Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Utilisation de la capture de paquets pour analyser le trafic réseau

Présentation de la capture de paquets

La capture de paquets est un outil qui vous aide à analyser le trafic réseau et à résoudre les problèmes réseau. L’outil de capture de paquets capture les paquets de données en temps réel qui circulent sur le réseau à des fins de surveillance et de journalisation.

REMARQUE :

La capture de paquets est prise en charge sur les interfaces physiques, les interfaces de reth et les interfaces de tunnel, telles que gr, ip, st0 et lsq-/ls.

Les paquets sont capturés en tant que données binaires, sans modification. Vous pouvez lire les informations de paquets hors ligne avec un analyseur de paquets tel que Wireshark ou tcpdump. Si vous avez besoin de capturer rapidement des paquets à destination ou en provenance du moteur de routage et de les analyser en ligne, vous pouvez utiliser l’outil de diagnostic de capture de paquets J-Web.

REMARQUE :

L’outil de capture de paquets ne prend pas en charge la capture de paquets IPv6.

Vous pouvez utiliser l’éditeur de configuration J-Web ou l’éditeur de configuration CLI pour configurer la capture de paquets.

Les administrateurs réseau et les ingénieurs de sécurité utilisent la capture de paquets pour effectuer les tâches suivantes :

  • Surveillez le trafic réseau et analysez les schémas de trafic.

  • Identifiez et résolvez les problèmes réseau.

  • Détectez les violations de sécurité sur le réseau, telles que les intrusions non autorisées, les activités de logiciels espions ou les analyses ping.

La capture de paquets fonctionne comme un échantillonnage de trafic sur l’équipement, sauf qu’elle capture des paquets entiers, y compris l’en-tête de couche 2 et enregistre le contenu dans un fichier au format libpcap. La capture de paquets capture également des fragments IP.

Vous ne pouvez pas activer la capture de paquets et l’échantillonnage du trafic sur l’équipement en même temps. Contrairement à l’échantillonnage du trafic, il n’y a pas d’opérations de traçage pour la capture de paquets.

REMARQUE :

Vous pouvez activer simultanément la capture de paquets et la mise en miroir des ports sur un équipement.

Cette section contient les sujets suivants :

Capture de paquets sur les interfaces des équipements

La capture de paquets est prise en charge sur les interfaces T1, T3, E1, E3, série, Gigabit Ethernet, ADSL, G.SHDSL, PPPoE et ISDN.

Pour capturer des paquets sur une interface ISDN, configurez la capture de paquets sur l’interface du numéroteur. Pour capturer des paquets sur une interface PPPoE, configurez la capture de paquets sur l’interface logique PPPoE.

La capture de paquets prend en charge ppp, Cisco HDLC, frame relay et autres encapsulations ATM. La capture de paquets prend également en charge le PPP multilink (MLPPP), le relais de trames multilink de bout en bout (MLFR) et les encapsulations UNI/NNI de relais de trames multilink (MFR).

Vous pouvez capturer tous les paquets IPv4 circulant sur une interface dans le sens entrant ou sortant. Toutefois, sur le trafic qui contourne le module logiciel de flux (paquets de protocole tels que ARP, OSPF et PIM), les paquets générés par le moteur de routage ne sont capturés que si vous avez configuré et appliqué un filtre de pare-feu sur l’interface dans le sens de sortie.

Les interfaces tunnel prennent uniquement en charge la capture des paquets dans la direction sortante.

Utilisez l’éditeur de configuration J-Web ou l’éditeur de configuration CLI pour spécifier la taille maximale des paquets, le nom de fichier à utiliser pour stocker les paquets capturés, la taille maximale du fichier, le nombre maximal de fichiers de capture de paquets et les autorisations de fichier.

REMARQUE :

Pour les paquets capturés sur les interfaces T1, T3, E1, E3, série et ISDN dans le sens sortant (sortant), la taille du paquet capturé peut être inférieure de 1 octet à la taille maximale de paquet configurée en raison du bit PLP (Packet Loss Priority).

Pour modifier l’encapsulation sur une interface avec la capture de paquets configurée, vous devez désactiver la capture de paquets.

