Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Verwenden der Paketerfassung zur Analyse des Netzwerkverkehrs

Paketerfassung – Übersicht

Die Paketerfassung ist ein Tool, mit dem Sie den Netzwerkverkehr analysieren und Netzwerkprobleme beheben können. Das Paketerfassungstool erfasst Echtzeit-Datenpakete, die über das Netzwerk übertragen werden, zur Überwachung und Protokollierung.

HINWEIS:

Die Paketerfassung wird auf physischen Schnittstellen, reth-Schnittstellen und Tunnelschnittstellen wie gr, ip und lsq-/ls unterstützt. Die Paketerfassung wird jedoch auf der sicheren Tunnelschnittstelle (st0) nicht unterstützt.

Pakete werden als Binärdaten ohne Modifikation erfasst. Sie können die Paketinformationen offline mit einem Paketanalysator wie Wireshark oder tcpdump lesen. Wenn Sie Pakete, die für die Routing-Engine bestimmt sind oder von ihr stammen, schnell erfassen und online analysieren müssen, können Sie das J-Web-Paketerfassungs-Diagnosetool verwenden.

HINWEIS:

Das Paketerfassungstool unterstützt die IPv6-Paketerfassung nicht.

Sie können entweder den J-Web-Konfigurationseditor oder den CLI-Konfigurationseditor verwenden, um die Paketerfassung zu konfigurieren.

Netzwerkadministratoren und Sicherheitstechniker verwenden die Paketerfassung, um die folgenden Aufgaben auszuführen:

  • Überwachen Sie den Netzwerkverkehr und analysieren Sie Datenverkehrsmuster.

  • Identifizieren und beheben Sie Netzwerkprobleme.

  • Erkennen Sie Sicherheitslücken im Netzwerk, wie z. B. unbefugtes Eindringen, Spyware-Aktivitäten oder Ping-Scans.

Die Paketerfassung funktioniert wie das Traffic-Sampling auf dem Gerät, mit dem Unterschied, dass ganze Pakete einschließlich des Layer-2-Headers erfasst und der Inhalt in einer Datei im libpcap-Format gespeichert wird. Bei der Paketerfassung werden auch IP-Fragmente erfasst.

Es ist nicht möglich, die Paketerfassung und das Sampling des Datenverkehrs gleichzeitig auf dem Gerät zu aktivieren. Im Gegensatz zur Datenverkehrsstichprobenerstellung gibt es bei der Paketerfassung keine Ablaufverfolgungsvorgänge.

HINWEIS:

Sie können Paketerfassung und Portspiegelung gleichzeitig auf einem Gerät aktivieren.

Dieser Abschnitt enthält die folgenden Themen:

Paketerfassung auf Geräteschnittstellen

Die Paketerfassung wird auf den Schnittstellen T1, T3, E1, E3, seriell, Gigabit Ethernet, ADSL, G.SHDSL, PPPoE und ISDN unterstützt.

Um Pakete auf einer ISDN-Schnittstelle zu erfassen, konfigurieren Sie die Paketerfassung auf der Dialer-Schnittstelle. Um Pakete auf einer PPPoE-Schnittstelle zu erfassen, konfigurieren Sie die Paketerfassung auf der logischen PPPoE-Schnittstelle.

Die Paketerfassung unterstützt PPP, Cisco HDLC, Frame Relay und andere ATM-Kapselungen. Die Paketerfassung unterstützt auch Multilink PPP (MLPPP), Multilink Frame Relay End-to-End (MLFR) und Multilink Frame Relay UNI/NNI (MFR)-Kapselungen.

Sie können alle IPv4-Pakete erfassen, die auf einer Schnittstelle in eingehender oder ausgehender Richtung fließen. Bei Datenverkehr, der das Flow-Softwaremodul umgeht (Protokollpakete wie ARP, OSPF und PIM), werden die von der Routing-Engine generierten Pakete jedoch nur erfasst, wenn Sie einen Firewall-Filter auf der Schnittstelle in ausgehender Richtung konfiguriert und angewendet haben.

Tunnelschnittstellen unterstützen die Paketerfassung nur in ausgehender Richtung.

