Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Utilisation de la capture de paquets pour analyser le trafic réseau

Présentation de Packet Capture

La capture de paquets est un outil qui vous aide à analyser le trafic réseau et à résoudre les problèmes réseau. L’outil de capture de paquets capture les paquets de données en temps réel qui transitent sur le réseau à des fins de surveillance et de journalisation.

REMARQUE :

La capture de paquets est prise en charge sur les interfaces physiques, les interfaces reth et les interfaces de tunnel, telles que gr, ip, st0 et lsq-/ls.

Les paquets sont capturés sous forme de données binaires, sans modification. Vous pouvez lire les informations sur les paquets hors ligne avec un outil d’analyse de paquets tel que Wireshark ou tcpdump. Si vous avez besoin de capturer rapidement des paquets à destination ou en provenance du moteur de routage et de les analyser en ligne, vous pouvez utiliser l’outil de diagnostic de capture de paquets J-Web.

REMARQUE :

L’outil de capture de paquets ne prend pas en charge la capture de paquets IPv6.

Vous pouvez utiliser l’éditeur de configuration J-Web ou l’éditeur de configuration CLI pour configurer la capture de paquets.

Les administrateurs réseau et les ingénieurs en sécurité utilisent la capture de paquets pour effectuer les tâches suivantes :

  • Surveillez le trafic réseau et analysez les schémas de trafic.

  • Identifier et résoudre les problèmes réseau.

  • Détectez les failles de sécurité dans le réseau, telles que les intrusions non autorisées, l’activité des logiciels espions ou les analyses ping.

La capture de paquets fonctionne de la même manière que l’échantillonnage du trafic sur l’équipement, sauf qu’elle capture des paquets entiers, y compris l’en-tête de couche 2, et enregistre le contenu dans un fichier au format libpcap. La capture de paquets capture également des fragments IP.

Vous ne pouvez pas activer la capture de paquets et l’échantillonnage du trafic sur l’appareil en même temps. Contrairement à l’échantillonnage du trafic, il n’y a pas d’opérations de suivi pour la capture de paquets.

REMARQUE :

Vous pouvez activer simultanément la capture de paquets et la mise en miroir de ports sur un périphérique.

Cette section contient les rubriques suivantes :

Capture de paquets sur les interfaces d’équipement

La capture de paquets est prise en charge sur les interfaces T1, T3, E1, E3, série, Gigabit Ethernet, ADSL, G.SHDSL, PPPoE et RNIS.

Pour capturer des paquets sur une interface RNIS, configurez la capture de paquets sur l’interface de numérotation. Pour capturer des paquets sur une interface PPPoE, configurez la capture de paquets sur l’interface logique PPPoE.

La capture de paquets prend en charge PPP, Cisco HDLC, Frame Relay et d’autres encapsulations ATM. La capture de paquets prend également en charge les encapsulations Multilink PPP (MLPPP), Multilink Frame Relay end-to-end (MLFR) et Multilink Frame Relay UNI/NNI (MFR).

Vous pouvez capturer tous les paquets IPv4 circulant sur une interface dans le sens entrant ou sortant. Toutefois, sur le trafic qui contourne le module logiciel de flux (paquets de protocole tels que ARP, OSPF et PIM), les paquets générés par le moteur de routage ne sont pas capturés, sauf si vous avez configuré et appliqué un filtre de pare-feu sur l’interface dans le sens sortant.

Les interfaces de tunnel prennent en charge la capture de paquets dans le sens sortant uniquement.

Utilisez l’éditeur de configuration J-Web ou l’éditeur de configuration CLI pour spécifier la taille maximale des paquets, le nom de fichier à utiliser pour stocker les paquets capturés, la taille maximale du fichier, le nombre maximal de fichiers de capture de paquets et les autorisations de fichier.

REMARQUE :

Pour les paquets capturés sur les interfaces T1, T3, E1, E3, série et RNIS dans le sens sortant (sortant), la taille du paquet capturé peut être inférieure de 1 octet à la taille maximale du paquet configurée en raison du bit PLP (packet loss priority).

