Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Usando a captura de pacotes para analisar o tráfego de rede

Visão geral da captura de pacotes

A captura de pacotes é uma ferramenta que ajuda você a analisar o tráfego da rede e a solucionar problemas de rede. A ferramenta de captura de pacotes captura pacotes de dados em tempo real que viajam pela rede para monitoramento e registro.

Nota:

A captura de pacotes é suportada em interfaces físicas, interfaces de reth e interfaces de túnel, como gr, ip e lsq-/ls. No entanto, a captura de pacotes não é suportada na interface de túnel seguro (st0).

Os pacotes são capturados como dados binários, sem modificação. Você pode ler as informações do pacote offline com um analisador de pacotes, como Wireshark ou tcpdump. Se você precisar capturar rapidamente pacotes destinados ou originados do Mecanismo de Roteamento e analisá-los on-line, você pode usar a ferramenta de diagnóstico de captura de pacotes J-Web.

Nota:

A ferramenta de captura de pacotes não oferece suporte à captura de pacotes IPv6.

Você pode usar o editor de configuração J-Web ou o editor de configuração CLI para configurar a captura de pacotes.

Administradores de rede e engenheiros de segurança usam a captura de pacotes para executar as seguintes tarefas:

  • Monitore o tráfego da rede e analise os padrões de tráfego.

  • Identificar e solucionar problemas de rede.

  • Detecte violações de segurança na rede, como invasões não autorizadas, atividade de spyware ou ping scans.

A captura de pacotes opera como amostragem de tráfego no dispositivo, exceto que ele captura pacotes inteiros, incluindo o cabeçalho de Camada 2 e economiza o conteúdo em um arquivo no formato libpcap. A captura de pacotes também captura fragmentos de IP.

Você não pode habilitar a captura de pacotes e a amostragem de tráfego no dispositivo ao mesmo tempo. Ao contrário da amostragem de tráfego, não há operações de rastreamento para captura de pacotes.

Nota:

Você pode habilitar a captura de pacotes e espelhamento de porta simultaneamente em um dispositivo.

Esta seção contém os seguintes tópicos:

Captura de pacotes em interfaces de dispositivo

A captura de pacotes é suportada nas interfaces T1, T3, E1, E3, serial, Gigabit Ethernet, ADSL, G.SHDSL, PPPoE e ISDN.

Para capturar pacotes em uma interface ISDN, configure a captura de pacotes na interface do dialer. Para capturar pacotes em uma interface PPPoE, configure a captura de pacotes na interface lógica de PPPoE.

A captura de pacotes oferece suporte a PPP, Cisco HDLC, Frame Relay e outros encapsulamentos de ATM. A captura de pacotes também oferece suporte a encapsulamentos multilink PPP (MLPPP), multilink Frame Relay de ponta a ponta (MLFR) e encapsulamentos UNI/NNI (MFR) de retransmissão de quadros multilink.

Você pode capturar todos os pacotes IPv4 que fluem em uma interface na direção de entrada ou saída. No entanto, no tráfego que ignora o módulo de software de fluxo (pacotes de protocolo como ARP, OSPF e PIM), os pacotes gerados pelo Mecanismo de Roteamento não são capturados a menos que você tenha configurado e aplicado um filtro de firewall na interface na direção de saída.

Interfaces de túnel suportam a captura de pacotes apenas na direção de saída.

Use o editor de configuração J-Web ou o editor de configuração CLI para especificar o tamanho máximo do pacote, o nome de arquivo a ser usado para armazenar os pacotes capturados, o tamanho máximo do arquivo, o número máximo de arquivos de captura de pacotes e as permissões de arquivo.

Nota:

Para pacotes capturados em interfaces T1, T3, E1, E3, serial e ISDN na direção de saída (saída), o tamanho do pacote capturado pode ser 1 byte menor do que o tamanho máximo do pacote configurado devido à prioridade de perda de pacote (PLP).

Para modificar o encapsulamento em uma interface com a captura de pacotes configurada, você deve desativar a captura de pacotes.

Filtros de firewall para captura de pacotes

Quando você habilita a captura de pacotes em um dispositivo, todos os pacotes que fluem na direção especificada na configuração de captura de pacotes (de entrada, saída ou ambos) são capturados e armazenados. Configurar uma interface para capturar todos os pacotes pode degradar o desempenho do dispositivo. Você pode controlar o número de pacotes capturados em uma interface com filtros de firewall e especificar vários critérios para capturar pacotes para fluxos de tráfego específicos.