Verwenden Sie den J-Web-Konfigurationseditor oder den CLI-Konfigurationseditor, um die maximale Paketgröße, den Dateinamen, der zum Speichern der erfassten Pakete verwendet werden soll, die maximale Dateigröße, die maximale Anzahl von Paketerfassungsdateien und die Dateiberechtigungen anzugeben.

HINWEIS:

Bei Paketen, die auf T1-, T3-, E1-, E3-, seriellen und ISDN-Schnittstellen in ausgehender Richtung (Ausgangsrichtung) erfasst werden, kann die Größe des erfassten Pakets aufgrund des PLP-Bits (Packet Loss Priority) um 1 Byte kleiner sein als die maximal konfigurierte Paketgröße.

Um die Kapselung auf einer Schnittstelle mit konfigurierter Paketerfassung zu ändern, müssen Sie die Paketerfassung deaktivieren.

Firewall-Filter für die Paketerfassung

Wenn Sie die Paketerfassung auf einem Gerät aktivieren, werden alle Pakete, die in die in der Paketerfassungskonfiguration angegebene Richtung fließen (eingehend, ausgehend oder beides), erfasst und gespeichert. Die Konfiguration einer Schnittstelle, die alle Pakete erfasst, kann die Leistung des Geräts beeinträchtigen. Sie können die Anzahl der Pakete, die auf einer Schnittstelle erfasst werden, mit Firewall-Filtern steuern und verschiedene Kriterien angeben, um Pakete für bestimmte Datenverkehrsflüsse zu erfassen.

Sie müssen auch geeignete Firewallfilter auf der Schnittstelle konfigurieren und anwenden, wenn Sie vom Hostgerät generierte Pakete erfassen müssen, da das Schnittstellen-Sampling keine Pakete erfasst, die vom Hostgerät stammen.

Paketerfassungsdateien

Wenn die Paketerfassung auf einer Schnittstelle aktiviert ist, wird das gesamte Paket einschließlich des Layer-2-Headers erfasst und in einer Datei gespeichert. Sie können die maximale Größe des zu erfassenden Pakets angeben, bis zu 1500 Byte. Bei der Paketerfassung wird für jede physische Schnittstelle eine Datei erstellt.

Die Dateierstellung und -speicherung erfolgt auf folgende Weise. Angenommen, Sie nennen die Paketerfassungsdatei pcap-file. Bei der Paketerfassung werden mehrere Dateien (eine pro physischer Schnittstelle) erstellt, wobei jeder Datei der Name der physischen Schnittstelle angehängt wird. zum Beispiel pcap-file.fe-0.0.1 für die Gigabit-Ethernet-Schnittstelle fe-0.0.1. Wenn die Datei mit dem Namen pcap-file.fe-0.0.1 die maximale Größe erreicht, wird die Datei umbenannt pcap-file.fe-0.0.1.0. Wenn die benannte pcap-file.fe-0.0.1 Datei wieder die maximale Größe erreicht, wird die benannte pcap-file.fe-0.0.1.0 Datei umbenannt pcap-file.fe-0.0.1.1 und pcap-file.fe-0.0.1 umbenannt pcap-file.fe-0.0.1.0. Dieser Vorgang wird so lange fortgesetzt, bis die maximale Anzahl von Dateien überschritten und die älteste Datei überschrieben wird. Die pcap-file.fe-0.0.1 Datei ist immer die neueste Datei.

Paketerfassungsdateien werden auch nach dem Deaktivieren der Paketerfassung auf einer Schnittstelle nicht entfernt.

Analyse von Paketerfassungsdateien

Paketerfassungsdateien werden im libpcap-Format im /var/tmp Verzeichnis gespeichert. Sie können Benutzer- oder Administratorrechte für die Dateien festlegen.

Paketerfassungsdateien können offline mit tcpdump oder einem beliebigen Paketanalysator, der das libpcap-Format erkennt, geöffnet und analysiert werden. Sie können auch FTP oder das Session Control Protocol (SCP) verwenden, um die Paketerfassungsdateien auf ein externes Gerät zu übertragen.

