新华三M9006防火墙命令行抓包
- 0关注
- 0收藏,93浏览
web进行抓包:
1.8 报文捕获典型配置举例
1.8.1 报文捕获基本组网配置举例(独立运行模式)
1. 组网需求
在Device上启动报文捕获功能对设备上的流量进行捕获,具体报文捕获需求如下:
· 在接口GigabitEthernet1/0/1上捕获源IP地址网段为10.1.1.0/24与目的IP地址网段为20.1.1.0/24之间的双向报文。
· 限制捕获报文的最大长度为3000字节。
· 将捕获文件上传到FTP服务器。
2. 组网图
图1-1 报文捕获基本组网配置组网图
3. 配置步骤
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
(3) 配置安全策略
# 配置名称capturelocalout的安全策规则,使设备device捕获的报文可以上传到FTP服务器,假设FTP服务器的地址为10.1.2.2/24,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name capturelocalout
[Device-security-policy-ip-1-capturelocalout] source-zone local
[Device-security-policy-ip-1-capturelocalout] destination-zone dmz
[Device-security-policy-ip-1-capturelocalout] destination-ip-host 10.1.2.2
[Device-security-policy-ip-1-capturelocalout] action pass
[Device-security-policy-ip-1-capturelocalout] quit
[Device-security-policy-ip] quit
(4) 配置流镜像功能
# 配置IPv4高级ACL 3001,能够匹配源IP地址网段为10.1.1.0/24,目的IP地址网段为20.1.1.0/24的报文;和源IP地址网段为20.1.1.0/24,目的地址网段为10.1.1.0/24的报文。
[Device] acl advanced 3001
[Device-acl-ipv4-adv-3001] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 20.1.1.0 0.0.0.255
[Device-acl-ipv4-adv-3001] rule 1 permit ip source 20.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[Device-acl-ipv4-adv-3001] quit
# 创建流分类abc,并配置报文匹配规则为ACL 3001。
[Device] traffic classifier abc
[Device-classifier-abc] if-match acl 3001
[Device-classifier-abc] quit
# 创建流行为abc,并配置流镜像到Context所进驻安全引擎组的主安全引擎上(本举例假设此主安全引擎的Blade接口为Blade 4/0/1。
[Device] traffic behavior abc
[Device-behavior-abc] mirror-to interface blade 4/0/1
[Device-behavior-abc] quit
# 创建QoS策略abc,在策略中为流分类abc指定采用流行为abc。
[Device] qos policy abc
[Device-qospolicy-abc] classifier abc behavior abc
[Device-qospolicy-abc] quit
# 将QoS策略abc应用到接口GigabitEthernet1/0/1的inbound和outbound方向上,且必须开启enhancement功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] qos apply policy abc inbound enhancement
[Device-GigabitEthernet1/0/1] qos apply policy abc outbound enhancement
[Device-GigabitEthernet1/0/1] quit
(5) 配置报文捕获功能
# 配置捕获文件的存储路径、FTP用户名、密码及捕获文件的最大字节。开启报文捕获功能,捕获匹配ACL 3001的报文。
[Device] packet-capture storage remote ftp://***.***/pcap/ user zhangsan password 123456TESTplat&!
[Device] packet-capture max-bytes 3000
[Device] packet-capture start acl 3001
4. 验证配置
以上配置完成后,通过执行命令display packet-capture status可以查看到报文捕获的状态。
[Device] display packet-capture status
Capture status: Started
Filter: ACL 3001
核心命令:packet-capture
这是一个在任意视图下都可以执行的诊断命令,抓包行为是即时、短暂的,不会保存到配置中。
1. 基本语法
packet-capture { interface interface-type interface-number | mac | ip | ipv6 | vlan } * [ capture-filter capture-filter-expression | limit limit-number | duration limit-time | inbound | outbound | filesize limit-size | save filename ] *
2. 最常用、最直接的抓包示例
您可以根据需要在任意视图(用户视图、系统视图等)直接输入以下命令:
示例1:在指定接口抓指定数量的包(最常用)
# 在GigabitEthernet1/0/1接口的入方向,抓1000个包
<H3C> packet-capture interface GigabitEthernet 1/0/1 inbound limit 1000
inbound: 抓取进入该接口的包(从外部进入防火墙)。使用 outbound抓取从防火墙发出的包。
limit 1000: 只抓1000个包就自动停止,防止抓包过多影响性能或淹没有用信息。
示例2:在指定接口抓包,并使用BPF过滤器(关键!)