Você também deve configurar e aplicar filtros de firewall apropriados na interface se precisar capturar pacotes gerados pelo dispositivo host, pois a amostragem de interface não captura pacotes originados do dispositivo host.

Arquivos de captura de pacotes

Quando a captura de pacotes é habilitada em uma interface, todo o pacote, incluindo o cabeçalho de Camada 2, é capturado e armazenado em um arquivo. Você pode especificar o tamanho máximo do pacote a ser capturado, até 1500 bytes. A captura de pacotes cria um arquivo para cada interface física.

A criação e armazenamento de arquivos ocorrem da seguinte maneira. Suponha que você nomeie o arquivo pcap-filede captura de pacotes. A captura de pacotes cria vários arquivos (um por interface física), sufocando cada arquivo com o nome da interface física; por exemplo, pcap-file.fe-0.0.1 para a interface fe-0.0.1Gigabit Ethernet. Quando o arquivo nomeado pcap-file.fe-0.0.1 atinge o tamanho máximo, o arquivo é renomeado pcap-file.fe-0.0.1.0. Quando o arquivo nomeado pcap-file.fe-0.0.1 atinge o tamanho máximo novamente, o arquivo nomeado pcap-file.fe-0.0.1.0 é renomeado pcap-file.fe-0.0.1.1 e pcap-file.fe-0.0.1 é renomeado pcap-file.fe-0.0.1.0. Esse processo continua até que o número máximo de arquivos seja excedido e o arquivo mais antigo seja sobreescrito. O pcap-file.fe-0.0.1 arquivo é sempre o arquivo mais recente.

Os arquivos de captura de pacotes não são removidos mesmo após você desabilitar a captura de pacotes em uma interface.

Análise de arquivos de captura de pacotes

Os arquivos de captura de pacotes são armazenados no formato libpcap no /var/tmp diretório. Você pode especificar privilégios de usuário ou administrador para os arquivos.

Os arquivos de captura de pacotes podem ser abertos e analisados offline com tcpdump ou qualquer analisador de pacotes que reconheça o formato libpcap. Você também pode usar o FTP ou o Session Control Protocol (SCP) para transferir os arquivos de captura de pacotes para um dispositivo externo.

Nota:

Desativar a captura de pacotes antes de abrir o arquivo para análise ou transferir o arquivo para um dispositivo externo com FTP ou SCP. A desativação da captura de pacotes garante que o buffer interno do arquivo seja lavado e que todos os pacotes capturados estejam escritos no arquivo.

Captura de pacotes do modo operacional

A depuração de caminhos de dados ou a depuração de ponta a ponta fornecem rastreamento e depuração em várias unidades de processamento ao longo do caminho de processamento de pacotes. A captura de pacotes é uma das funções de depuração do caminho de dados. Você pode executar a captura de pacotes do modo operacional com impacto mínimo ao sistema de produção sem comprometer as configurações.

Você pode capturar os pacotes usando filtros para definir quais pacotes capturar. O filtro de pacotes pode filtrar pacotes com base em interface lógica, protocolo, prefixo de endereço IP de origem, porta de origem, prefixo de endereço IP de destino e porta de destino. Você pode modificar o nome do arquivo, tipo de arquivo, tamanho do arquivo e o tamanho de captura da saída de captura de pacotes. Você também pode estender os filtros em dois filtros e trocar os valores dos filtros.

A captura de pacotes do modo operacional é suportada em SRX4600, SRX5400, SRX5600 e SRX5800.

Para capturar pacotes do modo operacional, você deve executar as seguintes etapas:

  1. A partir do modo operacional, defina o filtro de pacotes para rastrear o tipo de tráfego com base em sua exigência usando o request packet-capture start comando CLI. Consulte o início da solicitação de captura de pacotes para as opções disponíveis de filtro de captura de pacotes.
  2. Capture os pacotes necessários.
  3. Você pode usar o request packet-capture stop comando CLI para interromper a captura de pacotes ou depois de coletar o número solicitado de pacotes, a captura de pacotes para automaticamente.
  4. Visualize ou analise o relatório de dados do pacote capturado.

