华为防火墙五元组抓包-CLI
以USG6000 为例,通过命令行方式进行五元组抓包时,可以指定抓包长度(最长1500字节)和抓包数量(最多1000个报文),可以看到报文内容,且该方式相对端口镜像抓包简单。若需要结合报文内容进行定位问题,且抓包数量不多时,可以使用五元组抓包。
- 配置各个接口的IP地址,并加入相应的安全区域,具体操作步骤请参见产品文档。
- 在接口上配置抓包队列。
- 在接口上配置IPv4抓包队列。
<sysname> system-view [sysname] packet-capture ipv4-packet 3001 queue 0 interface GigabitEthernet 1/0/1 [sysname] packet-capture ipv4-packet 3002 queue 1 interface GigabitEthernet 1/0/2 [sysname] packet-capture ipv4-packet 3003 queue 2 interface GigabitEthernet 1/0/3
- 在接口上配置IPv6抓包队列。
<sysname> system-view [sysname] packet-capture ipv6-packet 3001 queue 0 interface GigabitEthernet 1/0/1 [sysname] packet-capture ipv6-packet 3002 queue 1 interface GigabitEthernet 1/0/2 [sysname] packet-capture ipv6-packet 3003 queue 2 interface GigabitEthernet 1/0/3
假设ACL规则和ACL6规则已经配置完成。请根据实际网络情况选择需要抓取的报文。
- 在接口上配置IPv4抓包队列。
- 启动抓包功能,单次抓取1000个报文,报文最大长度1500字节。
[sysname] packet-capture startup packet-len 1500 packet-num 1000
- 将指定抓包队列保存为1.cap文件到设备上,默认存放路径是hda1:/。
[sysname] packet-capture queue 0 to-file 0.cap [sysname] packet-capture queue 1 to-file 1.cap [sysname] packet-capture queue 2 to-file 2.cap
- 用户通过SFTP服务从设备CF卡中下载*.cap文件,使用抓包软件打开,分析抓取到的报文。具体过程略。
- 清空抓包队列,释放内存。
在确认主机侧已经完整接收完毕后,删除队列中所有报文。
<sysname> reset packet-capture queue 0 <sysname> reset packet-capture queue 1 <sysname> reset packet-capture queue 2
- 抓包完成后,停止抓包进程。
<sysname> system-view [sysname] undo packet-capture startup
阅读剩余
版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/3379.html
文章版权归作者所有,未经允许请勿转载。
THE END