防火墙
- 1关注
- 1收藏,1140浏览
问题描述:
华三防火墙如何做端镜像、数据抓包?
组网及组网描述:
华三防火墙如何做端口镜像、数据抓包?
- 2021-09-18提问
- 举报
-
(0)
最佳答案
您好,具体型号是什么?参考镜像配置链接。但是需要注意,部分防火墙不支持端口镜像
端口镜像与硬件适配关系
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
型号 | 说明 |
F5010/F5020/F5020-GM/F5030/F5030-6GW/F5040/F5060/F5080/F5000-V30/F5000-C/F5000-S/F5000-M/F5000-A | · F5010/F5020/F5020-GM/F5040/F5000-C/F5000-S:支持 · F5030/F5030-6GW/F5060/F5080/F5000-V30/F5000-M/F5000-A:仅槽位slot3~slot8支持 |
F5000-AI-20/F5000-AI-40 | 仅槽位slot3~slot8支持 |
F1000-AI-20/F1000-AI-30/F1000-AI-50 | 支持 |
F1005/F1010/F1020/F1020-GM/F1030/F1030-GM/F1050/F1060/F1070/F1070-GM/F1070-GM-L/F1080/F1000-V70 | · F1005/F1010:不支持 · F1020/F1020-GM/F1030/F1030-GM/F1050/F1060/F1070/F1070-GM/F1070-GM-L/F1080/F1000-V70:支持 |
F1003-L/F1005-L/F1010-L | 不支持 |
F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK710/AK711 | · F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK710:不支持 · F1000-AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK711:支持 |
F1000-AK1110/AK1120/AK1130/AK1140/AK1212/AK1222/AK1232/AK1312/AK1322/AK1332 | · F1000-AK1110/AK1120/AK1130/AK1140:不支持 · F1000-AK1212/AK1222/AK1232/AK1312/AK1322/AK1332:支持 |
F1000-GM-AK370/F1000-GM-AK380 | 支持 |
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1 | 不支持 |
LSXM1FWDF1/LSUM1FWDEC0/IM-NGFWX-IV/LSQM1FWDSC0/LSWM1FWD0/LSPM6FWD/LSQM2FWDSC0 | 不支持 |
- 2021-09-18回答
- 评论(0)
- 举报
-
(0)
1、端口镜像:
http://www.h3c.com/cn/d_201808/1103100_30005_0.htm
2、抓包
wireshark
- 2021-09-18回答
- 评论(0)
- 举报
-
(0)
暂无评论
盒式设备直接web界面抓包就行了,系统,诊断里面有抓包,
可以选择具体端口和ACL等
框式的比较麻烦,需要将流量手动引流到防火墙插卡再转,建议直接本地端口镜像抓包
- 2021-09-19回答
- 评论(0)
- 举报
-
(0)
暂无评论
防火墙支持报文捕获功能,以下是配置说明,请参考:
1.10 报文捕获典型配置举例
1.10.1 报文捕获基本组网配置举例
1. 组网需求
在Device上启动报文捕获功能对设备上的流量进行捕获,具体报文捕获需求如下:
· 捕获接口GigabitEthernet1/0/1上源IP地址网段为10.1.1.0/24和目的IP地址网段为20.1.1.0/24的报文;
· 限制捕获报文的最大长度为3000字节;
· 将捕获文件上传到FTP服务器。
2. 组网图
图1-1 捕获出入设备流量配置举例组网图
3. 配置步骤
(1) 配置各接口的IP地址(略)
(2) 创建安全域并将接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
# 配置IPv4高级ACL 3000,源IP地址网段为10.1.1.0/24,目的IP地址网段为20.1.1.0/2。
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 20.1.1.0 0.0.0.255
[Device-acl-ipv4-adv-3000] quit
(3) 配置安全域间实例
# 应用IPv4高级ACL 3000对安全域间实例source Trust destination Untrust收到的报文进行过滤。
[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-Trust-Untrust] packet-filter 3000
[Device-zone-pair-security-Trust-Untrust] quit
(4) 配置报文捕获功能
# 配置捕获文件的存储路径为***.***/pcap/,FTP用户名为zhangsan,密码为123。
[Device] packet-capture storage remote ftp://***.***/pcap/ user zhangsan password simple 123
# 配置捕获报文的最大长度为3000字节。
[Device] packet-capture max-bytes 3000
# 启动报文捕获功能,且在接口GigabitEthernet1/0/1上捕获匹配高级ACL 3000中permit规则的报文。
[Device] packet-capture start acl 3000 interface GigabitEthernet1/0/1
4. 验证配置
以上配置完成后,通过执行命令display packet-capture status可以查看到报文捕获的状态。
[Device] display packet-capture status
Capture status: Started
Filter: ACL 3000
Interface GigabitEthernet1/0/1
# 用抓包软件打开FTP服务器上的捕获报文文件进行分析。(此处以Ethereal软件为例打开捕获报文)
图1-2 用Ethereal抓包软件打开捕获的报文
- 2021-09-22回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论