HINWEIS:

Deaktivieren Sie die Paketerfassung, bevor Sie die Datei zur Analyse öffnen oder die Datei mit FTP oder SCP auf ein externes Gerät übertragen. Durch das Deaktivieren der Paketerfassung wird sichergestellt, dass der interne Dateipuffer geleert wird und alle erfassten Pakete in die Datei geschrieben werden.

Paketerfassung aus dem Betriebsmodus

Das Debuggen von Datenpfaden oder End-to-End-Debuggen ermöglicht die Ablaufverfolgung und das Debuggen auf mehreren Verarbeitungseinheiten entlang des Paketverarbeitungspfads. Die Paketerfassung ist eine der Funktionen zum Debuggen von Datenpfaden. Sie können die Paketerfassung aus dem Betriebsmodus mit minimalen Auswirkungen auf das Produktionssystem ausführen, ohne die Konfigurationen festschreiben zu müssen.

Sie können die Pakete mithilfe von Filtern erfassen, um zu definieren, welche Pakete erfasst werden sollen. Der Paketfilter kann Pakete basierend auf logischer Schnittstelle, Protokoll, Quell-IP-Adresspräfix, Quellport, Ziel-IP-Adresspräfix und Zielport herausfiltern. Sie können den Dateinamen, den Dateityp, die Dateigröße und die Erfassungsgröße der Paketerfassungsausgabe ändern. Sie können die Filter auch in zwei Filter erweitern und die Werte der Filter vertauschen.

Die Paketerfassung aus dem Betriebsmodus wird auf SRX4600, SRX5400, SRX5600 und SRX5800 unterstützt.

Um Pakete aus dem Betriebsmodus zu erfassen, müssen Sie die folgenden Schritte ausführen:

  1. Definieren Sie im Betriebsmodus den Paketfilter, um den Datenverkehrstyp basierend auf Ihren Anforderungen mithilfe des request packet-capture start CLI-Befehls zu verfolgen. Unter Anfordern des Paketerfassungsstarts finden Sie die verfügbaren Paketerfassungsfilteroptionen.
  2. Erfassen Sie die erforderlichen Pakete.
  3. Sie können entweder den request packet-capture stop CLI-Befehl verwenden, um die Paketerfassung zu stoppen, oder nachdem Sie die angeforderte Anzahl von Paketen erfasst haben, wird die Paketerfassung automatisch beendet.
  4. Zeigen Sie den erfassten Paketdatenbericht an oder analysieren Sie ihn.

Einschränkungen beim Erfassen von Paketen aus dem Betriebsmodus sind:

  1. Die Paketerfassung im Konfigurationsmodus und die Paketerfassung im Betriebsmodus können nicht nebeneinander existieren.

  2. Die Paketerfassung im Betriebsmodus ist ein einmaliger Vorgang, und das System speichert den Verlauf dieses Befehls nicht.

  3. Sie sollten den Betriebsmodus Paketerfassung bei niedriger Datenverkehrsrate verwenden.

Beispiel: Aktivieren der Paketerfassung und Konfigurieren des Firewallfilters auf einem Gerät

In diesem Beispiel wird gezeigt, wie die Paketerfassung aktiviert und ein Firewallfilter für die Paketerfassung konfiguriert und auf eine logische Schnittstelle auf einem Gerät angewendet wird. Sie können den Firewallfilter konfigurieren, um die Menge des zu erfassenden Datenverkehrs einzuschränken oder zu filtern, den Netzwerkverkehr zu analysieren und Netzwerkprobleme zu beheben.

Anforderungen

Bevor Sie beginnen:

Überblick

In diesem Beispiel legen Sie die maximale Paketerfassungsgröße in jeder Datei auf 500 Byte fest. Der Bereich liegt zwischen 68 und 1500, und der Standardwert ist 68 Byte. Sie geben den Zieldateinamen für die Paketerfassungsdatei als pcap-file an. Anschließend geben Sie die maximale Anzahl der zu erfassenden Dateien als 100 an. Der Bereich liegt zwischen 2 und 10.000, und der Standardwert ist 10 Dateien. Sie legen die maximale Größe jeder Datei auf 1024 Byte fest. Der Bereich liegt zwischen 1.024 und 104.857.600, und der Standardwert ist 512.000 Byte.

