配置 远程抓包Word格式文档下载.docx
- 文档编号:22730328
- 上传时间:2023-02-05
- 格式:DOCX
- 页数:10
- 大小:38.73KB
配置 远程抓包Word格式文档下载.docx
《配置 远程抓包Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《配置 远程抓包Word格式文档下载.docx(10页珍藏版)》请在冰豆网上搜索。
∙支持的物理接口:
▪GE
▪FE
∙支持的逻辑接口:
▪Eth-Trunk
▪Serial
▪VirtualTemplate
▪Dialer
▪Vlanif
▪子接口
如果在子接口上配置,需要先配置VLAN。
操作步骤
1.执行命令system-view,进入系统视图。
2.执行命令interfaceinterface-typeinterface-number进入接口视图。
3.根据需要执行以下命令,指定接口抓包方向以及该接口用来存储抓包的队列:
packet-capture{{no-ip-packet|all-packet}|{ip-packetacl-number[ingress|egress]}}[queuequeue-id]
注意:
∙如果没有配置抓包方向,则默认为双向。
∙设备单方向一次最大抓包数目为1000个报文。
每个接口只能对应一个队列,缓存队列的个数为2个,每个队列最多存储2000个报文。
启动抓包进程
抓包接口配置完成后,需启动抓包进程进行抓包,并设置单方向抓包的最大值。
启动抓包应该选择业务流量较小的时间进行,以免造成当前业务的中断。
2.执行命令packet-capturestartup[brief|verbose|packet-number],启动抓包进程,并设置单方向抓包的数量。
发送抓包队列
发送抓包队列需要配置发送队列和接收抓包报文的目的主机参数。
2.执行命令packet-capturesendqueuequeue-id[vpn-instancevpn-instance-name]ipip-address[destination-portport-id],发送某个队列的报文并设置接收报文的目的主机的IP地址和端口。
缺省情况下,接收抓包报文的目的主机的端口号为9005。
循环执行该步骤可以将各队列的所有报文都依次发送到目的主机。
说明:
目的主机的接收软件成功接收某个队列后,将该队列报文保存为.cap文件,该文件命名方式为设备名+接口名+主机当前时间.cap。
该.cap文件可以借助常用抓包软件如Ethereal直接打开进行分析,不建议使用Packetyzer软件。
配置远程抓包举例
以PC通过Telnet登录到设备接口进行抓包为例进行了配置远程抓包的介绍。
组网需求
如图1所示,Eudemon的GigabitEthernet0/0/0接口和外网相连,接口上有一定的数据流量通过。
可以从PC上Telnet到Eudemon。
现在需要在PC上Telnet到Eudemon对GigabitEthernet0/0/0接口进行抓包配置,并将抓取的报文发送到PC进行分析。
图1远程抓包配置组网图
项目
数据
(1)
接口:
GigabitEthernet0/0/0(远程抓包的接口名称)
抓包匹配的ACL编号
3000
报文的队列编号
queue0
接收报文的PC的IP地址
128.18.196.3
配置思路
采用如下思路配置远程抓包:
1.在PC上启动报文接收软件。
2.在Eudemon上为接口配置抓包队列、启动抓包进程、发送抓取到的报文到PC、清空队列。
1.请根据组网需求以及是否需要使用与安全区域相关的特性,决定是否将接口加入安全区域并配置域间包过滤。
具体步骤略。
2.在PC上启动报文接收软件(略)。
3.在接口上配置抓包队列。
#配置ACL。
<
Eudemon>
system-view
[Eudemon]acl3000
[Eudemon-acl-adv-3000]rulepermitip
[Eudemon-acl-adv-3000]quit
#配置抓取IP报文存入的队列。
[Eudemon]interfaceGigabitEthernet0/0/0
[Eudemon-GigabitEthernet0/0/0]packet-capture3000queue0
[Eudemon-GigabitEthernet0/0/0]quit
4.启动抓包,向开启报文接收软件的主机依次发送队列里的报文。
5.[Eudemon]packet-capturestartup
6.[Eudemon]packet-capturesendqueue0ip128.18.196.3
7.[Eudemon]quit
8.清空抓包队列,释放内存。
#在确认主机侧已经完整接收完毕后,删除队列中所有报文。
resetpacket-capturequeue0