Pour modifier l’encapsulation sur une interface sur laquelle la capture de paquets est configurée, vous devez désactiver la capture de paquets.

Filtres de pare-feu pour la capture de paquets

Lorsque vous activez la capture de paquets sur un périphérique, tous les paquets circulant dans la direction spécifiée dans la configuration de capture de paquets (entrants, sortants ou les deux) sont capturés et stockés. La configuration d’une interface pour capturer tous les paquets peut dégrader les performances de l’équipement. Vous pouvez contrôler le nombre de paquets capturés sur une interface à l’aide de filtres de pare-feu et spécifier différents critères pour capturer les paquets pour des flux de trafic spécifiques.

Vous devez également configurer et appliquer les filtres de pare-feu appropriés sur l’interface si vous devez capturer des paquets générés par le périphérique hôte, car l’échantillonnage d’interface ne capture pas les paquets provenant du périphérique hôte.

Fichiers de capture de paquets

Lorsque la capture de paquets est activée sur une interface, l’intégralité du paquet, y compris l’en-tête de couche 2, est capturée et stockée dans un fichier. Vous pouvez spécifier la taille maximale du paquet à capturer, jusqu’à 1500 octets. La capture de paquets crée un fichier pour chaque interface physique.

La création et le stockage des fichiers s’effectuent de la manière suivante. Supposons que vous nommiez le fichier pcap-filede capture de paquets . La capture de paquets crée plusieurs fichiers (un par interface physique), en nommant chaque fichier du nom de l’interface physique ; par exemple, pcap-file.fe-0.0.1 pour l’interface fe-0.0.1Gigabit Ethernet . Lorsque le fichier nommé pcap-file.fe-0.0.1 atteint la taille maximale, il est renommé pcap-file.fe-0.0.1.0. Lorsque le fichier nommé atteint à nouveau la taille maximale, le fichier nommé pcap-file.fe-0.0.1pcap-file.fe-0.0.1.0 est renommé et pcap-file.fe-0.0.1 est renommé pcap-file.fe-0.0.1.1pcap-file.fe-0.0.1.0. Ce processus se poursuit jusqu’à ce que le nombre maximal de fichiers soit dépassé et que le fichier le plus ancien soit écrasé. Il s’agit pcap-file.fe-0.0.1 toujours du fichier le plus récent.

Les fichiers de capture de paquets ne sont pas supprimés, même après la désactivation de la capture de paquets sur une interface.

Analyse des fichiers de capture de paquets

Les fichiers de capture de paquets sont stockés au format libpcap dans le /var/tmp répertoire. Vous pouvez spécifier des privilèges d’utilisateur ou d’administrateur pour les fichiers.

Les fichiers de capture de paquets peuvent être ouverts et analysés hors ligne avec tcpdump ou tout outil d’analyse de paquets reconnaissant le format libpcap. Vous pouvez également utiliser FTP ou le protocole de contrôle de session (SCP) pour transférer les fichiers de capture de paquets vers un périphérique externe.

REMARQUE :

Désactivez la capture de paquets avant d’ouvrir le fichier pour analyse ou de transférer le fichier vers un périphérique externe avec FTP ou SCP. La désactivation de la capture de paquets garantit que la mémoire tampon interne du fichier est vidée et que tous les paquets capturés sont écrits dans le fichier.

Exemple : Activer la capture de paquets sur un périphérique

Cet exemple montre comment activer la capture de paquets sur un périphérique, analyser le trafic réseau et résoudre les problèmes réseau.

Conditions préalables

Avant de commencer :

Présentation

Dans cet exemple, vous définissez la taille maximale de capture de paquets dans chaque fichier sur 500 octets. La plage est comprise entre 68 et 1500 et la valeur par défaut est de 68 octets. Vous spécifiez le nom de fichier cible pour le fichier de capture de paquets en tant que fichier pcap. Vous spécifiez ensuite que le nombre maximal de fichiers à capturer est de 100. La plage est comprise entre 2 et 10 000 et la valeur par défaut est de 10 fichiers. Vous définissez la taille maximale de chaque fichier sur 1024 octets. La plage est comprise entre 1 024 et 104 857 600 et la valeur par défaut est de 512 000 octets. Enfin, vous spécifiez que tous les utilisateurs ont l’autorisation de lire les fichiers de capture de paquets.