As limitações da captura de pacotes do modo operacional são:

  1. A captura de pacotes do modo de configuração e a captura de pacotes do modo operacional não podem coexistir.

  2. A captura de pacotes de modo operacional é uma operação única e o sistema não armazena a história deste comando.

  3. Você deve usar a captura de pacotes do modo operacional em baixa taxa de fluxo de tráfego.

Exemplo: Habilite a captura de pacotes e configure o filtro de firewall em um dispositivo

Este exemplo mostra como habilitar a captura de pacotes e configurar um filtro de firewall para captura de pacotes e aplicá-lo a uma interface lógica em um dispositivo. Você pode configurar o filtro de firewall para restringir ou filtrar a quantidade de tráfego a ser capturado e analisar o tráfego de rede e solucionar problemas de rede.

Requisitos

Antes de começar:

Visão geral

Neste exemplo, você define o tamanho máximo de captura de pacotes em cada arquivo como 500 bytes. A faixa é de 68 a 1500, e o padrão é de 68 bytes. Você especifica o nome de arquivo alvo para o arquivo de captura de pacotes como arquivo pcap. Em seguida, você especifica o número máximo de arquivos para capturar como 100. O intervalo é de 2 a 10.000, e o padrão é de 10 arquivos. Você define o tamanho máximo de cada arquivo para 1024 bytes. A faixa é de 1.024 a 104.857.600, e o padrão é de 512.000 bytes.

Você define um filtro de firewall chamado dest-all e um termo chamado dest-term para capturar pacotes de um endereço de destino específico, que é 192.168.1.1/32. Você define a condição de correspondência para aceitar os pacotes amostrados. Por fim, você aplica o filtro dest-all em todos os pacotes de saída na interface fe-0/0/1.

Se você aplicar um filtro de firewall na interface de loopback, ele afeta todo o tráfego de e para o Mecanismo de Roteamento. Se o filtro de firewall tiver uma sample ação, os pacotes de e para o Mecanismo de Roteamento serão amostrados. Se a captura de pacotes for habilitada, os pacotes de e para o mecanismo de roteamento são capturados nos arquivos criados para as interfaces de entrada e saída.

Você especifica que todos os usuários têm permissão para ler os arquivos de captura de pacotes.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para habilitar a captura de pacotes em um dispositivo:

  1. Defina o tamanho máximo de captura de pacotes.

  2. Especifique o nome do arquivo alvo.

  3. Especifique o número máximo de arquivos para capturar.

  4. Especifique o tamanho máximo de cada arquivo.

  5. Especifique que todos os usuários têm permissão para ler o arquivo.

  6. Configure o filtro de firewall para captura de pacotes.

  7. Definir a condição da partida e sua ação. O termo allow-all-else é usado para garantir que o SRX não solte nenhum outro tráfego.

  8. Aplique o filtro de firewall na interface para capturar os pacotes de entrada e saída.

  9. Comprometa-se a ativar a captura de pacotes.

  10. Desativar a captura de pacotes para impedir a coleta de objetos.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os run show forwarding-options comandos.run show firewall filter dest-all Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificação do filtro de firewall para configuração de captura de pacotes

Propósito

Verifique se o filtro de firewall para captura de pacotes está configurado no dispositivo.

Ação

A partir do modo de configuração, entre no run show forwarding-options e run show firewall filter dest-all no comandos. Verifique se a saída mostra a configuração de arquivo pretendida para capturar pacotes enviados para o endereçode destino.

Propósito

Verifique se os pacotes capturados são armazenados sob o /var/tmp diretório do dispositivo.

Ação

A partir do modo operacional, entre no file list /var/tmp/ comando.

Verificação de pacotes capturados

Propósito

Verifique se o arquivo de captura de pacotes está armazenado no /var/tmp diretório e os pacotes podem ser analisados offline.

Ação
  1. Desativar a captura de pacotes.

    Usando FTP, transfira um arquivo de captura de pacotes (por exemplo 126b.fe-0.0.1), para um servidor onde você instalou ferramentas de analisador de pacotes (por exemplo tools-server).

    1. Do modo de configuração, conecte-se ao tools-server uso de FTP.

    2. Navegue até o diretório onde os arquivos de captura de pacotes são armazenados no dispositivo.

    3. Copie o arquivo de captura de pacotes que você deseja analisar para o servidor, por exemplo 126b.fe-0.0.1.

    4. Volte ao modo de configuração.

  2. Abra o arquivo de captura de pacotes no servidor com tcpdump ou qualquer analisador de pacotes que ofereça suporte ao formato libpcap e analise a saída.