Sie legen einen Firewallfilter mit dem Namen "dest-all" und einen Begriffsnamen mit dem Namen "dest-term" fest, um Pakete von einer bestimmten Zieladresse zu erfassen, nämlich 192.168.1.1/32. Sie definieren die Übereinstimmungsbedingung, um die abgetasteten Pakete zu akzeptieren. Schließlich wenden Sie den Filter "Alles ziel" auf alle ausgehenden Pakete auf der Schnittstelle fe-0/0/1 an.

Wenn Sie einen Firewall-Filter auf die Loopback-Schnittstelle anwenden, wirkt sich dies auf den gesamten Datenverkehr zur und von der Routing-Engine aus. Wenn der Firewallfilter über eine sample Aktion verfügt, werden Pakete zur und von der Routing-Engine abgetastet. Wenn die Paketerfassung aktiviert ist, werden Pakete zu und von der Routing-Engine in den Dateien erfasst, die für die Eingabe- und Ausgabeschnittstellen erstellt wurden.

Sie geben an, dass alle Benutzer über die Berechtigung zum Lesen der Paketerfassungsdateien verfügen.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So aktivieren Sie die Paketerfassung auf einem Gerät:

  1. Legen Sie die maximale Paketerfassungsgröße fest.

  2. Geben Sie den Namen der Zieldatei an.

  3. Geben Sie die maximale Anzahl der zu erfassenden Dateien an.

  4. Geben Sie die maximale Größe jeder Datei an.

  5. Geben Sie an, dass alle Benutzer über die Berechtigung zum Lesen der Datei verfügen.

  6. Konfigurieren Sie den Firewallfilter für die Paketerfassung.

  7. Definieren Sie die Übereinstimmungsbedingung und ihre Aktion. Der Begriff allow-all-else wird verwendet, um sicherzustellen, dass der SRX keinen anderen Datenverkehr verwirft.

  8. Wenden Sie den Firewall-Filter auf der Schnittstelle an, um die ein- und ausgehenden Pakete zu erfassen.

  9. Bestätigen Sie, um die Paketerfassung zu aktivieren.

  10. Deaktivieren Sie die Paketerfassung, um das Sammeln von Objekten zu stoppen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den run show forwarding-optionsrun show firewall filter dest-all Befehlund seingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen des Firewallfilters für die Paketerfassungskonfiguration

Zweck

Stellen Sie sicher, dass der Firewallfilter für die Paketerfassung auf dem Gerät konfiguriert ist.

Action!

Geben Sie im Konfigurationsmodus den run show forwarding-options Befehlund run show firewall filter dest-all sein. Stellen Sie sicher, dass die Ausgabe die beabsichtigte Dateikonfiguration zum Erfassen von Paketen anzeigt, die an die Zieladressegesendet werden.

Zweck

Vergewissern Sie sich, dass die erfassten Pakete im /var/tmp Verzeichnis auf dem Gerät gespeichert sind.

Action!

Geben Sie im Betriebsmodus den file list /var/tmp/ Befehl ein.

Verifizieren von abgefangenen Paketen

Zweck

Stellen Sie sicher, dass die Paketerfassungsdatei im /var/tmp Verzeichnis gespeichert ist und die Pakete offline analysiert werden können.

Action!
  1. Deaktivieren Sie die Paketerfassung.

    Übertragen Sie mithilfe von FTP eine Paketerfassungsdatei (z. B. ) an einen Server, 126b.fe-0.0.1tools-serverauf dem Sie Paketanalysetools installiert haben (z. B. ).

    1. Stellen Sie im Konfigurationsmodus eine Verbindung über FTP her tools-server .

    2. Navigieren Sie zu dem Verzeichnis, in dem Paketerfassungsdateien auf dem Gerät gespeichert sind.

    3. Kopieren Sie die Paketerfassungsdatei, die Sie analysieren möchten, auf den Server, z. B 126b.fe-0.0.1. .

    4. Kehren Sie in den Konfigurationsmodus zurück.

  2. Öffnen Sie die Paketerfassungsdatei auf dem Server mit tcpdump oder einem beliebigen Paketanalysator, der das libpcap-Format unterstützt, und überprüfen Sie die Ausgabe.