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.

Pour activer la capture de paquets sur un périphérique :

  1. Définissez la taille maximale de capture de paquets.

  2. Spécifiez le nom du fichier cible.

  3. Spécifiez le nombre maximal de fichiers à capturer.

  4. Spécifiez la taille maximale de chaque fichier.

  5. Indiquez que tous les utilisateurs sont autorisés à lire le fichier.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la run show forwarding-options commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification de la configuration de capture de paquets

But

Vérifiez que la capture de paquets est configurée sur l’équipement.

Action

À partir du mode configuration, entrez la run show forwarding-options commande. Vérifiez que la sortie affiche la configuration de fichier prévue pour la capture des paquets.

Vérification des paquets capturés

But

Vérifiez que le fichier de capture de paquets est stocké dans le /var/tmp répertoire et que les paquets peuvent être analysés hors connexion.

Action

  1. Désactivez la capture de paquets.

    À l’aide de FTP, transférez un fichier capture de paquets (par exemple, ), vers un serveur sur lequel vous avez installé des outils d’analyse de paquets (par exemple, 126b.fe-0.0.1tools-server).

    1. À partir du mode configuration, connectez-vous à l’aide de tools-server FTP.

    2. Accédez au répertoire dans lequel les fichiers de capture de paquets sont stockés sur le périphérique.

    3. Copiez le fichier de capture de paquets que vous souhaitez analyser sur le serveur, par exemple 126b.fe-0.0.1.

    4. Revenez au mode de configuration.

  2. Ouvrez le fichier de capture de paquets sur le serveur avec tcpdump ou tout outil d’analyse de paquets prenant en charge le format libpcap et examinez la sortie.

Exemple : Configurer la capture de paquets sur une interface

Cet exemple montre comment configurer la capture de paquets sur une interface pour analyser le trafic.

Conditions préalables

Avant de commencer :

Présentation

Dans cet exemple, vous créez une interface appelée fe-0/0/1, puis vous configurez la direction du trafic pour lequel vous activez la capture de paquets sur l’interface logique en tant qu’entrant et sortant.

REMARQUE :

Sur le trafic qui contourne le module logiciel de flux (paquets de protocole tels que ARP, OSPF et PIM), les paquets générés par le moteur de routage ne sont pas capturés à moins que vous n’ayez configuré et appliqué un filtre de pare-feu sur l’interface dans la direction de sortie.

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.

Pour configurer la capture de paquets sur une interface :

  1. Créez une interface.

  2. Configurez la direction du trafic.

  3. Si vous avez terminé de configurer l’appareil, validez la configuration.

Vérification

Vérification de la configuration de capture de paquets

But

Vérifiez que la configuration fonctionne correctement.

Vérifiez que la capture de paquets est configurée sur l’interface.

Action

À partir du mode configuration, entrez la run show interfaces fe-0/0/1 commande.

Exemple : Configurer un filtre de pare-feu pour la capture de paquets

Cet exemple montre comment configurer un filtre de pare-feu pour la capture de paquets et l’appliquer à une interface logique.

Conditions préalables

Avant de commencer :

Présentation

Dans cet exemple, vous définissez un filtre de pare-feu appelé dest-all et un nom de terme appelé dest-term pour capturer les paquets à partir d’une adresse de destination spécifique, à savoir 192.168.1.1/32. Vous définissez la condition de correspondance pour accepter les paquets échantillonnés. Enfin, vous appliquez le filtre dest-all à tous les paquets sortants sur l’interface fe-0/0/1.

REMARQUE :

Si vous appliquez un filtre de pare-feu sur l’interface de bouclage, il affecte tout le trafic à destination et en provenance du moteur de routage. Si le filtre de pare-feu a une sample action, les paquets à destination et en provenance du moteur de routage sont échantillonnés. Si la capture de paquets est activée, les paquets à destination et en provenance du moteur de routage sont capturés dans les fichiers créés pour les interfaces d’entrée et de sortie.

Topologie

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur CLIJunos OS .