Exemplo: Configure a captura de pacotes em uma interface

Este exemplo mostra como configurar a captura de pacotes em uma interface para analisar o tráfego.

Requisitos

Antes de começar:

Visão geral

Neste exemplo, você cria uma interface chamada fe-0/0/1 e depois configura a direção do tráfego para a qual você está permitindo a captura de pacotes na interface lógica como de entrada e saída.

Nota:

No tráfego que ignora o módulo de software de fluxo (pacotes de protocolo como ARP, OSPF e PIM), os pacotes gerados pelo Mecanismo de Roteamento não são capturados a menos que você tenha configurado e aplicado um filtro de firewall na interface na direção de saída.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar a captura de pacotes em uma interface:

  1. Crie uma interface.

  2. Configure a direção do tráfego.

  3. Se você terminar de configurar o dispositivo, confirme a configuração.

Verificação

Verificando a configuração de captura de pacotes

Propósito

Confirme se a configuração está funcionando corretamente.

Verifique se a captura de pacotes está configurada na interface.

Ação

A partir do modo de configuração, entre no run show interfaces fe-0/0/1 comando.

Desativar a captura de pacotes

Você deve desabilitar a captura de pacotes antes de abrir o arquivo de captura de pacotes para análise ou transferir o arquivo para um dispositivo externo. A desativação da captura de pacotes garante que o buffer interno do arquivo seja lavado e que todos os pacotes capturados estejam escritos no arquivo.

Para desativar a captura de pacotes, entre no modo de configuração:

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Modifique o encapsulamento em interfaces com a captura de pacotes configurada

Antes de modificar o encapsulamento em uma interface de dispositivo configurada para captura de pacotes, você deve desativar a captura de pacotes e renomear o arquivo de captura de pacotes mais recente. Caso contrário, a captura de pacotes salva os pacotes com encapsulamentos diferentes no mesmo arquivo de captura de pacotes. Os arquivos de pacotes que contêm pacotes com diferentes encapsulamentos não são úteis, porque ferramentas de analisador de pacotes como o tcpdump não podem analisar esses arquivos.

Após a modificação do encapsulamento, você pode reenvelar com segurança a captura de pacotes no dispositivo.

Para alterar o encapsulamento em interfaces com a captura de pacotes configurada:

  1. Desativar a captura de pacotes (ver Desativar a captura de pacotes).
  2. Entre no commit modo de configuração.
  3. Renomeie o mais recente arquivo de captura de pacotes no qual você está mudando o encapsulamento com a .chdsl extensão.
    1. A partir do modo operacional, acesse a shell UNIX local.
    2. Navegue até o diretório onde os arquivos de captura de pacotes são armazenados.
    3. Renomeie o arquivo de captura de pacotes mais recente para a interface em que você está mudando o encapsulamento; por exemplo fe.0.0.0.
    4. Retorno ao modo operacional.
  4. Altere o encapsulamento na interface usando a interface de usuário J-Web ou o editor de configuração de CLI.
  5. Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
  6. Captura de pacotes reenável (veja Exemplo: Habilitando a captura de pacotes em um dispositivo).
  7. Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Exclua arquivos de captura de pacotes

Excluir arquivos de captura de pacotes do diretório /var/tmp apenas remove temporariamente os arquivos de captura de pacotes. Os arquivos de captura de pacotes para a interface são criados automaticamente novamente da próxima vez que uma mudança de configuração de captura de pacotes for comprometida ou como parte de uma rotação de arquivo de captura de pacotes.

Para excluir um arquivo de captura de pacotes:

  1. Desativar a captura de pacotes (ver Desativar a captura de pacotes).
  2. Exclua o arquivo de captura de pacotes para a interface.
    1. A partir do modo operacional, acesse a shell UNIX local.
    2. Navegue até o diretório onde os arquivos de captura de pacotes são armazenados.
    3. Exclua o arquivo de captura de pacotes para a interface; por exemplo pcap-file.fe.0.0.0.
    4. Retorno ao modo operacional.
  3. Captura de pacotes reenável (veja Exemplo: Habilitando a captura de pacotes em um dispositivo).
  4. Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Exibir cabeçalhos de pacotes

Digite o monitor traffic comando para exibir cabeçalhos de pacotes transmitidos por interfaces de rede com a seguinte sintaxe:

Nota:

Usar o comando pode degradar o monitor traffic desempenho do sistema. Recomendamos que você use opções de filtragem — como count e matching— para minimizar o impacto na taxa de transferência de pacotes no sistema.

