你不得不知的97国际装备报文捕获技巧 | 运维实战家

宣布时间：2020-04-21

97国际·(中国区)集团官方网站

“运维实战家”专栏，从手艺到实践，和您聊聊运维的那些事儿

97国际·(中国区)集团官方网站

本文作者：田小杨

（97国际网络手艺服务部）

前言

你是否也遇到过这样的情形？在爆发故障时要举行装备抓包，于是最先盘问对应装备手册寻找抓包要领，等你千辛万苦找到后故障已经消逝错过了抓包时间，于是你立誓要记下所有装备的抓包要领，但又由于运维的装备型号太多并且每种型号的抓包方法差别而放弃。着实虽然97国际差别类型装备的抓包要领差别，但一些装备底层设计的抓包方法是相同的，好比数据中心交流机和出口网关EG的抓包要领看起来差别但现实上都是通过PCAP功效举行抓包的。本文中作者为各人汇总了97国际常见装备的报文捕获要领及技巧，你只需学会常用的几种抓包实现方法并相识差别装备通过哪种方法实现，就能闻一知十，玩转97国际装备报文捕获。

97国际·(中国区)集团官方网站

交流机装备抓包

园区网交流机

园区网交流机是通过端口镜像功效实现报文捕获的，端口镜像是通过在装备上将一个或多个源端口的数据流量复制到一个或多个指定端口上，以便对被监控流量举行故障定位、流量剖析、流量备份等。常用的端口镜像有两种，外地端口镜像（以下简称“SPAN”）和远程端口镜像（以下简称“RSPAN”）。

SPAN是外地端口镜像用于在单台装备举行一对一端口镜像或多对一端口镜像，将一个或多个端口的流量复制到另外一个端口上，并且还可以在此基础上添加ACL匹配数据流抵达更细腻化的基于流的端口镜像，别的还可以通过交流机的WEB页面设置SPAN。

97国际·(中国区)集团官方网站

RSPAN是远程端口镜像现在有两种使用场景，第一种是用于单台装备举行一对多端口镜像或者多对多端口镜像，第二种用于在二层的情形下跨越多台装备举行端口镜像。

97国际·(中国区)集团官方网站

数据中心交流机

数据中心交流机既可以通过端口镜像功效举行报文捕获，还可以使用PCAP功效举行报文捕获。PCAP（Packet Capture）是一种网络装备支持的抓包功效，类似于小我私家电脑上的抓包软件�？梢越虢涣骰蛘叽咏涣骰⒌谋ㄎ淖ト∠吕瓷脑谖募谢蛑苯酉允境隼�。PCAP可以通过两种方法举行抓包，控制面抓包和转发面抓包。

控制面抓包可以抓取控制面或者某个物理接口下匹配7元组信息（源MAC、目的MAC、二层协议类型、源IP、目的IP、三层协议类型、TCP/UDP端口信息）的报文。

转发面抓包可以抓取匹配ACL规则的报文。

97国际·(中国区)集团官方网站

抓取携带VLAN TAG的报文

在排查一些交流机问题时，需要抓取带VLAN TAG的报文。大部分Linux终端或苹果Mac终端无需做任何设置默认可以抓取到携带VLAN TAG的报文。Windows终端的大部分网卡驱动默认会在吸收数据包的时间过滤VLAN TAG，使得用Wireshark等软件抓到的数据包中不含VLAN TAG�？梢酝ü薷腤indows终端的注册表让驱动保存VLAN TAG，就能抓到带VLAN TAG的报文了。

97国际·(中国区)集团官方网站

出口装备抓包

出口网关

出口网关（以下简称“EG”）是通过PCAP功效实现抓包，可以在下令行下或者WEB页面下举行报文捕获。EG下令行下设置PCAP参考上节数据中心交流机PCAP控制面抓包设置此处不在赘述。在EG的WEB页面下举行报文捕获是较量常用的要领，操作要领如下。

（1）在EG的WEB页面点击“高级-抓包工具”翻开“抓包诊断工具”（老版本EG点击“高级-一键网络-抓包诊断工具”）

97国际·(中国区)集团官方网站

（2）添加抓包规则，在设置抓包规则时可以设置7元组信息（源MAC、目的MAC、二层协议类型、源IP、目的IP、三层协议类型、TCP/UDP端口信息）举行报文过滤

97国际·(中国区)集团官方网站

（3）添加抓包点，设置抓包接口和抓包规则

97国际·(中国区)集团官方网站

（4）完成设置后点击“最先抓包”，EG每次抓包只能抓取20MB的报文，凌驾此巨细会自动阻止，点击“阻止抓包”后，点击“下载文件”对捕获报文举行下载

97国际·(中国区)集团官方网站

防火墙

防火墙是通过Sniffer功效实现抓包，可以在下令下或者WEB页面下举行报文捕获。
下令行下通过Sniffer抓取的报文会直接打印出来，将打印出来的报文生涯为文本文件，然后通过“Perl诠释器”可将文本名堂报文转换为我们常用的Wireshark名堂报文，详细转换要领可在97国际官网下载防火墙产品一本通审查。