Beispiel: Konfigurieren der Paketerfassung auf einer Schnittstelle

In diesem Beispiel wird gezeigt, wie die Paketerfassung auf einer Schnittstelle konfiguriert wird, um Datenverkehr zu analysieren.

Anforderungen

Bevor Sie beginnen:

Überblick

In diesem Beispiel erstellen Sie eine Schnittstelle mit dem Namen fe-0/0/1 und konfigurieren dann die Richtung des Datenverkehrs, für den Sie die Paketerfassung auf der logischen Schnittstelle aktivieren, als eingehend und ausgehend.

HINWEIS:

Bei Datenverkehr, der das Flow-Softwaremodul umgeht (Protokollpakete wie ARP, OSPF und PIM), werden die von der Routing-Engine generierten Pakete nicht erfasst, es sei denn, Sie haben einen Firewall-Filter auf der Schnittstelle in Ausgaberichtung konfiguriert und angewendet.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie die Paketerfassung auf einer Schnittstelle:

  1. Erstellen Sie eine Schnittstelle.

  2. Konfigurieren Sie die Richtung des Datenverkehrs.

  3. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.

Verifizierung

Überprüfen der Paketerfassungskonfiguration

Zweck

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Stellen Sie sicher, dass die Paketerfassung auf der Schnittstelle konfiguriert ist.

Action!

Geben Sie im Konfigurationsmodus den run show interfaces fe-0/0/1 Befehl ein.

Paketerfassung deaktivieren

Sie müssen die Paketerfassung deaktivieren, bevor Sie die Paketerfassungsdatei zur Analyse öffnen oder die Datei auf ein externes Gerät übertragen. Durch das Deaktivieren der Paketerfassung wird sichergestellt, dass der interne Dateipuffer geleert wird und alle erfassten Pakete in die Datei geschrieben werden.

Um die Paketerfassung zu deaktivieren, geben Sie im Konfigurationsmodus Folgendes ein:

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Ändern der Kapselung auf Schnittstellen mit konfigurierter Paketerfassung

Bevor Sie die Kapselung auf einer Geräteschnittstelle ändern, die für die Paketerfassung konfiguriert ist, müssen Sie die Paketerfassung deaktivieren und die neueste Paketerfassungsdatei umbenennen. Andernfalls speichert die Paketerfassung die Pakete mit unterschiedlichen Kapselungen in derselben Paketerfassungsdatei. Paketdateien, die Pakete mit unterschiedlichen Kapselungen enthalten, sind nicht nützlich, da Paketanalysetools wie tcpdump solche Dateien nicht analysieren können.

Nachdem Sie die Kapselung geändert haben, können Sie die Paketerfassung auf dem Gerät sicher wieder aktivieren.

So ändern Sie die Kapselung auf Schnittstellen mit konfigurierter Paketerfassung:

  1. Deaktivieren Sie die Paketerfassung (siehe Deaktivieren der Paketerfassung).
  2. Geben Sie den Befehl aus dem Konfigurationsmodus ein commit .
  3. Benennen Sie die letzte Paketerfassungsdatei, in der Sie die Kapselung ändern, mit der .chdsl Erweiterung um.
    1. Greifen Sie im Betriebsmodus auf die lokale UNIX-Shell zu.
    2. Navigieren Sie zu dem Verzeichnis, in dem Paketerfassungsdateien gespeichert sind.
    3. Benennen Sie die neueste Paketerfassungsdatei für die Schnittstelle um, auf der Sie die Kapselung ändern. Beispiel: fe.0.0.0.
    4. Kehren Sie in den Betriebsmodus zurück.
  4. Ändern Sie die Kapselung auf der Schnittstelle mithilfe der J-Web-Benutzeroberfläche oder des CLI-Konfigurationseditors.
  5. Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
  6. Aktivieren Sie die Paketerfassung erneut (siehe Beispiel: Aktivieren der Paketerfassung auf einem Gerät).
  7. Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Paketerfassungsdateien löschen

Durch das Löschen von Paketerfassungsdateien aus dem Verzeichnis /var/tmp werden die Paketerfassungsdateien nur vorübergehend entfernt. Paketerfassungsdateien für die Schnittstelle werden automatisch neu erstellt, wenn das nächste Mal ein Commit für eine Änderung der Paketerfassungskonfiguration ausgeführt wird, oder als Teil einer Paketerfassungsdateirotation.