Filtres de pare-feu pour la capture de paquets

Lorsque vous activez la capture de paquets sur un équipement, tous les paquets circulant dans la direction spécifiée dans la configuration de capture de paquets (entrant, sortant ou les deux) sont capturés et stockés. La configuration d’une interface pour capturer tous les paquets peut dégrader les performances de l’équipement. Vous pouvez contrôler le nombre de paquets capturés sur une interface à l’aide de filtres de pare-feu et spécifier divers critères pour capturer des paquets pour des flux de trafic spécifiques.

Vous devez également configurer et appliquer des filtres de pare-feu appropriés sur l’interface si vous devez capturer les paquets générés par l’équipement hôte, car l’échantillonnage des interfaces ne capture pas les paquets provenant de l’équipement hôte.

Fichiers de capture de paquets

Lorsque la capture de paquets est activée sur une interface, l’ensemble du paquet, y compris l’en-tête de couche 2, est capturé et stocké dans un fichier. Vous pouvez spécifier la taille maximale du paquet à capturer, jusqu’à 1 500 octets. La capture de paquets crée un fichier pour chaque interface physique.

La création et le stockage des fichiers s’effectuent de la manière suivante. Supposons que vous nommez le fichier pcap-filede capture de paquets . La capture de paquets crée plusieurs fichiers (un par interface physique), en suffisant chaque fichier avec le nom de l’interface physique ; par exemple, pcap-file.fe-0.0.1 pour l’interface fe-0.0.1Gigabit Ethernet . Lorsque le fichier nommé pcap-file.fe-0.0.1 atteint la taille maximale, le fichier est renommé pcap-file.fe-0.0.1.0. Lorsque le fichier nommé pcap-file.fe-0.0.1 atteint à nouveau la taille maximale, le fichier nommé pcap-file.fe-0.0.1.0 est renommé pcap-file.fe-0.0.1.1 et pcap-file.fe-0.0.1 renommé pcap-file.fe-0.0.1.0. Ce processus se poursuit jusqu’à ce que le nombre maximal de fichiers soit dépassé et que le fichier le plus ancien soit écrasé. Le pcap-file.fe-0.0.1 fichier est toujours le dernier.

Les fichiers de capture de paquets ne sont pas supprimés même après avoir désactivé la capture de paquets sur une interface.

Analyse des fichiers de capture de paquets

Les fichiers de capture de paquets sont stockés au format libpcap dans le /var/tmp répertoire. Vous pouvez spécifier des droits d’utilisateur ou d’administrateur pour les fichiers.

Les fichiers de capture de paquets peuvent être ouverts et analysés hors ligne avec tcpdump ou tout analyseur de paquets qui reconnaît le format libpcap. Vous pouvez également utiliser FTP ou le protocole SCP (Session Control Protocol) pour transférer les fichiers de capture de paquets vers un équipement externe.

REMARQUE :

Désactiver la capture des paquets avant d’ouvrir le fichier pour analyse ou de le transférer vers un équipement externe avec FTP ou SCP. La désactivation de la capture des paquets garantit que la mémoire tampon interne du fichier est vidée et que tous les paquets capturés sont écrits dans le fichier.

Exemple : Activer la capture de paquets sur un équipement

Cet exemple montre comment activer la capture de paquets sur un équipement, analyser le trafic réseau et résoudre les problèmes réseau.

Conditions préalables

Avant de commencer :

Présentation

Dans cet exemple, vous définissez la taille de capture de paquets maximale dans chaque fichier comme 500 octets. La plage est de 68 à 1 500, et la valeur par défaut est de 68 octets. Vous spécifiez le nom de fichier cible du fichier de capture de paquets en tant que pcap-file. Vous spécifiez ensuite le nombre maximal de fichiers à capturer comme 100. La plage est de 2 à 10 000, et la valeur par défaut est de 10 fichiers. Vous définissez la taille maximale de chaque fichier à 1 024 octets. La plage est de 1 024 à 104 857 600, et la valeur par défaut est de 512 000 octets. Enfin, vous spécifiez que tous les utilisateurs ont l’autorisation de lire les fichiers de capture de paquets.

Configuration

Procédure

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur cli en mode de configuration.