Tabela 1 descreve as monitor traffic opções de comando.

Tabela 1: CLI monitora opções de comando de tráfego

Opção

Descrição

absolute-sequence

(Opcional) Exibe os números de sequência de TCP absolutos.

count number

(Opcional) Exibe o número especificado de cabeçalhos de pacotes. Especifique um valor de 0 até 100,000. O comando desiste e sai para o prompt de comando após esse número ser alcançado.

interface interface-name

(Opcional) Exibe cabeçalhos de pacotes para tráfego na interface especificada. Se uma interface não for especificada, a interface numerada mais baixa é monitorada.

layer2-headers

(Opcional) Exibe o cabeçalho de pacote de camada de link em cada linha.

matching "expression"

(Opcional) Exibe cabeçalhos de pacotes que correspondem a uma expressão fechada entre aspas (" "). Tabela 2 por meio Tabela 4 de condições de correspondência de lista, operadores lógicos e operadores aritméticos, binários e relacionais que você pode usar na expressão.

no-domain-names

(Opcional) Suprime a exibição da parte do nome de domínio do nome de host.

no-promiscuous

(Opcional) not Especifica colocar a interface monitorada no modo promíscuo.

No modo promíscuo, a interface lê todos os pacotes que chegam até ele. No modo nãopromíscuo, a interface lê apenas os pacotes endereçados a ele.

no-resolve

(Opcional) Suprime a exibição de nomes de host.

no-timestamp

(Opcional) Suprime a exibição de temporizações de cabeçalho de pacote.

print-ascii

(Opcional) Exibe cada cabeçalho de pacote no formato ASCII.

print-hex

(Opcional) Exibe cada cabeçalho de pacote, exceto cabeçalhos de camada de link, no formato hexadecimal.

size bytes

(Opcional) Exibe o número de bytes para cada pacote que você especifica. Se um cabeçalho de pacote exceder esse tamanho, o cabeçalho de pacote exibido fica truncado. O valor padrão é 96.

brief

(Opcional) Exibe informações mínimas de cabeçalho de pacote. Esse é o padrão.

detail

(Opcional) Exibe informações de cabeçalho de pacote em detalhes moderados. Para alguns protocolos, você também deve usar a opção size para ver informações detalhadas.

extensive

(Opcional) Exibe o nível mais extenso de informações de cabeçalho de pacote. Para alguns protocolos, você também deve usar a opção size para ver informações extensas.

Para deixar o monitor traffic comando e retornar ao prompt de comando, pressione Ctrl-C.

Para limitar as informações de cabeçalho de monitor traffic pacote exibidas pelo comando, inclua a opção matching "expression" . Uma expressão consiste em uma ou mais condições de correspondência listadas em Tabela 2, fechadas entre aspas (" "). Você pode combinar condições de correspondência usando os operadores lógicos listados Tabela 3 (mostrados em ordem de maior a menor precedência).

Por exemplo, para exibir cabeçalhos de pacoteS TCP ou UDP, digite:

Para comparar os seguintes tipos de expressões, use as operadoras relacionais listadas Tabela 4 (listadas da mais alta à menor precedência):

  • Aritmética — Expressões que usam os operadores aritméticos listados em Tabela 4.

  • Binário — Expressões que usam os operadores binários listados em Tabela 4.

  • Accessor de dados de pacotes — Expressões que usam a seguinte sintaxe:

    Substitua protocol por qualquer protocolo em Tabela 2. Substitua byte-offset com o byte offset, desde o início do cabeçalho do pacote, para usar para a comparação. O parâmetro opcional size representa o número de bytes analisados no cabeçalho do pacote — 1, 2 ou 4 bytes.