Pour configurer un filtre de pare-feu pour la capture de paquets et l’appliquer à une interface logique :

  1. Spécifiez le filtre de pare-feu et son adresse de destination.

  2. Définissez la condition de correspondance et son action.

  3. Appliquez le filtre à tous les paquets sortants.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la run show firewall filter dest-all commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérification du filtre de pare-feu pour la configuration de capture de paquets

But

Vérifiez que la configuration fonctionne correctement.

Vérifiez que le filtre de pare-feu pour la capture de paquets est configuré.

Action

À partir du mode configuration, entrez la run show firewall filter dest-all commande. Vérifiez que la sortie affiche la configuration prévue du filtre de pare-feu pour capturer les paquets envoyés à l’adresse de destination.

Exemple : Configurer la capture de paquets pour le débogage de chemins de données

Cet exemple montre comment configurer la capture de paquets pour surveiller le trafic qui passe par le périphérique. La capture de paquets vide ensuite les paquets dans un format de fichier PCAP qui peut être examiné ultérieurement par l’utilitaire tcpdump.

Présentation

Un filtre est défini pour filtrer le trafic ; Ensuite, un profil d’action est appliqué au trafic filtré. Le profil d’action spécifie une variété d’actions sur l’unité de traitement. L’une des actions prises en charge est le vidage de paquets, qui envoie le paquet au moteur de routage et le stocke sous forme propriétaire pour être lu à l’aide de la show security datapath-debug capture commande.

REMARQUE :

Le débogage des chemins de données est pris en charge sur SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 et SRX5800.

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configurationdu Guide de l’utilisateur de l’interface de ligne de commande Junos OS.

Pour configurer la capture de paquets, procédez comme suit :

  1. Modifiez l’option de chemin d’accès aux données de sécurité pour les unités de traitement multiples le long du chemin de traitement des paquets :

  2. Activez le fichier de capture, le format de fichier, la taille du fichier et le nombre de fichiers. Le nombre de taille limite la taille du fichier de capture. Une fois la taille limite atteinte, si le numéro de fichier est spécifié, le fichier de capture sera tourné vers filename x, où x est auto-incrémenté jusqu’à ce qu’il atteigne l’index spécifié, puis retourne à zéro. Si aucun index de fichiers n’est spécifié, les paquets seront rejetés une fois la limite de taille atteinte. La taille par défaut est de 512 kilo-octets.

  3. Activez le profil d’action et définissez l’événement. Définissez le profil d’action sur do-capture et le type d’événement sur np-ingress :

  4. Activez le vidage de paquets pour le profil d’action :

  5. Activez les options de filtrage de paquets, d’action et de filtre. Le filtre de paquets est défini sur my-filter, le profil d’action est défini sur do-capture et l’option de filtre est définie sur source-prefix 1.2.3.4/32.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security datapath-debug commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification de la capture des paquets

But

Vérifiez si la capture de paquets fonctionne.

Action

À partir du mode opérationnel, entrez la commande pour démarrer la capture de paquets et entrez la commande pour arrêter la request security datapath-debug capture startrequest security datapath-debug capture stop capture de paquets.

Pour afficher les résultats, à partir du mode opérationnel de la CLI, accédez au shell UNIX local et accédez au répertoire /var/log/my-capture. Le résultat peut être lu à l’aide de l’utilitaire tcpdump.

Vérification de la capture de débogage de chemin de données

But

Vérifiez les détails du fichier de capture de débogage du chemin d’accès aux données.

Action

À partir du mode opérationnel, entrez la show security datapath-debug capture commande.

AVERTISSEMENT :

Une fois le dépannage terminé, veillez à supprimer ou désactiver toutes les configurations de traceoptions (sans s’y limiter, les traceoptions de flux) et la strophe de configuration complète datapath-debug de sécurité. Si des configurations de débogage restent actives, elles continueront à utiliser les ressources CPU et mémoire de l’appareil.

Vérification du compteur de débogage du chemin de données

But

Vérifiez les détails du compteur de débogage du chemin de données.

Action

À partir du mode opérationnel, entrez la show security datapath-debug counter commande.

