第六章 USG5000远程抓包.pptVIP

USG5000故障诊断方法 ——远程抓包 汇报提纲 远程抓包技术背景介绍 远程抓包功能介绍 远程抓包技术背景介绍 在研发人员定位网上问题时，往往需要对经过现场设备的报文进行分析，而研发人员又不在现场，需要用服甚至时客户配合，消耗大量人力物力，在研发人员可以远程登录上前方设备的情况下，完全可以通过设备自身抓取需要的报文并利用协议栈将报文发送到指定的IP地址，这样不仅省事，而且方便。提高了研发人员定位问题的效率。 远程抓包功能介绍 接口配置： 由于报文都是从接口接受和发送，将抓包动作配置在接口上，即对不同接口（支持物 理接口、子接口及ETH-TRUNK接口）可以又不同的抓包配置。 一个接口上的流量一般比 较大（10M-1000M）,不可能将接口上所有的报文都抓来分析，往往只需要针对特定报文 抓来分析即可。为了支持用户可配置抓去特定报文，可以将ACL（高级）和抓包动作关 联，当流经接口的报文匹配ACL时才将报文抓取。每个接口出方向和入方向分别支持一个 ACL组。即接口出入方向可以抓取匹配不同ACL的报文。 配置命令： 接口试图下配置命令： firewall packet-capture aclnum egress/ingress queue 0/1 不指定方向时为两个方向都抓取报文，不指定队列时默认为队列0。 远程抓包功能介绍 启动抓包： 接口上配置好抓包后，在系统试图下启动抓包动作即开始抓包，可以配置转发面一次抓取 报文的数量（出入方向相同），一次抓包的数量在0－1000之间。转发面抓取报文后将报文发送 到VRP控制平面，并写入缓存队列。VRP提供接口给用户察看数据平面上送的报文，并提供机制 将缓存的报文发送到用户指定的IP地址。如果数据平面正在抓包上送VRP平面，此时需要重新设 置抓包计数器，并按照新下发的数量来上送报文。如果抓包数量设置为0，则数据平面停止抓包。 在入接口和出接口分别判断是否抓包。支持简易抓包和复杂抓包。简易抓包时数据平面抓包最 大长度最多为100字节。复杂抓包时抓包长度加上UDP头部最长为USG5000允许的最大长度，即报 文的全部内容。 配置命令： 系统试图下配置命令： firewall packet-capture startup simple 500 可以指定抓包方式：简单或复杂，不指定时默认为简单方式。 可以指定抓包数量：范围为0－1000，不指定时默认为1000。 远程抓包功能介绍 抓包察看： 可以察看指定序号、接收队列的VRP平面缓存抓包，可以查看简单的报 文信息以及原始报文。简单信息包括：抓包长度、接口、方向以及报文原 始长度。原始报文包括，数据报原始内容，不进行翻译。 配置命令： 所有视图下显示抓包 （serial 表示显示第几个特定的报文） display firewall packet-capture queue queue-id [ serial ] 抓包删除： 可以删除所有的VRP平面的缓存抓包，不支持删除单个缓冲区报文。 用户视图下清除抓包 reset firewall packet-capture queue queue-id 远程抓包功能介绍 统计察看： 可以查看VRP平面抓包累计接受个数、当前缓存包个数、抓包发送个数、 由于缓存受限累计丢弃个数、手工累计丢弃个数。不提供数据平面的报文 统计信息。 所有视图下显示统计信息（数据平面统计不在此显示） display firewall packet-capture statistic 统计清除： 提供数据平面和VRP平面统计的清除接口，不清除当前队列的缓存包个数。 不提供数据平面的报文统计信息清除。 用户视图下清除统计信息 reset firewall packet-capture statistic 远程抓包功能介绍 发送抓包： 根据用户配置抓包发送的目的IP和目的端口，以及需要发送的抓包队列，发送抓 包。发送的抓包外层封装UDP头。发送的抓包信息提供接收端口信息，方向信息、报 文长度和序号信息。 配置命令： 系统视图下： 启动发包：将指定队列中的报文发送到指定IP及端口上，默认端口为9005。 firewall packet-capture send queue queue-id [ vpn-intance vpn-intance- name ] ip ip-address [ destination-port destination-port ] 停止发送： undo firewall packet-capture send HUAWEI TECHNOLOGIES Co., Ltd. HUAWEI Confidential 2007