So löschen Sie eine Paketerfassungsdatei:

  1. Deaktivieren Sie die Paketerfassung (siehe Deaktivieren der Paketerfassung).
  2. Löschen Sie die Paketerfassungsdatei für die Schnittstelle.
    1. Greifen Sie im Betriebsmodus auf die lokale UNIX-Shell zu.
    2. Navigieren Sie zu dem Verzeichnis, in dem Paketerfassungsdateien gespeichert sind.
    3. Löschen Sie die Paketerfassungsdatei für die Schnittstelle. Beispiel: pcap-file.fe.0.0.0.
    4. Kehren Sie in den Betriebsmodus zurück.
  3. Aktivieren Sie die Paketerfassung erneut (siehe Beispiel: Aktivieren der Paketerfassung auf einem Gerät).
  4. Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Paket-Header anzeigen

Geben Sie den monitor traffic Befehl ein, um Paketheader anzuzeigen, die über Netzwerkschnittstellen mit der folgenden Syntax übertragen werden:

HINWEIS:

Die Verwendung des monitor traffic Befehls kann die Systemleistung beeinträchtigen. Es wird empfohlen, Filteroptionen wie count und matchingzu verwenden, um die Auswirkungen auf den Paketdurchsatz auf dem System zu minimieren.

Tabelle 1 Beschreibt die monitor traffic Befehlsoptionen.

Tabelle 1: CLI-Überwachung des Datenverkehrs Befehlsoptionen

Option

Beschreibung

absolute-sequence

(Optional) Zeigt die absoluten TCP-Sequenznummern an.

count number

(Optional) Zeigt die angegebene Anzahl von Paket-Headern an. Geben Sie einen Wert von 0 bis an 100,000. Der Befehl wird beendet und an der Eingabeaufforderung beendet, nachdem diese Zahl erreicht wurde.

interface interface-name

(Optional) Zeigt Paketheader für Datenverkehr auf der angegebenen Schnittstelle an. Wenn keine Schnittstelle angegeben ist, wird die Schnittstelle mit der niedrigsten Nummer überwacht.

layer2-headers

(Optional) Zeigt den Link-Layer-Paket-Header in jeder Zeile an.

matching "expression"

(Optional) Zeigt Paketheader an, die mit einem Ausdruck übereinstimmen, der in Anführungszeichen (" ") eingeschlossen ist. Tabelle 2 Durch Tabelle 4 Listenübereinstimmungsbedingungen, logische Operatoren und arithmetische, binäre und relationale Operatoren, die Sie im Ausdruck verwenden können.

no-domain-names

(Optional) Unterdrückt die Anzeige des Domänennamenteils des Hostnamens.

no-promiscuous

(Optional) Gibt an not , dass die überwachte Schnittstelle in den promiskuitiven Modus versetzt werden soll.

Im Promiscuous-Modus liest die Schnittstelle jedes Paket, das sie erreicht. Im nicht-promiskuitiven Modus liest die Schnittstelle nur die an sie adressierten Pakete.

no-resolve

(Optional) Unterdrückt die Anzeige von Hostnamen.

no-timestamp

(Optional) Unterdrückt die Anzeige von Zeitstempeln im Paket-Header.

print-ascii

(Optional) Zeigt jeden Paket-Header im ASCII-Format an.

print-hex

(Optional) Zeigt jeden Paket-Header (mit Ausnahme der Link-Layer-Header) im Hexadezimalformat an.