Désactiver la capture de paquets

Vous devez désactiver la capture de paquets avant d’ouvrir le fichier de capture de paquets pour analyse ou de transférer le fichier vers un périphérique externe. La désactivation de la capture de paquets garantit que la mémoire tampon interne du fichier est vidée et que tous les paquets capturés sont écrits dans le fichier.

Pour désactiver la capture de paquets, passez en mode de configuration :

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Modification de l’encapsulation sur les interfaces avec capture de paquets configurée

Avant de modifier l’encapsulation sur une interface de périphérique configurée pour la capture de paquets, vous devez désactiver la capture de paquets et renommer le dernier fichier de capture de paquets. Dans le cas contraire, la capture de paquets enregistre les paquets avec des encapsulations différentes dans le même fichier de capture de paquets. Les fichiers de paquets contenant des paquets avec des encapsulations différentes ne sont pas utiles, car outil d'analyse des paquets outils comme tcpdump ne peuvent pas analyser de tels fichiers.

Après avoir modifié l’encapsulation, vous pouvez réactiver la capture de paquets sur l’appareil en toute sécurité.

Pour modifier l’encapsulation sur les interfaces avec capture de paquets configurée :

  1. Désactivez la capture de paquets (voir Désactivation de la capture de paquets).
  2. Entrez commit à partir du mode de configuration.
  3. Renommez le dernier fichier de capture de paquets dont vous modifiez l’encapsulation avec l’extension .chdsl .
    1. Depuis le mode opérationnel, accédez au shell UNIX local.
    2. Accédez au répertoire dans lequel sont stockés les fichiers de capture de paquets.
    3. Renommez le dernier fichier de capture de paquets pour l’interface sur laquelle vous modifiez l’encapsulation ; par exemple fe.0.0.0.
    4. Revenez en mode opérationnel.
  4. Modifiez l’encapsulation sur l’interface à l’aide de l’interface utilisateur J-Web ou de l’éditeur de configuration CLI.
  5. Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
  6. Réactivez la capture de paquets (voir Exemple : Activation de la capture de paquets sur un périphérique).
  7. Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Supprimer les fichiers de capture de paquets

La suppression des fichiers de capture de paquets du répertoire /var/tmp ne supprime que temporairement les fichiers de capture de paquets. Les fichiers de capture de paquets pour l’interface sont automatiquement recréés lors de la prochaine validation d’une modification de la configuration de capture de paquets ou dans le cadre de la rotation d’un fichier de capture de paquets.

Pour supprimer un fichier de capture de paquets, procédez comme suit :

  1. Désactivez la capture de paquets (voir Désactivation de la capture de paquets).
  2. Supprimez le fichier de capture de paquets pour l’interface.
    1. Depuis le mode opérationnel, accédez au shell UNIX local.
    2. Accédez au répertoire dans lequel sont stockés les fichiers de capture de paquets.
    3. Supprimez le fichier de capture de paquets pour l’interface ; par exemple pcap-file.fe.0.0.0.
    4. Revenez en mode opérationnel.
  3. Réactivez la capture de paquets (voir Exemple : Activation de la capture de paquets sur un périphérique).
  4. Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Afficher les en-têtes des paquets

Entrez la commande pour afficher les en-têtes de paquets transmis via les interfaces réseau avec la monitor traffic syntaxe suivante :

REMARQUE :

L’utilisation de la commande peut dégrader les monitor traffic performances du système. Nous vous recommandons d’utiliser des options de filtrage, telles que count et matching, afin de minimiser l’impact sur le débit des paquets sur le système.

Tableau 1 Décrit les options de commande monitor traffic .