    Por exemplo, o comando a seguir exibe todo o tráfego multicast:

Tabela 2: CLI monitora condições de correspondência de tráfego

Condição da partida

Descrição

Tipo de entidade

host [address | hostname]

Corresponde aos cabeçalhos de pacotes que contêm o endereço ou nome de host especificados. Você pode preparar qualquer uma das seguintes condições de correspondência de protocolo, seguida de um espaço, para host: arp, ipou rarpqualquer uma das condições de correspondência direcional.

network address

Corresponde a cabeçalhos de pacotes com endereços de origem ou destino que contêm o endereço de rede especificado.

network address mask mask

Corresponde aos cabeçalhos de pacotes que contêm o endereço de rede especificado e a máscara de sub-rede.

port [port-number | port-name]

Corresponde aos cabeçalhos de pacotes que contêm o TCP de origem ou destino especificado ou o número de porta UDP ou nome da porta.

Direcional  

destination

Corresponde aos cabeçalhos de pacotes que contêm o destino especificado. As condições de correspondência direcional podem ser pré-estabelecidas para quaisquer condições de correspondência do Tipo de Entidade, seguidas por um espaço.

source

Corresponde aos cabeçalhos de pacotes que contêm a fonte especificada.

source and destination

Corresponde aos cabeçalhos de pacotes que contêm o destino de origem and especificado.

source or destination

Corresponde aos cabeçalhos de pacotes que contêm o destino de origem or especificado.

Comprimento do pacote

less bytes

Combine pacotes com comprimentos menores ou iguais ao valor especificado, em bytes.

greater bytes

Combine pacotes com comprimentos maiores ou iguais ao valor especificado, em bytes.

Protocolo

arp

Combina com todos os pacotes ARP.

ether

Combina com todos os quadros Ethernet.

ether [broadcast | multicast]

Partidas transmitidas ou quadros Ethernet multicast. Esta condição de correspondência pode ser pré-estabelecida com source ou destination.

ether protocol [address | (\arp | \ip | \rarp)

Combina quadros Ethernet com o endereço ou tipo de protocolo especificados. Os argumentos arp, ipe rarp também são condições de correspondência independentes, por isso devem ser precedidos com um backslash (\) quando usado na condição de ether protocol jogo.

icmp

Combina com todos os pacotes de ICMP.

ip

Combina com todos os pacotes de IP.

ip [broadcast | multicast]

Partidas transmitidas ou pacotes IP multicast.

ip protocol [address | (\icmp | igrp | \tcp | \udp)]

Combina pacotes IP com o endereço ou tipo de protocolo especificados. Os argumentos icmp, tcpe udp também são condições de correspondência independentes, por isso devem ser precedidos com um backslash (\) quando usado na condição de ip protocol jogo.

isis

Corresponde a todas as mensagens de roteamento IS-IS.

rarp

Combina com todos os pacotes RARP.

tcp

Corresponde a todos os pacotes TCP.

udp

Combina com todos os pacotes UDP.

Tabela 3: CLI monitora tráfego Operadores lógicos

Operador lógico

Descrição

!

Lógico NÃO. Se a primeira condição não corresponder, a próxima condição será avaliada.

&&

Lógica e. Se a primeira condição corresponde, a próxima condição é avaliada. Se a primeira condição não corresponder, a próxima condição será desacionada.

||

Lógico OU. Se a primeira condição corresponde, a próxima condição é descasada. Se a primeira condição não corresponder, a próxima condição será avaliada.

()

Operadores de grupo para substituir a ordem de precedência padrão. Parênteses são personagens especiais, cada um dos quais deve ser precedido por um backslash (\).

Tabela 4: CLI monitora operadores aritméticos, binários e relacionais de tráfego

Operador

Descrição

Operador de Aritmética

+

Operador de adição.

Operador de subtração.

/

Operador de divisão.

Operador binário

&

Bitwise e.

*

OR exclusiva da Bitwise.

|

OR inclusiva em bitwise.

Operador relacional

<=

Uma correspondência ocorre se a primeira expressão for menor ou igual à segunda.

>=

Uma correspondência ocorre se a primeira expressão for maior ou igual à segunda.

<

Uma correspondência ocorre se a primeira expressão for menor que a segunda.

>

Uma correspondência ocorre se a primeira expressão for maior que a segunda.

=

Uma correspondência ocorre se a primeira expressão for igual à segunda.

!=

Uma correspondência ocorre se a primeira expressão não for igual à segunda.

O seguinte é a saída de amostra do monitor traffic comando: