华为防火墙五元组抓包-CLI

USG6000 为例,通过命令行方式进行五元组抓包时,可以指定抓包长度(最长1500字节)和抓包数量(最多1000个报文),可以看到报文内容,且该方式相对端口镜像抓包简单。若需要结合报文内容进行定位问题,且抓包数量不多时,可以使用五元组抓包。

  1. 配置各个接口的IP地址,并加入相应的安全区域,具体操作步骤请参见产品文档。
  2. 在接口上配置抓包队列。 
    • 在接口上配置IPv4抓包队列。
      <sysname> system-view
      [sysname] packet-capture ipv4-packet 3001 queue 0 interface GigabitEthernet 1/0/1
      [sysname] packet-capture ipv4-packet 3002 queue 1 interface GigabitEthernet 1/0/2
      [sysname] packet-capture ipv4-packet 3003 queue 2 interface GigabitEthernet 1/0/3
    • 在接口上配置IPv6抓包队列。
      <sysname> system-view
      [sysname] packet-capture ipv6-packet 3001 queue 0 interface GigabitEthernet 1/0/1
      [sysname] packet-capture ipv6-packet 3002 queue 1 interface GigabitEthernet 1/0/2
      [sysname] packet-capture ipv6-packet 3003 queue 2 interface GigabitEthernet 1/0/3

    假设ACL规则和ACL6规则已经配置完成。请根据实际网络情况选择需要抓取的报文。

     

  3. 启动抓包功能,单次抓取1000个报文,报文最大长度1500字节。 
    [sysname] packet-capture startup packet-len 1500 packet-num 1000

     

  4. 将指定抓包队列保存为1.cap文件到设备上,默认存放路径是hda1:/。 
    [sysname] packet-capture queue 0 to-file 0.cap 
    [sysname] packet-capture queue 1 to-file 1.cap 
    [sysname] packet-capture queue 2 to-file 2.cap

     

  5. 用户通过SFTP服务从设备CF卡中下载*.cap文件,使用抓包软件打开,分析抓取到的报文。具体过程略。
  6. 清空抓包队列,释放内存。 

    在确认主机侧已经完整接收完毕后,删除队列中所有报文。

    <sysname> reset packet-capture queue 0 
    <sysname> reset packet-capture queue 1 
    <sysname> reset packet-capture queue 2

     

  7. 抓包完成后,停止抓包进程。 
    <sysname> system-view 
    [sysname] undo packet-capture startup
阅读剩余
THE END