Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Utilisation de la capture de paquets pour analyser le trafic réseau

Présentation de la capture de paquets

La capture de paquets est un outil qui vous aide à analyser le trafic réseau et à résoudre les problèmes réseau. L’outil de capture de paquets capture les paquets de données en temps réel voyageant sur le réseau à des fins de surveillance et de journalisation.

Remarque :

La capture de paquets est prise en charge sur les interfaces physiques, les interfaces reth et les interfaces de tunnel, telles que gr, ip, st0 et lsq-/ls.

Les paquets sont capturés en tant que données binaires, sans modification. Vous pouvez lire les informations sur les paquets hors ligne à l’aide d’un outil d’analyse de paquets tel qu’Ethereal ou tcpdump. Si vous avez besoin de capturer rapidement les paquets destinés ou originaires du moteur de routage et de les analyser en ligne, vous pouvez utiliser l’outil de diagnostic de capture de paquets J-Web.

Remarque :

L’outil de capture de paquets ne prend pas en charge la capture de paquets IPv6.

Vous pouvez utiliser l’éditeur de configuration J-Web ou l’éditeur de configuration CLI pour configurer la capture de paquets.

Les administrateurs réseau et les ingénieurs de sécurité utilisent la capture de paquets pour effectuer les tâches suivantes :

  • Surveillez le trafic réseau et analysez les modèles de trafic.

  • Identifier et résoudre les problèmes réseau.

  • Détectez les failles de sécurité dans le réseau, telles que les intrusions non autorisées, les logiciels espions ou les analyses ping.

La capture de paquets fonctionne comme un échantillonnage du trafic sur l’équipement, sauf qu’elle capture des paquets entiers, y compris l’en-tête de couche 2, et enregistre le contenu dans un fichier au format libpcap. La capture de paquets capture également des fragments IP. Vous ne pouvez pas activer simultanément la capture de paquets et l’échantillonnage du trafic sur l’équipement. Contrairement à l’échantillonnage du trafic, il n’y a pas d’opérations de traçage pour la capture de paquets.

Remarque :

Vous pouvez activer la capture de paquets et la mise en miroir des ports simultanément sur un équipement.

Cette section contient les rubriques suivantes :

Capture de paquets sur les interfaces d’équipement

La capture de paquets est prise en charge sur les interfaces T1, T3, E1, E3, série, Fast Ethernet, ADSL, G.SHDSL, PPPoE et ISDN.

Pour capturer des paquets sur une interface ISDN, configurez la capture de paquets sur l’interface commutée. Pour capturer des paquets sur une interface PPPoE, configurez la capture de paquets sur l’interface logique PPPoE.

La capture de paquets prend en charge les encapsulations PPP, Cisco HDLC, relais de trames et autres encapsulations ATM. La capture de paquets prend également en charge les encapsulations MULTILINK PPP (MLPPP), Multilink Frame Relay de bout en bout (MLFR) et Multilink Frame Relay UNI/NNI (MFR).

Vous pouvez capturer tous les paquets IPv4 circulant sur une interface dans la direction entrante ou sortante. Toutefois, sur le trafic qui contourne le module logiciel de flux (paquets de protocole tels que ARP, OSPF et PIM), les paquets générés par le moteur de routage ne sont pas capturés sauf si vous avez configuré et appliqué un filtre de pare-feu sur l’interface dans la direction sortante.

Les interfaces de tunnel peuvent uniquement prendre en charge la capture de paquets dans la direction sortante.

Utilisez l’éditeur de configuration J-Web ou l’éditeur de configuration CLI pour spécifier la taille maximale des paquets, le nom de fichier à utiliser pour stocker les paquets capturés, la taille maximale du fichier, le nombre maximum de fichiers de capture de paquets et les autorisations de fichier.

Remarque :

Pour les paquets capturés sur les interfaces T1, T3, E1, E3, série et ISDN dans la direction sortante (sortie), la taille du paquet capturé peut être inférieure de 1 octet à la taille maximale de paquet configurée en raison du bit PLP (Packet Loss Priority).

Pour modifier l’encapsulation sur une interface dont la capture de paquets est configurée, vous devez d’abord désactiver la capture de paquets.

Filtres de pare-feu pour la capture de paquets

Lorsque vous activez la capture de paquets sur un équipement, tous les paquets circulant dans la direction spécifiée dans la configuration de capture de paquets (entrant, sortant ou les deux) sont capturés et stockés. La configuration d’une interface pour capturer tous les paquets peut dégrader les performances de l’équipement. Vous pouvez contrôler le nombre de paquets capturés sur une interface à l’aide de filtres de pare-feu et spécifier différents critères pour capturer des paquets pour des flux de trafic spécifiques.

Vous devez également configurer et appliquer des filtres de pare-feu appropriés sur l’interface si vous devez capturer les paquets générés par l’équipement hôte, car l’échantillonnage de l’interface ne capture pas les paquets provenant de l’équipement hôte.

Fichiers de capture de paquets

Lorsque la capture de paquets est activée sur une interface, l’ensemble du paquet, y compris l’en-tête de couche 2, est capturé et stocké dans un fichier. Vous pouvez spécifier la taille maximale du paquet à capturer, jusqu’à 1 500 octets. La capture de paquets crée un fichier pour chaque interface physique. Vous pouvez spécifier le nom de fichier cible, la taille maximale du fichier et le nombre maximum de fichiers.

La création et le stockage des fichiers se déroulent de la manière suivante. Supposons que vous nomiez le fichier pcap-filede capture de paquets . La capture de paquets crée plusieurs fichiers (un par interface physique), en suffisant chaque fichier avec le nom de l’interface physique ; par exemple, pcap-file.fe-0.0.1 pour l’interface fe-0.0.1Fast Ethernet . Lorsque le fichier nommé pcap-file.fe-0.0.1 atteint la taille maximale, le fichier est renommé pcap-file.fe-0.0.1.0. Lorsque le fichier nommé pcap-file.fe-0.0.1 atteint à nouveau la taille maximale, le fichier nommé pcap-file.fe-0.0.1.0 est renommé pcap-file.fe-0.0.1.1 et pcap-file.fe-0.0.1 renommé pcap-file.fe-0.0.1.0. Ce processus se poursuit jusqu’à ce que le nombre maximum de fichiers soit dépassé et que le fichier le plus ancien soit écrasé. Le pcap-file.fe-0.0.1 fichier est toujours le fichier le plus récent.

Les fichiers de capture de paquets ne sont pas supprimés même lorsque vous désactivez la capture de paquets sur une interface.

Analyse des fichiers de capture de paquets

Les fichiers de capture de paquets sont stockés au format libpcap dans le /var/tmp répertoire. Vous pouvez spécifier des privilèges d’utilisateur ou d’administrateur pour ces fichiers.

Les fichiers de capture de paquets peuvent être ouverts et analysés hors ligne à l’aide de tcpdump ou de tout outil d’analyse de paquets reconnaissant le format libpcap. Vous pouvez également utiliser FTP ou le protocole SCP (Session Control Protocol) pour transférer les fichiers de capture de paquets vers un équipement externe.

Remarque :

Désactivez la capture de paquets avant d’ouvrir le fichier à des fins d’analyse ou de le transférer à un équipement externe avec FTP ou SCP. La désactivation de la capture de paquets garantit que la mémoire tampon interne du fichier est routée et que tous les paquets capturés sont écrits dans le fichier.

Exemple : Permettre la capture de paquets sur un équipement

Cet exemple montre comment activer la capture de paquets sur un équipement, ce qui vous permet d’analyser le trafic réseau et de résoudre les problèmes réseau

Conditions préalables

Avant de commencer :

Présentation

Dans cet exemple, vous définissez la taille maximale de capture de paquets dans chaque fichier en 500 octets. La plage est de 68 à 1 500, et la valeur par défaut est de 68 octets. Vous spécifiez le nom de fichier cible du fichier de capture de paquets en tant que fichier pcap. Vous spécifiez ensuite le nombre maximum de fichiers à capturer en tant que 100. La plage se situe entre 2 et 10 000 et 10 fichiers par défaut. Vous définissez la taille maximale de chaque fichier sur 1 024 octets. La plage varie entre 1 024 et 104 857 600 et 512 000 octets par défaut. Enfin, vous spécifiez que tous les utilisateurs ont l’autorisation de lire les fichiers de capture de paquets.

Configuration

Procédure

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur de cli en mode configuration.

Pour activer la capture de paquets sur un équipement :

  1. Définissez la taille maximale de capture de paquets.

  2. Indiquez le nom du fichier cible.

  3. Indiquez le nombre maximum de fichiers à capturer.

  4. Indiquez la taille maximale de chaque fichier.

  5. Indiquez que tous les utilisateurs ont l’autorisation de lire le fichier.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show forwarding-options commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification de la configuration de capture de paquets

But

Vérifiez que la capture de paquets est configurée sur l’équipement.

Action

Dans le mode configuration, saisissez la show forwarding-options commande. Vérifiez que la sortie affiche la configuration de fichier prévue pour la capture des paquets.

Vérification des paquets capturés

But

Vérifiez que le fichier de capture de paquets est stocké dans le /var/tmp répertoire et que les paquets peuvent être analysés hors ligne.

Action

  1. Désactivez la capture de paquets.

    À l’aide de FTP, transférez un fichier de capture de paquets (par exemple), 126b.fe-0.0.1vers un serveur où vous avez installé des outils d’analyse de paquets (par exemple). tools-server

    1. Du mode configuration, connectez-vous à l’aide de tools-server FTP.

    2. Accédez au répertoire où les fichiers de capture de paquets sont stockés sur l’équipement.

    3. Copiez le fichier de capture de paquets que vous souhaitez analyser au serveur, par exemple 126b.fe-0.0.1.

    4. Revenez en mode configuration.

  2. Ouvrez le fichier de capture de paquets sur le serveur à l’aide de tcpdump ou de tout outil d’analyse de paquets prenant en charge le format libpcap et examinez la sortie.

Exemple : Configuration de la capture de paquets sur une interface

Cet exemple montre comment configurer la capture de paquets sur une interface pour analyser le trafic.

Conditions préalables

Avant de commencer :

Présentation

Dans cet exemple, vous créez une interface appelée fe-0/0/1. Vous configurez ensuite la direction du trafic pour lequel vous activez la capture de paquets sur l’interface logique comme entrant et sortant.

Remarque :

Sur le trafic qui contourne le module logiciel de flux (paquets de protocole tels que ARP, OSPF et PIM), les paquets générés par le moteur de routage ne sont pas capturés sauf si vous avez configuré et appliqué un filtre de pare-feu sur l’interface dans la direction de sortie.

Configuration

Procédure

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur de cli en mode configuration.

Pour configurer la capture de paquets sur une interface :

  1. Créez une interface.

  2. Configurez la direction du trafic.

  3. Si vous avez terminé la configuration de l’unité, validez la configuration.

Vérification

Vérification de la configuration de capture de paquets

But

Vérifiez que la configuration fonctionne correctement.

Vérifiez que la capture de paquets est configurée sur l’interface.

Action

Dans le mode configuration, saisissez la show interfaces fe-0/0/1 commande.

Exemple : Configuration d’un filtre de pare-feu pour la capture de paquets

Cet exemple montre comment configurer un filtre de pare-feu pour la capture de paquets et l’appliquer à une interface logique.

Conditions préalables

Avant de commencer :

Présentation

Dans cet exemple, vous définissez un filtre de pare-feu appelé dest-all et un terme appelé dest-term pour capturer les paquets à partir d’une adresse de destination spécifique, qui est 192.168.1.1/32. Vous définissez la condition de correspondance pour accepter les paquets échantillonnés. Enfin, vous appliquez le filtre dest-all à tous les paquets sortants sur l’interface fe-0/0/1.

Remarque :

Si vous appliquez un filtre de pare-feu sur l’interface de bouclage, il affecte tout le trafic entrant et sortant du moteur de routage. Si le filtre de pare-feu comporte une sample action, les paquets vers et depuis le moteur de routage sont échantillonnés. Si la capture de paquets est activée, les paquets vers et depuis le moteur de routage sont capturés dans les fichiers créés pour les interfaces d’entrée et de sortie.

Topologie

Configuration

Procédure

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le Junos OS CLI User Guide .

Pour configurer un filtre de pare-feu pour la capture de paquets et l’appliquer à une interface logique :

  1. Indiquez le filtre de pare-feu et son adresse de destination.

  2. Définir la condition de correspondance et son action.

  3. Appliquez le filtre à tous les paquets sortants.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show firewall filter dest-all commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Vérification du filtre de pare-feu pour la configuration de la capture de paquets

But

Vérifiez que la configuration fonctionne correctement.

Vérifiez que le filtre de pare-feu pour la capture de paquets est configuré.

Action

Dans le mode configuration, saisissez la show firewall filter dest-all commande. Vérifiez que la sortie affiche la configuration prévue du filtre de pare-feu pour capturer les paquets envoyés à l’adresse de destination.

Exemple : Configuration de la capture de paquets pour le débogage des chemins de données

Cet exemple montre comment configurer la capture de paquets pour surveiller le trafic transitant par l’équipement. La capture de paquets rejette ensuite les paquets dans un format de fichier PCAP qui peut être examiné ultérieurement par l’utilitaire tcpdump.

Conditions préalables

Avant de commencer, reportez-vous au débogage du chemin de données (procédure CLI).

Présentation

Un filtre est défini pour filtrer le trafic; puis un profil d’action est appliqué au trafic filtré. Le profil d’action spécifie une variété d’actions sur l’unité de traitement. L’une des actions prises en charge est le dump de paquets, qui envoie le paquet au moteur de routage et le stocke sous forme propriétaire pour être lu à l’aide de la show security datapath-debug capture commande.

Remarque :

Le débogage des chemins de données est pris en charge sur SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 et SRX5800.

Configuration

Procédure

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le Junos OS CLI User Guide.

Pour configurer la capture de paquets :

  1. Modifiez l’option de débogage des chemins de données de sécurité pour les différentes unités de traitement le long du chemin de traitement des paquets :

  2. Activez le fichier de capture, le format, la taille et le nombre de fichiers. Le nombre de taille limite la taille du fichier de capture. Une fois la taille limite atteinte, si le numéro du fichier est spécifié, le fichier de capture est transféré vers le nom de fichier x, où x est incrémenté automatiquement jusqu’à ce qu’il atteigne l’index spécifié, puis revient à zéro. Si aucun index de fichiers n’est spécifié, les paquets seront jetés une fois la taille limite atteinte. La taille par défaut est de 512 kilo-octets.

  3. Activez le profil d’action et définissez l’événement. Définissez le profil d’action comme do-capture et le type d’événement comme np-entrant :

  4. Activez le dump de paquets pour le profil d’action :

  5. Activez les options de filtre, d’action et de filtre de paquets. Le filtre de paquets est défini sur my-filter, le profil d’action est configuré sur do-capture et l’option de filtre est définie sur le préfixe source 1.2.3.4/32.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show security datapath-debug commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger. show security datapath-debug Voici le résultat de la show security datapath-debug commande :

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification de la capture de paquets

But

Vérifiez si la capture de paquets fonctionne.

Action

Depuis le mode opérationnel, saisissez la commande pour lancer la request security datapath-debug capture start capture de paquets et saisissez la commande pour arrêter la request security datapath-debug capture stop capture de paquets.

Pour afficher les résultats, depuis le mode opérationnel CLI, accédez au shell UNIX local et accédez au répertoire /var/log/my-capture. Le résultat peut être lu à l’aide de l’utilitaire tcpdump.

Vérification de la capture du débogage du chemin de données

But

Vérifier les détails du fichier de capture de débogage du chemin de données.

Action

Dans le mode opérationnel, saisissez la show security datapath-debug capture commande.

Avertissement :

Lorsque vous avez terminé le dépannage, assurez-vous de supprimer ou de désactiver toutes les configurations d’options de trace (sans s’y limiter, les options de trace de flux) et la configuration complète de débogage des chemins de données de sécurité. Si les configurations de débogage restent actives, elles continueront à utiliser le processeur et les ressources mémoire de l’équipement.

Vérification du compteur de débogage du chemin de données

But

Vérifiez les détails du compteur de débogage du chemin de données.

Action

Dans le mode opérationnel, saisissez la show security datapath-debug counter commande.

Désactiver la capture de paquets

Vous devez désactiver la capture de paquets avant d’ouvrir le fichier de capture de paquets à des fins d’analyse ou de le transférer à un équipement externe. La désactivation de la capture de paquets garantit que la mémoire tampon interne du fichier est routée et que tous les paquets capturés sont écrits dans le fichier.

Pour désactiver la capture de paquets, entrez depuis le mode de configuration :

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Suppression des fichiers de capture de paquets

La suppression temporaire des fichiers de capture de paquets dans le répertoire /var/tmp supprime temporairement les fichiers de capture de paquets. Les fichiers de capture de paquets pour l’interface sont automatiquement créés la prochaine fois qu’une modification de configuration de capture de paquets est validée ou dans le cadre d’une rotation des fichiers de capture de paquets.

Pour supprimer un fichier de capture de paquets :

  1. Désactivez la capture de paquets (voir Désactiver la capture de paquets).
  2. Supprimez le fichier de capture de paquets pour l’interface.
    1. Depuis le mode opérationnel, accédez au shell UNIX local.
    2. Accédez au répertoire où les fichiers de capture de paquets sont stockés.
    3. Supprimer le fichier de capture de paquets pour l’interface ; par exemple pcap-file.fe.0.0.0.
    4. Revenez en mode opérationnel.
  3. Capture de paquets réenable (voir exemple : Permettre la capture de paquets sur un équipement).
  4. Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Modification de l’encapsulation sur les interfaces avec la capture de paquets configurée

Avant de modifier l’encapsulation sur une interface d’équipement configurée pour la capture de paquets, vous devez désactiver la capture de paquets et renommé le dernier fichier de capture de paquets. Sinon, la capture de paquets enregistre les paquets avec différentes encapsulations dans le même fichier de capture de paquets. Les fichiers de paquets contenant des paquets avec différentes encapsulations ne sont pas utiles, car les outils d’analyse de paquets comme tcpdump ne peuvent pas analyser ces fichiers.

Après avoir modifié l’encapsulation, vous pouvez réenensible la capture de paquets sur l’équipement en toute sécurité.

Pour modifier l’encapsulation sur les interfaces avec la capture de paquets configurée :

  1. Désactivez la capture de paquets (voir Désactiver la capture de paquets).
  2. Entrer depuis commit le mode de configuration.
  3. Renommez le dernier fichier de capture de paquets sur lequel vous modifiez l’encapsulation avec l’extension .chdsl .
    1. Depuis le mode opérationnel, accédez au shell UNIX local.
    2. Accédez au répertoire où les fichiers de capture de paquets sont stockés.
    3. Renommez le dernier fichier de capture de paquets pour l’interface sur laquelle vous modifiez l’encapsulation ; par exemple fe.0.0.0.
    4. Revenez en mode opérationnel.
  4. Modifiez l’encapsulation sur l’interface à l’aide de l’interface utilisateur J-Web ou de l’éditeur de configuration CLI.
  5. Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.
  6. Capture de paquets réenable (voir exemple : Permettre la capture de paquets sur un équipement).
  7. Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Affichage des en-têtes de paquets

Saisissez la monitor traffic commande pour afficher les en-têtes de paquets transmis via des interfaces réseau avec la syntaxe suivante :

Remarque :

Cette commande peut dégrader les monitor traffic performances du système. Nous vous recommandons d’utiliser des options de filtrage, telles que count et matching, pour réduire l’impact sur le débit de paquets sur le système.

Tableau 1 décrit les options de monitor traffic commande.

Tableau 1 : Cli surveiller le trafic Options de commande

Option

Description

absolute-sequence

(Facultatif) Affiche les numéros de séquence TCP absolus.

count number

(Facultatif) Affiche le nombre spécifié d’en-têtes de paquets. Indiquez une valeur jusqu’à 0100,000. La commande quitte et s’arrête à l’invite de commandes une fois ce nombre atteint.

interface interface-name

(Facultatif) Affiche les en-têtes de paquets pour le trafic sur l’interface spécifiée. Si une interface n’est pas spécifiée, l’interface numérotée la plus faible est contrôlée.

layer2-headers

(Facultatif) Affiche l’en-tête de paquet de la couche de liaison sur chaque ligne.

matching "expression"

(Facultatif) Affiche les en-têtes de paquets correspondant à une expression jointe entre guillemets (« »). Tableau 2 grâce à Tableau 4 la liste des conditions de correspondance, aux opérateurs logiques et aux opérateurs arithmétiques, binaires et relationnels que vous pouvez utiliser dans l’expression.

no-domain-names

(Facultatif) Supprime l’affichage de la partie nom de domaine du nom de l’hôte.

no-promiscuous

(Facultatif) Spécifie de ne pas placer l’interface surveillée en mode promiscuous.

En mode promiscuous, l’interface lit chaque paquet qui l’atteint. En mode non fiable, l’interface ne lit que les paquets qui lui sont adressés.

no-resolve

(Facultatif) Supprime l’affichage des noms d’hôte.

no-timestamp

(Facultatif) Supprime l’affichage des horodatages d’en-tête de paquets.

print-ascii

(Facultatif) Affiche chaque en-tête de paquet au format ASCII.

print-hex

(Facultatif) Affiche chaque en-tête de paquet, à l’exception des en-têtes de couche lien, au format hexadécimal.

size bytes

(Facultatif) Affiche le nombre d’octets pour chaque paquet que vous spécifiez. Si un en-tête de paquet dépasse cette taille, l’en-tête de paquet affiché est tronqué. La valeur par défaut est 96.

brief

(Facultatif) Affiche un minimum d’informations d’en-tête de paquet. Il s’agit de la valeur par défaut.

detail

(Facultatif) Affiche les informations d’en-tête des paquets en détail modérément. Pour certains protocoles, vous devez également utiliser l’option size pour afficher des informations détaillées.

extensive

(Facultatif) Affiche le niveau le plus étendu d’informations d’en-tête de paquet. Pour certains protocoles, vous devez également utiliser cette size option pour afficher des informations détaillées.

Pour quitter la monitor traffic commande et revenir à l’invite de commandes, appuyez sur Ctrl-C.

Pour limiter les informations d’en-tête de paquet affichées par la monitor traffic commande, incluez l’option matching "expression" . Une expression se compose d’une ou plusieurs conditions de correspondance répertoriées dans Tableau 2, jointes entre guillemets (« »). Vous pouvez combiner des conditions de correspondance à l’aide des opérateurs logiques répertoriés dans Tableau 3 (par ordre de priorité le plus élevé à le plus bas).

Par exemple, pour afficher les en-têtes de paquets TCP ou UDP, saisissez :

Pour comparer les types d’expressions suivantes, utilisez les opérateurs relationnels mentionnés dans Tableau 4 (répertoriés entre la priorité la plus élevée et la plus faible) :

  • Arithmétique : expressions qui utilisent les opérateurs arithmétiques répertoriés dans Tableau 4.

  • Binaire : expressions qui utilisent les opérateurs binaires répertoriés dans Tableau 4.

  • Accesseur de données de paquets : expressions utilisant la syntaxe suivante :

    Remplacez par protocol n’importe quel protocole dans Tableau 2. Remplacez par byte-offset le décalage d’octet, à utiliser à des fins de comparaison depuis le début de l’en-tête de paquet. Le paramètre facultatif size représente le nombre d’octets examinés dans l’en-tête de paquet : 1, 2 ou 4 octets.