size bytes

(Optional) Zeigt die Anzahl der Bytes für jedes Paket an, das Sie angeben. Wenn ein Paket-Header diese Größe überschreitet, wird der angezeigte Paket-Header abgeschnitten. Der Standardwert ist 96.

brief

(Optional) Zeigt minimale Paket-Header-Informationen an. Dies ist die Standardeinstellung.

detail

(Optional) Zeigt Paket-Header-Informationen in moderaten Details an. Bei einigen Protokollen müssen Sie auch die size Option verwenden, um detaillierte Informationen anzuzeigen.

extensive

(Optional) Zeigt die umfangreichste Ebene der Paket-Header-Informationen an. Für einige Protokolle müssen Sie auch die size Option verwenden, um umfangreiche Informationen anzuzeigen.

Um den monitor traffic Befehl zu beenden und zur Eingabeaufforderung zurückzukehren, drücken Sie Strg-C.

Um die vom Befehl angezeigten Paket-Header-Informationen einzuschränken, schließen Sie monitor traffic die matching "expression" Option ein. Ein Ausdruck besteht aus einer oder mehreren Übereinstimmungsbedingungen, die in aufgeführt sind Tabelle 2, eingeschlossen in Anführungszeichen (" " ). Sie können Übereinstimmungsbedingungen kombinieren, indem Sie die logischen Operatoren verwenden, die in Tabelle 3 (in der Reihenfolge der höchsten bis niedrigsten Priorität) aufgeführt sind.

Um z. B. TCP- oder UDP-Paket-Header anzuzeigen, geben Sie Folgendes ein:

Um die folgenden Arten von Ausdrücken zu vergleichen, verwenden Sie die relationalen Operatoren, die in Tabelle 4 (aufgelistet von der höchsten zur niedrigsten Priorität) aufgeführt sind:

  • Arithmetik: Ausdrücke, die die arithmetischen Operatoren verwenden, die in aufgeführt sind Tabelle 4.

  • Binary: Ausdrücke, die die binären Operatoren verwenden, die in Tabelle 4.

  • Paketdatenaccessor – Ausdrücke, die die folgende Syntax verwenden:

    Ersetzen Sie protocol durch ein beliebiges Protokoll in Tabelle 2. Ersetzen Sie byte-offset durch den Byte-Offset vom Anfang des Paketheaders, der für den Vergleich verwendet werden soll. Der optionale size Parameter stellt die Anzahl der Bytes dar, die im Paketheader untersucht werden – 1, 2 oder 4 Byte.

    Mit dem folgenden Befehl wird beispielsweise der gesamte Multicastdatenverkehr angezeigt:

Tabelle 2: CLI-Überwachung des Datenverkehrs Übereinstimmungsbedingungen

Übereinstimmungsbedingung

Beschreibung

Entitätstyp

host [address | hostname]

Stimmt mit Paket-Headern überein, die die angegebene Adresse oder den angegebenen Hostnamen enthalten. Sie können eine der folgenden Protokollübereinstimmungsbedingungen, gefolgt von einem Leerzeichen, voranstellen: host arp, ip, rarpoder eine der Richtungsanpassungsbedingungen.

network address

Stimmt Paket-Header mit Quell- oder Zieladressen ab, die die angegebene Netzwerkadresse enthalten.

network address mask mask

Stimmt mit Paket-Headern überein, die die angegebene Netzwerkadresse und Subnetzmaske enthalten.

port [port-number | port-name]

Stimmt mit Paket-Headern überein, die die angegebene Quell- oder Ziel-TCP- oder UDP-Portnummer oder den Portnamen enthalten.

Direktional  

destination

Stimmt mit Paket-Headern überein, die das angegebene Ziel enthalten. Richtungsübereinstimmungsbedingungen können allen Übereinstimmungsbedingungen des Entitätstyps vorangestellt werden, gefolgt von einem Leerzeichen.

source

Stimmt mit Paket-Headern überein, die die angegebene Quelle enthalten.

source and destination

Stimmt mit Paket-Headern überein, die das angegebene Quellziel and enthalten.

source or destination

Stimmt mit Paket-Headern überein, die das angegebene Quellziel or enthalten.