97国际·(中国区)集团官方网站

在防火墙的WEB页面下举行报文捕获是较量常用的要领，操作要领如下。

（1）在防火墙的WEB界面点击“网络设置-网络”翻开“数据包捕获”

97国际·(中国区)集团官方网站

（2）新建抓包规则，选择抓包接口，并可设置过滤规则举行报文过滤

97国际·(中国区)集团官方网站

（3）启动抓包，最先捕获数据包，完成抓包后阻止抓包，并下载报文

97国际·(中国区)集团官方网站

路由器

在路由器上举行报文捕获分为两种情形，捕获路由器二层口报文和捕获路由器三层口报文。

路由器的二层接口支持端口镜像功效，直接使用端口镜像功效举行报文捕获即可。

现在并不是所有路由器的三层口都支持端口镜像功效。若是你的路由器三层口支持端口镜像直接使用端口镜像举行报文捕获即可；若是你的路由器的三层口不支持端口镜像但你的路由器上有二层口，可以将三层口串接到路由器自身的二层口上，在二层口上举行端口镜像；若是你的路由器的三层口不支持端口镜像并且你的路由器上也没有二层口，可以将三层口串接一台支持端口镜像的交流机，在交流机上设置端口镜像举行报文捕获。

无线装备抓包

无线控制器

捕获流经无线控制器（以下简称“AC”）的报文有两种要领，PCAP和端口镜像。

第一种要领是使用PCAP功效在AC的WEB页面上举行抓包。点击“诊断-抓包诊断”进入报文抓包工具，抓包办法参考上小节EG的WEB页面抓包办法此处不在赘述。需要注重的是AC的每次抓取报文巨细与EG有所差别，AC默认抓包抵达2MB或抓包个数为1024个报文或抓包时长10分钟，恣意一个条件抵达则自动阻止抓包。现在版本的AC已支持WEB页面上抓包，若是你使用的AC版本不支持WEB页面上抓包可升级软件版本或使用第二种要领端口镜像功效举行报文捕获。

97国际·(中国区)集团官方网站

第二种要领是使用端口镜像功效。关于支持端口镜像的AC可以直接在AC上设置端口镜像，现在大部分型号的AC都支持端口镜像功效。需要注重是虚拟化AC不支持设置端口镜像功效，若是AC安排了虚拟化或者使用的AC型号不支持端口镜像，可通过在AC的上联交流机上设置端口镜像捕获AC上报文。

无线接入点

若是想要捕获流经无线接入点（以下简称“AP”）的报文，可通过在AP的上联POE交流机上设置端口镜像举行报文捕获。

抓取空口报文

作者经常被问题一个问题，为什么在终端上直接抓无线网卡抓包，抓到的数据帧头部是以太网，而不是802.11呢？这是由于终端已经举行了无线帧的转化，若是想捕获802.11的数据帧那么就需要举行空口抓包。

大部分Linux终端或苹果Mac终端可通过电脑自带的无线网卡来抓取无线空口报文，将Linux终端或苹果Mac终端的无线网卡设置成监听模式，然后直接使用Wireshark抓包即可。但关于Windows终端而言，Windows大部分的无线网卡驱动不允许你将无线网卡切换到监听模式，一样平常可以通过以下要领在Windows下抓取无线空口报文：

（1）Wireshark+Airpcap抓包工具

若是想在Windows下使用Wireshark抓取空口报文，要使用Airpcap抓包工具，Airpcap是被设计用来突破Windows强加给无线数据包剖析的限制的，但价钱较量腾贵。

（2）Omnipeek+Omnipeek支持的无线网卡+Omnipeek无线网卡驱动

使用Omnipeek举行无线空口抓包是现在常用的要领，需要注重的是Omnipeek只支持部分无线网卡捕获无线空口报文，支持的无线网卡型号可在Omnipeek官网上盘问，同时还需要装置特殊的无线网卡驱动才可以捕获到无线空口报文。

97国际·(中国区)集团官方网站

需要注重的是捕获无线空口报文与捕获有线报文有所差别，在抓取无线空口报文时，统一时间只能抓取一个信道的报文。

认证装备抓包

MCP

MCP可以通过Linux服务器上的Tcpdump工具举行抓包，可以在下令行下和WEB页面下举行报文捕获。若是说Wireshark是天下上盛行的图形化数据包剖析工具，那么Tcpdump是天下上盛行的下令行数据包剖析工具。通过SSH登录到MCP的Linux服务器上使用Tcpdump下令举行抓包，使用Tcpdump抓包后可以直接在下令行下举行剖析或者将报文导出使用Wireshark举行剖析，下表为各人整理了常用的Tcpdump下令参数。

97国际·(中国区)集团官方网站