Pour permettre la capture de paquets sur un équipement :

  1. Définissez la taille maximale de capture des paquets.

  2. Spécifiez le nom de fichier cible.

  3. Spécifiez le nombre maximal de fichiers à capturer.

  4. Spécifiez la taille maximale de chaque fichier.

  5. Spécifiez que tous les utilisateurs ont l’autorisation de lire le fichier.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la run show forwarding-options commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification de la configuration de capture de paquets

But

Vérifiez que la capture de paquets est configurée sur l’équipement.

Action

Depuis le mode de configuration, saisissez la run show forwarding-options commande. Vérifiez que la sortie affiche la configuration de fichier prévue pour la capture des paquets.

Vérification des paquets capturés

But

Vérifiez que le fichier de capture des paquets est stocké dans le /var/tmp répertoire et que les paquets peuvent être analysés hors ligne.

Action
  1. Désactiver la capture de paquets.

    À l’aide de FTP, transférez un fichier de capture de paquets (par exemple), 126b.fe-0.0.1vers un serveur sur lequel vous avez installé des outils d’analyse de paquets (par exemple, tools-server).

    1. Depuis le mode de configuration, connectez-vous à l’aide de tools-server FTP.

    2. Accédez au répertoire où les fichiers de capture de paquets sont stockés sur l’équipement.

    3. Copiez le fichier de capture de paquets que vous souhaitez analyser sur le serveur, par exemple 126b.fe-0.0.1.

    4. Revenir au mode de configuration.

  2. Ouvrez le fichier de capture de paquets sur le serveur avec tcpdump ou n’importe quel analyseur de paquets prenant en charge le format libpcap et examinez le résultat.

Exemple : Configurer la capture de paquets sur une interface

Cet exemple montre comment configurer la capture de paquets sur une interface pour analyser le trafic.

Conditions préalables

Avant de commencer :

Présentation

Dans cet exemple, vous créez une interface appelée fe-0/0/1, puis configurez la direction du trafic pour lequel vous activez la capture de paquets sur l’interface logique comme entrant et sortant.

REMARQUE :

Sur le trafic qui contourne le module logiciel de flux (paquets de protocole comme ARP, OSPF et PIM), les paquets générés par le moteur de routage ne sont capturés que si vous avez configuré et appliqué un filtre de pare-feu sur l’interface dans le sens de sortie.

Configuration

Procédure

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur cli en mode de configuration.

Pour configurer la capture de paquets sur une interface :

  1. Créez une interface.

  2. Configurez la direction du trafic.

  3. Si vous avez fini de configurer l’équipement, validez la configuration.

Vérification

Vérification de la configuration de capture de paquets

But

Vérifiez que la configuration fonctionne correctement.

Vérifiez que la capture de paquets est configurée sur l’interface.

Action

Depuis le mode de configuration, saisissez la run show interfaces fe-0/0/1 commande.

Exemple : Configurer un filtre de pare-feu pour la capture de paquets

Cet exemple montre comment configurer un filtre de pare-feu pour la capture de paquets et l’appliquer à une interface logique.

Conditions préalables

Avant de commencer :

Présentation

Dans cet exemple, vous définissez un filtre de pare-feu appelé dest-all et un nom appelé dest-term pour capturer des paquets à partir d’une adresse de destination spécifique, qui est 192.168.1.1/32. Vous définissez la condition de correspondance pour accepter les paquets échantillonés. Enfin, vous appliquez le filtre dest-all à tous les paquets sortants sur l’interface fe-0/0/1.

REMARQUE :

Si vous appliquez un filtre de pare-feu sur l’interface de bouclage, cela affecte tout le trafic vers et depuis le moteur de routage. Si le filtre de pare-feu comporte une sample action, les paquets vers et depuis le moteur de routage sont échantillonnées. Si la capture de paquets est activée, les paquets vers et depuis le moteur de routage sont capturés dans les fichiers créés pour les interfaces d’entrée et de sortie.

topologie

Configuration

Procédure

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de Junos OS CLI .

Pour configurer un filtre de pare-feu pour la capture de paquets et l’appliquer à une interface logique :

  1. Spécifiez le filtre de pare-feu et son adresse de destination.

  2. Définissez la condition de correspondance et son action.

  3. Appliquez le filtre à tous les paquets sortants.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la run show firewall filter dest-all commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Vérification

Vérification du filtre de pare-feu pour la configuration de capture de paquets

But

Vérifiez que la configuration fonctionne correctement.