Tableau 1 : Options de commande de surveillance du trafic CLI

Option

Description

absolute-sequence

(Facultatif) Affiche les numéros de séquence TCP absolus.

count number

(Facultatif) Affiche le nombre spécifié d’en-têtes de paquets. Spécifiez une valeur comprise entre 0 .100,000 La commande se ferme et se termine à l’invite de commande une fois ce nombre atteint.

interface interface-name

(Facultatif) Affiche les en-têtes des paquets pour le trafic sur l’interface spécifiée. Si aucune interface n’est spécifiée, l’interface dont le numéro est le plus bas est surveillée.

layer2-headers

(Facultatif) Affiche l’en-tête du paquet de la couche liaison sur chaque ligne.

matching "expression"

(Facultatif) Affiche les en-têtes de paquets qui correspondent à une expression entre guillemets ( » « ). Tableau 2 à l’aide de conditions de correspondance de liste, d’opérateurs Tableau 4 logiques et d’opérateurs arithmétiques, binaires et relationnels que vous pouvez utiliser dans l’expression.

no-domain-names

(Facultatif) Supprime l’affichage de la partie nom de domaine du nom d’hôte.

no-promiscuous

(Facultatif) Spécifie de placer l’interface surveillée not en mode promiscuité.

En mode promiscuité, l’interface lit chaque paquet qui lui parvient. En mode sans promiscuité, l’interface ne lit que les paquets qui lui sont adressés.

no-resolve

(Facultatif) Supprime l’affichage des noms d’hôte.

no-timestamp

(Facultatif) Supprime l’affichage des horodatages des en-têtes de paquets.

print-ascii

(Facultatif) Affiche chaque en-tête de paquet au format ASCII.

print-hex

(Facultatif) Affiche chaque en-tête de paquet, à l’exception des en-têtes de couche de liaison, au format hexadécimal.

size bytes

(Facultatif) Affiche le nombre d’octets pour chaque paquet que vous spécifiez. Si un en-tête de paquet dépasse cette taille, l’en-tête de paquet affiché est tronqué. La valeur par défaut est 96.

brief

(Facultatif) Affiche les informations minimales sur l’en-tête du paquet. Il s’agit de l’option par défaut.

detail

(Facultatif) Affiche les informations sur l’en-tête des paquets avec un niveau de détail modéré. Pour certains protocoles, vous devez également utiliser l’option permettant d’afficher des informations détaillées size .

extensive

(Facultatif) Affiche le niveau le plus complet d’informations sur les en-têtes de paquets. Pour certains protocoles, vous devez également utiliser l’option permettant d’afficher des informations détaillées size .

Pour quitter la monitor traffic commande et revenir à l’invite de commande, appuyez sur Ctrl-C.

Pour limiter les informations d’en-tête de paquet affichées par la monitor traffic commande, incluez l’option matching "expression" . Une expression est constituée d’une ou de plusieurs conditions de correspondance énumérées dans Tableau 2, entre guillemets ( » « ). Vous pouvez combiner des conditions de correspondance à l’aide des opérateurs logiques répertoriés dans (indiqués par Tableau 3 ordre de priorité du plus élevé au plus bas).

Par exemple, pour afficher les en-têtes de paquets TCP ou UDP, saisissez :

Pour comparer les types d’expressions suivants, utilisez les opérateurs relationnels répertoriés dans (classés de Tableau 4 la priorité la plus élevée à la plus faible) :

  • Arithmetic : expressions qui utilisent les opérateurs arithmétiques répertoriés dans Tableau 4.

  • Binary (Binaire) : expressions qui utilisent les opérateurs binaires répertoriés dans Tableau 4.

  • Packet data accessor : expressions qui utilisent la syntaxe suivante :

    Remplacez-le protocol par n’importe quel protocole de Tableau 2. Remplacez-le par le décalage d’octet, à partir du début de l’en-tête byte-offset du paquet, à utiliser pour la comparaison. Le paramètre facultatif size représente le nombre d’octets examinés dans l’en-tête du paquet : 1, 2 ou 4 octets.

    Par exemple, la commande suivante affiche tout le trafic multicast :

Tableau 2 : Surveillance CLI du trafic Conditions de correspondance

Condition de correspondance

Description
Type d’entité

host [address | hostname]

Correspond aux en-têtes de paquets qui contiennent l’adresse ou le nom d’hôte spécifié. Vous pouvez ajouter l’une des conditions de correspondance de protocole suivantes, suivies d’un espace, à host: arp, ip, rarpou l’une des conditions de correspondance directionnelle.

network address

Fait correspondre les en-têtes de paquets avec les adresses source ou de destination contenant l’adresse réseau spécifiée.

network address mask mask

Correspond aux en-têtes de paquets contenant l’adresse réseau et le masque de sous-réseau spécifiés.

port [port-number | port-name]

Correspond aux en-têtes de paquet contenant le numéro de port TCP ou UDP source ou de destination spécifié ou le nom de port.
Directionnelle  

destination

Correspond aux en-têtes de paquet contenant la destination spécifiée. Les conditions de correspondance directionnelle peuvent être ajoutées à n’importe quelle condition de correspondance de type d’entité, suivies d’un espace.

source

Correspond aux en-têtes de paquets contenant la source spécifiée.

source and destination

Correspond aux en-têtes de paquets contenant la destination source and spécifiée.

source or destination

Correspond aux en-têtes de paquets contenant la destination source or spécifiée.
Longueur du paquet

less bytes

Met en correspondance les paquets dont la longueur est inférieure ou égale à la valeur spécifiée, en octets.

greater bytes

Met en correspondance les paquets dont la longueur est supérieure ou égale à la valeur spécifiée, en octets.

Protocole

arp

Correspond à tous les paquets ARP.

ether

Correspond à toutes les trames Ethernet.

ether [broadcast | multicast]

Correspond aux trames Ethernet de diffusion ou multidiffusion. Cette condition de correspondance peut être précédée de source ou destination.

ether protocol [address | (\arp | \ip | \rarp)

Fait correspondre les trames Ethernet avec l’adresse ou le type de protocole spécifié. Les arguments arp, , et rarp sont également des conditions de correspondance indépendantes, ipils doivent donc être précédés d’une barre oblique inverse (\) lorsqu’ils sont utilisés dans la condition de ether protocol correspondance.

icmp

Correspond à tous les paquets ICMP.

ip

Correspond à tous les paquets IP.

ip [broadcast | multicast]

Correspond aux paquets IP de diffusion ou de multidiffusion.

ip protocol [address | (\icmp | igrp | \tcp | \udp)]

Fait correspondre les paquets IP avec l’adresse ou le type de protocole spécifié. Les arguments icmp, , et udp sont également des conditions de correspondance indépendantes, tcpils doivent donc être précédés d’une barre oblique inverse (\) lorsqu’ils sont utilisés dans la condition de ip protocol correspondance.

isis

Correspond à tous les messages de routage IS-IS.

rarp

Correspond à tous les paquets RARP.

tcp

Correspond à tous les paquets TCP.

udp

Correspond à tous les paquets UDP.
Tableau 3 : Opérateurs logiques de surveillance du trafic CLI

Opérateur logique

Description

!

Logique NON. Si la première condition ne correspond pas, la condition suivante est évaluée.

&&

ET logique. Si la première condition correspond, la condition suivante est évaluée. Si la première condition ne correspond pas, la condition suivante est ignorée.

||

OU logique. Si la première condition correspond, la condition suivante est ignorée. Si la première condition ne correspond pas, la condition suivante est évaluée.

()

Regroupez les opérateurs pour remplacer l’ordre de priorité par défaut. Les parenthèses sont des caractères spéciaux, chacun d’entre eux devant être précédé d’une barre oblique inverse (\).
Tableau 4 : CLI surveille le trafic Opérateurs arithmétiques, binaires et relationnels

Opérateur

Description
Opérateur arithmétique

+

Opérateur d’addition.

Opérateur de soustraction.

/

Opérateur de division.
Opérateur binaire

&

ET au niveau du bit.

*

OU exclusif au niveau du bit.

|

OU au niveau du bit.
Opérateur relationnel

<=

Une correspondance se produit si la première expression est inférieure ou égale à la seconde.

>=

Une correspondance se produit si la première expression est supérieure ou égale à la seconde.

<

Une correspondance se produit si la première expression est inférieure à la seconde.

>

Une correspondance se produit si la première expression est supérieure à la seconde.

=

Une correspondance se produit si la première expression est égale à la seconde.

!=

Une correspondance se produit si la première expression n’est pas égale à la seconde.

Voici un exemple de sortie de la monitor traffic commande :