# 只抓取源IP是10.1.1.100,且目的端口是80的TCP流量
<H3C> packet-capture interface GigabitEthernet 1/0/1 inbound capture-filter "tcp and src host 10.1.1.100 and dst port 80"
capture-filter: 使用伯克利包过滤器(BPF)语法,这是精准抓包的关键。语法和Wireshark、tcpdump完全一致。
常用BPF过滤器:
host 192.168.1.1: 抓取与指定IP相关的所有流量
src host 10.0.0.1: 抓取源IP是10.0.0.1的流量
dst net 172.16.0.0/16: 抓取目的网段是172.16.0.0/16的流量
port 443: 抓取端口443的流量
tcp/ udp/ icmp: 抓取特定协议的流量
组合:tcp and port 80 and host 10.1.1.1
示例3:在全局/任意接口抓取特定VLAN或特定MAC的包
# 抓取整个设备上VLAN 10的所有广播/组播包
<H3C> packet-capture vlan 10 capture-filter "ether broadcast or ether multicast"
# 抓取目标MAC为 a1b2-c3d4-e5f6 的包
<H3C> packet-capture mac capture-filter "ether dst a1b2-c3d4-e5f6"
示例4:跨板抓包(适用于M9006等框式设备)
# 在2号槽位业务板的GigabitEthernet2/0/1接口抓包
<H3C> packet-capture interface GigabitEthernet 2/0/1 inbound slot 2
如果目标接口在其他业务板上,需要指定 slot参数。
示例5:实时显示抓包内容
<H3C> packet-capture interface GigabitEthernet 1/0/1 inbound duration 30 display
duration 30: 持续抓包30秒。
display: 在屏幕上实时显示捕获到的数据包的简要信息(类似tcpdump -n),但信息有限,不推荐深度分析。
如何保存和导出抓包文件
这是您最关心的部分。默认情况下,抓到的包会暂存在设备的临时内存中,重启会丢失。必须将其保存到文件中,然后导出。
步骤1:抓包时直接保存到设备flash
在命令中使用 save参数,将抓到的包保存为 .pcap 格式的文件。
<H3C> packet-capture interface GigabitEthernet 1/0/1 inbound limit 2000 save flash:/capture_20240516.pcap
文件会保存在设备的Flash存储根目录下,文件名可自定义。
重要:请将文件名保存为 .pcap格式,方便后续用Wireshark分析。
步骤2:将文件导出到本地计算机(FTP/TFTP)
这是最常用的导出方式。您需要在电脑上搭建一个FTP或TFTP服务器(如 SolarWinds TFTP Server, tftpd32 等)。
通过FTP导出(推荐,支持大文件):
# 1. 从设备连接到您的FTP服务器
<H3C> ftp 192.168.1.100
# 输入用户名、密码
# 2. 进入二进制传输模式
[ftp] binary
# 3. 上传pcap文件到服务器
[ftp] put flash:/capture_20240516.pcap
通过TFTP导出:
<H3C> tftp 192.168.1.100 put flash:/capture_20240516.pcap
步骤3:在PC上用Wireshark分析
下载到本地的 .pcap文件,可以直接用 Wireshark 打开,进行详细的协议分析、解码和问题排查。
其他实用技巧与注意事项
停止抓包:
如果抓包命令没有设置 limit或 duration,它会一直运行。可以按 Ctrl + C中断。
查看已保存的文件:
<H3C> dir flash:/capture*.pcap
删除设备上的抓包文件:
<H3C> delete /unreserved flash:/capture_20240516.pcap
注意事项:
性能影响:在高流量接口上长时间、无限制抓包会消耗CPU和内存资源,可能影响设备性能。务必使用 limit或 duration参数。
存储空间:检查Flash的剩余空间,确保有足够空间保存文件。
安全区域:packet-capture命令会捕获原始数据包,可能包含敏感信息。在排查后请及时删除设备上的文件。
抓包方向:理解 inbound(数据包进入防火墙)和 outbound(数据包离开防火墙)对分析策略、NAT转换等至关重要。
总结:快速操作清单
假设您要在 GigabitEthernet1/0/1 接口的入方向,抓取 1000个 发往 10.2.2.2 的 TCP 443 端口的包,并导出分析:
在防火墙执行抓包:
<H3C> packet-capture interface GigabitEthernet 1/0/1 inbound capture-filter "tcp and dst host 10.2.2.2 and dst port 443" limit 1000 save flash:/debug_https.pcap
等待命令执行完成(抓到1000个包后自动停止)。
通过TFTP导出到您的电脑(IP: 192.168.1.100):
<H3C> tftp 192.168.1.100 put flash:/debug_https.pcap
在电脑上用Wireshark打开 debug_https.pcap文件。
按照这个流程,您就可以高效地在H3C M9006防火墙上完成命令行抓包和问题分析了。
暂无评论
参考配置关于M9000-S系列防火墙虚墙抓包的经验案例 - 知了社区
(2)配置流镜像功能
# 配置IPv4高级ACL 3001,匹配抓包对应的报文,如匹配源地址为10.1.1.0/24网段的用户。
<Device> system-view
[Device] acl advanced 3001
[Device-acl-ipv4-adv-3001] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 20.1.1.0 0.0.0.255
[Device-acl-ipv4-adv-3001] quit
# 创建流分类abc,并配置报文匹配规则为ACL 3001。
[Device] traffic classifier abc
[Device-classifier-abc] if-match acl 3001
[Device-classifier-abc] quit
# 创建流行为abc,并配置流镜像到Context所进驻安全引擎组的主安全引擎上(本举例假设此主安全引擎的Blade接口为Blade 4/0/1。
[Device] traffic behavior abc
[Device-behavior-abc] mirror-to interface blade 4/0/1
[Device-behavior-abc] quit
# 创建QoS策略abc,在策略中为流分类abc指定采用流行为abc。
[Device] qos policy abc
[Device-qospolicy-abc] classifier abc behavior abc
[Device-qospolicy-abc] quit
# 将QoS策略abc应用到抓包流量对应的接口,如接口GigabitEthernet1/0/1的inbound和outbound方向上,且必须开启enhancement功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] qos apply policy abc inbound enhancement
[Device-GigabitEthernet1/0/1] qos apply policy abc outbound enhancement
[Device-GigabitEthernet1/0/1] quit
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论