V300R001版本
用户通过PCTelnet到Eudemon上对接口
(1)进行抓包配置,将抓取的报文发送到PC上进行分析。
2.根据需要执行命令packet-capture{no-ip-packet|all-packet|ipv4-packetacl-number|ipv6-packetacl6-number}[inbound|outbound][queuequeue-id]interfaceinterface-typeinterface-number,指定接口抓包方向以及该接口用来存储抓包的队列。
∙对于18FE+2SFP、16GE+4SFP、8FE+2GE和5FSW接口卡的接口,只能在inbound方向上抓包。
∙设备提供四个队列用于存储抓到的报文,每个接口只能对应一个队列。
设备单次最大抓包数目如下:
▪Eudemon1000E-X、Eudemon200E-C/F/X3/X5/X6/X7为1000个报文。
每个队列最多存储2000个报文,2000个以后的报文将被丢弃,不再进入队列。
▪Eudemon200E-B/X1/X2为500个报文。
每个队列最多存储1000个报文,1000个以后的报文将被丢弃,不再进入队列。
在队列存储的报文达到最大抓包数目以后如需重新抓包,可以配置该接口对应另一队列,或使用resetpacket-capturequeue命令清空该队列。
抓包接口配置完成后,需设置抓包服务器并启动抓包进程进行抓包。
2.执行命令packet-capturestartup[brief|verbose]manual[packet-number],启动抓包进程。
配置brief参数是指抓取报文的简要信息,verbose是指抓取报文的详细会话信息。
当需要手动抓包,并限制抓包数量时,请配置手动抓包manual,并设定单方向抓包数量packet-number。
后续处理
启动远程抓包后,可以执行命令displaypacket-capture查看抓包配置和报文统计信息。
#查看远程抓包功能的配置信息。
sysname>
displaypacket-captureconfiguration
capturenumber:
1000
interface-namepacket-directionacl-numberqueue-id
GigabitEthernet0/0/1ingress30000
GigabitEthernet0/0/1egress30000
GigabitEthernet0/0/2ingress30011
GigabitEthernet0/0/2egress30011
#查看远程抓包的统计信息。
displaypacket-capturestatistic
Numberofdroppedpacketsforexceptionduringsaving:
0
Numberofdroppedpacketsforexceptionduringsending:
Queue0
receivepacket30
droppacket0
deletepacket48
sendsucceeded0
sendfailed0
savepacket0
Queue1
receivepacket48
deletepacket303
保存抓包队列
用户将抓取到的报文保存在设备中。
2.可选:
执行命令packet-capturequeuequeue-idto-filefile-name,将指定抓包队列保存为*.cap文件到设备上。
如图1所示,Eudemon的GigabitEthernet0/0/1接口和外网相连。
现在需要在PC上Telnet到Eudemon对GigabitEthernet0/0/1接口进行抓包配置,并将抓取的报文下载到PC进行分析。
GigabitEthernet0/0/1(远程抓包的接口名称)
2.在Eudemon上为接口配置抓包队列、启动抓包进程、保存抓取的报文、下载抓取到的报文到PC。
1.将接口加入安全区域,并配置域间包过滤,以保证网络基本通信正常。
4.[Eudemon]packet-captureall-packetqueue0interfaceGigabitEthernet0/0/1
5.启动抓包功能。
6.[Eudemon]packet-capturestartupmanual
7.将指定抓包队列保存为1.cap文件到设备上,默认存放盘符是hda1。
8.[Eudemon]packet-capturequeue0to-file1.cap
9.用户通过FTP服务从设备上下载1.cap文件,使用抓包软件打开,分析抓取到的报文。
10.清空抓包队列,释放内存。
在确认主机侧已经完整接收完毕后,删除队列中所有报文。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 配置 远程抓包 远程