12-报文捕获配置
本章节下载: 12-报文捕获配置 (205.27 KB)
目 录
报文捕获功能用于捕获设备的双向流量,并将捕获到的报文生存成Wireshark(一种网络封包分析软件)可识别的.cap后缀文件,保存到本地或外部服务器,供用户分析诊断出入设备的流量。
捕获报文的最小单位是一个报文,捕获报文的具体过程如下:
(1) 首先捕获一个报文中允许最大长度以内的部分,并生成一条捕获信息,对于超出的部分不再进行捕获;
(2) 然后将生成的捕获信息条目存储在内存中的捕获文件;
(3) 最后当捕获文件存储的捕获条目达到最大存储数后,系统会将内存中的捕获文件保存到指定的存储路径,并删除内存中的捕获文件。
· 启动报文捕获功能会对设备的性能产生影响,因此建议只在需要捕获报文的情况下启动该功能。
· 捕获文件存储在本地的情况下,报文捕获启动后系统会删除捕获文件存储路径下所有.cap后缀的文件,因此报文捕获完成后请及时导出所需的捕获文件。
· 设备上同时只允许一个用户进行报文捕获。
· 报文捕获功能启动后,报文捕获的参数不能再被修改。
· 报文捕获功能仅支持对缺省Context和使用共享接口的非缺省Context进行报文捕获,对使用独享接口的非缺省Context不支持报文捕获。且仅支持在缺省Context中对非缺省Context的报文进行捕获。有关Context的详细介绍,请参见“虚拟化技术配置指导”中的“Context”。
· 报文捕获功能必须通过配置流量镜像功能,将流量镜像到Context所进驻安全引擎组的主安全引擎上,以便实现对Context的报文进行捕获。有关流镜像的详细介绍,请参见“网络管理和监控配置指导”中的“流镜像”。有关安全引擎组的详细介绍,请参见“虚拟化技术配置指导”中的“Context”。
· 仅支持基于ACL捕获报文,不支持基于接口捕获报文。
(1) 配置报文捕获的参数
(2) 启动报文捕获功能
(3) 停止报文捕获功能
(1) 进入系统视图。
system-view
(2) 配置捕获报文的最大长度。
packet-capture max-bytes bytes
缺省情况下,捕获报文的最大长度为1600字节。
为能够捕获到完整报文,建议配置捕获报文的最大长度不低于接口的MTU值。
(3) 配置捕获文件存储捕获条目的最大数。
packet-capture max-file-packets number
缺省情况下,捕获文件存储捕获条目的最大数为100。
(4) 配置捕获文件的存储路径。
packet-capture storage { local [ limit limit-space ] | remote serverpath [ vpn-instance vpn-instance-name ] [ user username [ password { cipher | simple } string ] ] }
缺省情况下,捕获文件存储在当前主控板缺省文件系统的pcap文件夹下。(独立运行模式)
缺省情况下,捕获文件存储在当前全局主用主控板缺省文件系统的pcap文件夹下。(IRF模式)
(1) 进入系统视图。
system-view
(2) 启动报文捕获功能。
packet-capture start acl { acl-number | ipv6 acl-number }
缺省情况下,报文捕获功能处于停止状态。
可以通过本命令停止报文捕获。由于当缓存中的报文比较多时,将这些缓存的报文全部保存到捕获文件会需要较长的时间,因此系统提供了两种保存方式:立刻停止报文捕获功能(即指定immediately参数);保存完缓存中的报文后才停止报文捕获功能。
(1) 进入系统视图。
system-view
(2) 停止报文捕获功能。
packet-capture stop [ immediately ]
在完成上述配置后,在任意视图下执行display命令可以显示配置后的报文捕获功能的状态信息。
表1-1 报文捕获显示和维护
操作 |
命令 |
显示报文捕获功能的配置和状态信息 |
display packet-capture status |
在Device上启动报文捕获功能对设备上的流量进行捕获,具体报文捕获需求如下:
· 在接口GigabitEthernet1/0/1上捕获源IP地址网段为10.1.1.0/24与目的IP地址网段为20.1.1.0/24之间的双向报文。
· 限制捕获报文的最大长度为3000字节。
· 将捕获文件上传到FTP服务器。
图1-1 报文捕获基本组网配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
(3) 配置安全策略
# 配置名称capturelocalout的安全策规则,使设备device捕获的报文可以上传到FTP服务器,假设FTP服务器的地址为10.1.2.2/24,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name capturelocalout
[Device-security-policy-ip-1-capturelocalout] source-zone local
[Device-security-policy-ip-1-capturelocalout] destination-zone dmz
[Device-security-policy-ip-1-capturelocalout] destination-ip-host 10.1.2.2
[Device-security-policy-ip-1-capturelocalout] action pass
[Device-security-policy-ip-1-capturelocalout] quit
[Device-security-policy-ip] quit
(4) 配置流镜像功能
# 配置IPv4高级ACL 3001,能够匹配源IP地址网段为10.1.1.0/24,目的IP地址网段为20.1.1.0/24的报文;和源IP地址网段为20.1.1.0/24,目的地址网段为10.1.1.0/24的报文。
<Device> system-view
[Device] acl advanced 3001
[Device-acl-ipv4-adv-3001] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 20.1.1.0 0.0.0.255
[Device-acl-ipv4-adv-3001] rule 1 permit ip source 20.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[Device-acl-ipv4-adv-3001] quit
# 创建流分类abc,并配置报文匹配规则为ACL 3001。
[Device] traffic classifier abc
[Device-classifier-abc] if-match acl 3001
[Device-classifier-abc] quit
# 创建流行为abc,并配置流镜像到Context所进驻安全引擎组的主安全引擎上(本举例假设此主安全引擎的Blade接口为Blade 4/0/1。
[Device] traffic behavior abc
[Device-behavior-abc] mirror-to interface blade 4/0/1
[Device-behavior-abc] quit
# 创建QoS策略abc,在策略中为流分类abc指定采用流行为abc。
[Device] qos policy abc
[Device-qospolicy-abc] classifier abc behavior abc
[Device-qospolicy-abc] quit
# 将QoS策略abc应用到接口GigabitEthernet1/0/1的inbound和outbound方向上,且必须开启enhancement功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] qos apply policy abc inbound enhancement
[Device-GigabitEthernet1/0/1] qos apply policy abc outbound enhancement
[Device-GigabitEthernet1/0/1] quit
(5) 配置报文捕获功能
# 配置捕获文件的存储路径、FTP用户名、密码及捕获文件的最大字节。开启报文捕获功能,捕获匹配ACL 3001的报文。
[Device] packet-capture storage remote ftp://ftp.remote.com/pcap/ user zhangsan password 123456TESTplat&!
[Device] packet-capture max-bytes 3000
[Device] packet-capture start acl 3001
以上配置完成后,通过执行命令display packet-capture status可以查看到报文捕获的状态。
[Device] display packet-capture status
Capture status: Started
Filter: ACL 3001
# 用抓包软件打开FTP服务器上的捕获报文文件进行分析。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!