导

·     启动报文捕获功能会对设备的性能产生影响,因此建议只在需要捕获报文的情况下启动该功能。

·     捕获文件存储在本地的情况下,报文捕获启动后系统会删除捕获文件存储路径下所有.cap后缀的文件,因此报文捕获完成后请及时导出所需的捕获文件。

·     设备上同时只允许一个用户进行报文捕获。

·     报文捕获功能启动后,报文捕获的参数不能再被修改。

·     报文捕获功能仅支持对缺省Context和使用共享接口的非缺省Context进行报文捕获,对使用独享接口的非缺省Context不支持报文捕获。且仅支持在缺省Context中对非缺省Context的报文进行捕获。有关Context的详细介绍,请参见“虚拟化技术配置指导”中的“Context”。

·     报文捕获功能必须通过配置流量镜像功能,将流量镜像到Context所进驻安全引擎组的主安全引擎上,以便实现对Context的报文进行捕获。有关流镜像的详细介绍,请参见“网络管理和监控配置指导”中的“流镜像”。有关安全引擎组的详细介绍,请参见“虚拟化技术配置指导”中的“Context”。

·     仅支持基于ACL捕获报文,不支持基于接口捕获报文。

1.3  报文捕获配置任务简介

报文捕获配置任务如下:

(1)     配置报文捕获的参数

(2)     启动报文捕获功能

(3)     停止报文捕获功能

1.4  配置报文捕获的参数

(1)     进入系统视图。

system-view

(2)     配置捕获报文的最大长度。

packet-capture max-bytes bytes

缺省情况下,捕获报文的最大长度为1600字节。

为能够捕获到完整报文,建议配置捕获报文的最大长度不低于接口的MTU值。

(3)     配置捕获文件存储捕获条目的最大数。

packet-capture max-file-packets number

缺省情况下,捕获文件存储捕获条目的最大数为100。

(4)     配置捕获文件的存储路径。

packet-capture storage { local [ limit limit-space ] | remote serverpath [ vpn-instance vpn-instance-name ] [ user username [ password { cipher | simple } string ] ] }

缺省情况下,捕获文件存储在当前主控板缺省文件系统的pcap文件夹下。(独立运行模式)

缺省情况下,捕获文件存储在当前全局主用主控板缺省文件系统的pcap文件夹下。(IRF模式)

1.5  启动报文捕获功能

(1)     进入系统视图。

system-view

(2)     启动报文捕获功能。

packet-capture start acl { acl-number | ipv6 acl-number }

缺省情况下,报文捕获功能处于停止状态。

1.6  停止报文捕获功能

1. 功能简介

可以通过本命令停止报文捕获。由于当缓存中的报文比较多时,将这些缓存的报文全部保存到捕获文件会需要较长的时间,因此系统提供了两种保存方式:立刻停止报文捕获功能(即指定immediately参数);保存完缓存中的报文后才停止报文捕获功能。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     停止报文捕获功能。

packet-capture stop [ immediately ]

1.7  报文捕获显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后的报文捕获功能的状态信息。

表1-1 报文捕获显示和维护

操作

命令

显示报文捕获功能的配置和状态信息

display packet-capture status

 

1.8  报文捕获典型配置举例

1.8.1  报文捕获基本组网配置举例(独立运行模式)

1. 组网需求

在Device上启动报文捕获功能对设备上的流量进行捕获,具体报文捕获需求如下:

·     在接口GigabitEthernet1/0/1上捕获源IP地址网段为10.1.1.0/24与目的IP地址网段为20.1.1.0/24之间的双向报文。

·     限制捕获报文的最大长度为3000字节。

·     将捕获文件上传到FTP服务器。

2. 组网图

图1-1 报文捕获基本组网配置组网图

 

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置接口加入安全域。

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name dmz

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3

[Device-security-zone-DMZ] quit

(3)     配置安全策略

# 配置名称capturelocalout的安全策规则,使设备device捕获的报文可以上传到FTP服务器,假设FTP服务器的地址为10.1.2.2/24,具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name capturelocalout

[Device-security-policy-ip-1-capturelocalout] source-zone local

[Device-security-policy-ip-1-capturelocalout] destination-zone dmz

[Device-security-policy-ip-1-capturelocalout] destination-ip-host 10.1.2.2

[Device-security-policy-ip-1-capturelocalout] action pass

[Device-security-policy-ip-1-capturelocalout] quit

[Device-security-policy-ip] quit

(4)     配置流镜像功能

# 配置IPv4高级ACL 3001,能够匹配源IP地址网段为10.1.1.0/24,目的IP地址网段为20.1.1.0/24的报文;和源IP地址网段为20.1.1.0/24,目的地址网段为10.1.1.0/24的报文。

<Device> system-view

[Device] acl advanced 3001

[Device-acl-ipv4-adv-3001] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 20.1.1.0 0.0.0.255

[Device-acl-ipv4-adv-3001] rule 1 permit ip source 20.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[Device-acl-ipv4-adv-3001] quit

# 创建流分类abc,并配置报文匹配规则为ACL 3001。

[Device] traffic classifier abc

[Device-classifier-abc] if-match acl 3001

[Device-classifier-abc] quit

# 创建流行为abc,并配置流镜像到Context所进驻安全引擎组的主安全引擎上(本举例假设此主安全引擎的Blade接口为Blade 4/0/1。

[Device] traffic behavior abc

[Device-behavior-abc] mirror-to interface blade 4/0/1

[Device-behavior-abc] quit

# 创建QoS策略abc,在策略中为流分类abc指定采用流行为abc。

[Device] qos policy abc

[Device-qospolicy-abc] classifier abc behavior abc

[Device-qospolicy-abc] quit

# 将QoS策略abc应用到接口GigabitEthernet1/0/1的inbound和outbound方向上,且必须开启enhancement功能。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] qos apply policy abc inbound enhancement

[Device-GigabitEthernet1/0/1] qos apply policy abc outbound enhancement

[Device-GigabitEthernet1/0/1] quit

(5)     配置报文捕获功能

# 配置捕获文件的存储路径、FTP用户名、密码及捕获文件的最大字节。开启报文捕获功能,捕获匹配ACL 3001的报文。

[Device] packet-capture storage remote ftp://ftp.remote.com/pcap/ user zhangsan password 123456TESTplat&!

[Device] packet-capture max-bytes 3000

[Device] packet-capture start acl 3001

4. 验证配置

以上配置完成后,通过执行命令display packet-capture status可以查看到报文捕获的状态。

[Device] display packet-capture status

Capture status: Started

  Filter: ACL 3001

# 用抓包软件打开FTP服务器上的捕获报文文件进行分析。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们