Paketlänge

less bytes

Entspricht Paketen mit einer Länge kleiner oder gleich dem angegebenen Wert in Bytes.

greater bytes

Entspricht Paketen mit einer Länge größer oder gleich dem angegebenen Wert in Byte.

Protokoll

arp

Stimmt mit allen ARP-Paketen überein.

ether

Passend für alle Ethernet-Frames.

ether [broadcast | multicast]

Passt zu Broadcast- oder Multicast-Ethernet-Frames. Dieser Übereinstimmungsbedingung kann oder vorangestellt sourcedestinationwerden.

ether protocol [address | (\arp | \ip | \rarp)

Stimmt mit Ethernet-Frames mit der angegebenen Adresse oder dem angegebenen Protokolltyp überein. Die Argumente , ipund rarp sind ebenfalls unabhängige Übereinstimmungsbedingungen, daher muss ihnen ein umgekehrter arpSchrägstrich (\) vorangestellt werden, wenn sie in der ether protocol Übereinstimmungsbedingung verwendet werden.

icmp

Stimmt mit allen ICMP-Paketen überein.

ip

Stimmt mit allen IP-Paketen überein.

ip [broadcast | multicast]

Stimmt mit Broadcast- oder Multicast-IP-Paketen überein.

ip protocol [address | (\icmp | igrp | \tcp | \udp)]

Stimmt IP-Pakete mit der angegebenen Adresse oder dem angegebenen Protokolltyp überein. Die Argumente , tcpund udp sind ebenfalls unabhängige Übereinstimmungsbedingungen, daher muss ihnen ein umgekehrter icmpSchrägstrich (\) vorangestellt werden, wenn sie in der ip protocol Übereinstimmungsbedingung verwendet werden.

isis

Stimmt mit allen IS-IS-Routing-Nachrichten überein.

rarp

Stimmt mit allen RARP-Paketen überein.

tcp

Stimmt mit allen TCP-Paketen überein.

udp

Stimmt mit allen UDP-Paketen überein.

Tabelle 3: CLI-Überwachung des Datenverkehrs Logische Operatoren

Logischer Operator

Beschreibung

!

Logisch NICHT. Wenn die erste Bedingung nicht zutrifft, wird die nächste Bedingung ausgewertet.

&&

Logisches UND. Wenn die erste Bedingung zutrifft, wird die nächste Bedingung ausgewertet. Wenn die erste Bedingung nicht übereinstimmt, wird die nächste Bedingung übersprungen.

||

Logisches ODER. Wenn die erste Bedingung zutrifft, wird die nächste Bedingung übersprungen. Wenn die erste Bedingung nicht zutrifft, wird die nächste Bedingung ausgewertet.

()

Gruppieren Sie Operatoren, um die Standardrangfolge außer Kraft zu setzen. Klammern sind Sonderzeichen, denen jeweils ein umgekehrter Schrägstrich (\) vorangestellt werden muss.

Tabelle 4: CLI-Überwachung des Datenverkehrs Arithmetische, binäre und relationale Operatoren

Betreiber

Beschreibung

Arithmetischer Operator

+

Additions-Operator.

Subtraktionsoperator.

/

Divisionsbetreiber.

Binäroperator

&

Bitweises UND.

*

Bitweises exklusives ODER.

|

Bitweises inklusives ODER.

Relationaler Operator

<=

Eine Übereinstimmung tritt auf, wenn der erste Ausdruck kleiner oder gleich dem zweiten ist.

>=

Eine Übereinstimmung tritt auf, wenn der erste Ausdruck größer oder gleich dem zweiten ist.

<

Eine Übereinstimmung tritt auf, wenn der erste Ausdruck kleiner als der zweite ist.

>

Eine Übereinstimmung tritt auf, wenn der erste Ausdruck größer als der zweite ist.

=

Eine Übereinstimmung tritt auf, wenn der erste Ausdruck gleich dem zweiten ist.

!=

Eine Übereinstimmung tritt auf, wenn der erste Ausdruck nicht gleich dem zweiten ist.

Im Folgenden finden Sie eine Beispielausgabe des monitor traffic Befehls: