如何在FortiGate端口抓包并用wireshark.PDFVIP

如何在 FortiGate 端口抓包并用 wireshark 打开解析 版本 1.0 时间 2015年3月 作者 王东 (eastwang@ 支持的版本 用于本文的测试版本： Fortigate1500D v5.2.2,build642 (GA 状态 草稿 目 录 1.目的3 2.抓取报文3 3.查看运行结果4 4.结合FortiTester2000D测试FortiGate1500D抓包情况:5 5.结束语以及注意事项：10 1.目的 当故障诊断网络，它有助于看里面的包报头。这有助于确定分组，路由，和 目的地都是你所期待的。数据包的捕获也可以被称为一个网络监听，数据包嗅探， 或逻辑分析。本文将重点介绍在FortiGate上如何捕获过滤报文，并用wireshark 打开查看。 2.抓取报文 使用数据包捕获过程： 1． 进入系统网络数据包捕获，如图所示： 2． 选择监控的端口和可以保存最大包的数量，如图所示： 3． 选择 启动过滤去过滤主机，端口，VLAN和协议并且输入你想要的参数， 如下图: 4. 如果你想过滤出IPv6或者非IP的数据包，可以勾选下面两个选项，如下 图： 5. 点击确定保存配置. 3.查看运行结果 在配置好之后，返回数据包捕获页面，点击运行启动捕获，你将看到进度条正在 运行，当包的个数达到4000 （默认值），抓包将停止. 点击下载PCAP报文，并 且用wireshark打开查看抓取的数据包,如下图： 4.结合FortiTester2000D测试FortiGate1500D抓包情况: 1 测试拓扑图： 在FortiTesterTP模式下，修改FortiGate1500DPort33,Port34,Port35,Port36 作为交换口 FortiTester的Port1Port33,Port2Port35;这些模拟不同网段 的客户端。Port3Port34,Port4Port36；在FortiTester上，Port1，2模拟 客户端，Port3模拟服务器。 2 防火墙配置： 启用虚拟交换模块，将Port33-Port36加入虚拟交换模块， FG1K5D3(switch-interface # show config system switch-interface edit SW set vdom root set member port33 port34 port35 port36 next end FG1K5D3(switch-interface 新建抓包，设置接口为Port33,保持其他条件默认，修改保存条数为5000 3 FortiTester配置： 创建 http rps 测试在 TP 模式下，配置用户侧有 100个主机，IP地址从 /16到00/16，设置服务器侧地址为00/16,如下图： 4 测试FortiGate1500D抓包功能： 运行FortiTester，然后在FortiGate1500D上启用开始抓包，当抓包数目达到 5000个，抓包进度自动停止，点击下载PCAP文件，检查Port33 口的报文： 5 打开抓取的报文，点击Statistics-Summary，你可以看到抓包的个数是 5000与相配置的是一样的。 6 数据包捕获过滤，设置主机过滤1,2两个地址，设置端 口号80,设置 IP 协议号为 6 （TCP），运行 FortiTester ，然后开始在 FortiGate1500D上抓包, 7 检查并且查看结果PCAP, 你可以看到过滤的主机只有1,2 两个地址,当有混合流量过来的时候，可以精确过滤你想看到的数据包. 5.结束语以及注意事项： 数据包捕获是排错方法中偏底层的。这对解决问题是非常有用的，如： •寻找丢失的流量 •看会话是否正常建立 •定位ARP 问题作为广播风暴的来源和原因 •确认主机地址是在网络上是否有重叠 •确定路由是否如期工作 •无线客户端连接问题 •间歇性丢失的ping包 •特定类型的数据包有问题，如UDP，这是常