    Par exemple, la commande suivante affiche tout le trafic multicast :

Tableau 2 : L’interface CLI surveille les conditions de correspondance du trafic

Condition de correspondance

Description
Type d’entité

host [address | hostname]

Correspondance des en-têtes de paquets contenant l’adresse ou le nom de l’hôte spécifié. Vous pouvez prédéfinir l’une des conditions de correspondance de protocole suivantes, suivie d’un espace, pour host: arp, ipou rarpl’une des conditions de correspondance directionnelle.

network address

Correspondance des en-têtes de paquets avec les adresses source ou de destination contenant l’adresse réseau spécifiée.

network address mask mask

Correspond aux en-têtes de paquets contenant l’adresse réseau et le masque de sous-réseau spécifiés.

port [port-number | port-name]

Correspond aux en-têtes de paquets contenant le numéro de port TCP ou UDP ou le nom de port de la source ou de la destination spécifié.
Directionnelle  

destination

Correspond aux en-têtes de paquets contenant la destination spécifiée. Les conditions de correspondance directionnelle peuvent être prédéfinies à n’importe quelle condition de correspondance du type d’entité, suivie d’un espace.

source

Correspond aux en-têtes de paquets contenant la source spécifiée.

source and destination

Correspond aux en-têtes de paquets contenant la source et la destination spécifiées.

source or destination

Correspond aux en-têtes de paquets contenant la source ou la destination spécifiée.
Longueur de paquet

less bytes

Correspondance des paquets avec des longueurs inférieures ou égales à la valeur spécifiée, en octets.

greater bytes

Correspondance des paquets avec des longueurs supérieures ou égales à la valeur spécifiée, en octets.

Protocole

arp

Correspond à tous les paquets ARP.

ether

Correspond à toutes les trames Ethernet.

ether [broadcast | multicast]

Correspondance des trames Ethernet de diffusion ou multicast. Cette condition de correspondance peut être prépendée avec source ou destination.

ether protocol [address | (\arp | \ip | \rarp)

Correspondance des trames Ethernet avec l’adresse ou le type de protocole spécifié. Les arguments arp, ipet rarp sont également des conditions de correspondance indépendantes, ils doivent donc être précédés d’une barre oblique inverse (\) lorsqu’ils sont utilisés dans la condition de ether protocol correspondance.

icmp

Correspond à tous les paquets ICMP.

ip

Correspond à tous les paquets IP.

ip [broadcast | multicast]

Correspond aux paquets IP de diffusion ou multicast.

ip protocol [address | (\icmp | igrp | \tcp | \udp)]

Correspondance des paquets IP avec l’adresse ou le type de protocole spécifié. Les arguments icmp, tcpet udp sont également des conditions de correspondance indépendantes, ils doivent donc être précédés d’une barre oblique inverse (\) lorsqu’ils sont utilisés dans la condition de ip protocol correspondance.

isis

Correspond à tous les messages de routage IS-IS.

rarp

Correspond à tous les paquets RARP.

tcp

Correspond à tous les paquets TCP.

udp

Correspond à tous les paquets UDP.
Tableau 3 : Surveiller le trafic par CLI Opérateurs logiques

Opérateur logique

Description

!

LOGIQUE NON. Si la première condition ne correspond pas, la condition suivante est évaluée.

&&

Logique et. Si la première condition correspond, la condition suivante est évaluée. Si la première condition ne correspond pas, la condition suivante est ignorée.

||

Logique OU. Si la première condition correspond, la condition suivante est ignorée. Si la première condition ne correspond pas, la condition suivante est évaluée.

()

Regroupez des opérateurs pour remplacer l’ordre de préséance par défaut. Les parenthèses sont des caractères spéciaux, chacun devant être précédé d’une barre oblique inverse (\).
Tableau 4 : Cli surveiller le trafic Opérateurs arithmétiques, binaires et relationnels

Opérateur

Description
Opérateur arithmétique

+

Opérateur supplémentaire.

Opérateur de soustraction.

/

Opérateur de division.
Opérateur binaire

&

Bitwise ET.

*

Bitwise exclusive OR.

|

OU inclus dans Bitwise.
Opérateur relationnel

<=

Une correspondance se produit si la première expression est inférieure ou égale à la seconde.

>=

Une correspondance se produit si la première expression est supérieure ou égale à la seconde.

<

Une correspondance se produit si la première expression est inférieure à la seconde.

>

Une correspondance se produit si la première expression est supérieure à la seconde.

=

Une correspondance se produit si la première expression est égale à la seconde.

!=

Une correspondance se produit si la première expression n’est pas égale à la seconde.

Voici un exemple de sortie de la monitor traffic commande :