Vérifiez que le filtre de pare-feu pour la capture des paquets est configuré.

Action

Depuis le mode de configuration, saisissez la run show firewall filter dest-all commande. Vérifiez que la sortie indique la configuration prévue du filtre de pare-feu pour la capture des paquets envoyés à l’adresse de destination.

Exemple : Configurer la capture de paquets pour le débogage de chemin de données

Cet exemple montre comment configurer la capture de paquets pour surveiller le trafic qui transite par l’équipement. La capture de paquets déverse ensuite les paquets dans un format de fichier PCAP qui peut être ultérieurement examiné par l’utilitaire tcpdump.

Conditions préalables

Présentation

Un filtre est défini pour filtrer le trafic ; puis un profil d’action est appliqué au trafic filtré. Le profil d’action spécifie une variété d’actions sur l’unité de traitement. L’une des actions prises en charge est le vidage des paquets, qui envoie le paquet au moteur de routage et le stocke sous forme propriétaire pour être lu à l’aide de la show security datapath-debug capture commande.

REMARQUE :

Le débogage des chemins de données est pris en charge sur SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 et SRX5800.

Configuration

Procédure

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configurationdans le Guide de l’utilisateur de l’interface CLI Junos OS.

Pour configurer la capture de paquets :

  1. Modifiez l’option security datapath-debug pour les multiples unités de traitement le long du chemin de traitement des paquets :

  2. Activez le fichier de capture, le format du fichier, la taille du fichier et le nombre de fichiers. Le nombre de taille limite la taille du fichier de capture. Une fois la taille limite atteinte, si le numéro de fichier est spécifié, le fichier de capture est pivoté vers le nom de fichier x, où x il est incrémenté automatiquement jusqu’à ce qu’il atteigne l’index spécifié et revienne à zéro. Si aucun index de fichiers n’est spécifié, les paquets seront jetés une fois la limite de taille atteinte. La taille par défaut est de 512 kilooctets.

  3. Activez le profil d’action et définissez l’événement. Définissez le profil d’action comme do-capture et le type d’événement comme np-ingress :

  4. Activer le vidage des paquets pour le profil d’action :

  5. Activez les options de filtrage, d’action et de filtrage des paquets. Le filtre de paquets est défini sur mon filtre, le profil d’action est défini sur do-capture et l’option de filtre est définie sur préfixe source 1.2.3.4/32.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security datapath-debug commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification de la capture de paquets

But

Vérifiez si la capture de paquets fonctionne.

Action

Depuis le mode opérationnel, saisissez la commande pour lancer la request security datapath-debug capture start capture de paquets et saisissez la commande pour arrêter la request security datapath-debug capture stop capture de paquets.

Pour afficher les résultats, depuis le mode opérationnel cli, accédez au shell UNIX local et accédez au répertoire /var/log/my-capture. Le résultat peut être lu à l’aide de l’utilitaire tcpdump.

Vérification de la capture du débogage des chemins de données

But

Vérifiez les détails du fichier de capture de chemin d’accès aux données.

Action

Depuis le mode opérationnel, saisissez la show security datapath-debug capture commande.

AVERTISSEMENT :

Une fois le dépannage terminé, assurez-vous de supprimer ou de désactiver toutes les configurations de traceoptions (sans se limiter aux traceoptions de flux) et l’ensemble de la configuration de déboguement de chemin de données de sécurité. Si des configurations de débogage restent actives, elles continueront d’utiliser le processeur et les ressources mémoire de l’équipement.

Vérification du compteur de débogage des chemins de données

But

Vérifiez les détails du compteur de débogage de chemin de données.

Action

Depuis le mode opérationnel, saisissez la show security datapath-debug counter commande.

Désactiver la capture de paquets

Vous devez désactiver la capture de paquets avant d’ouvrir le fichier de capture de paquets pour analyse ou de transférer le fichier vers un équipement externe. La désactivation de la capture des paquets garantit que la mémoire tampon interne du fichier est vidée et que tous les paquets capturés sont écrits dans le fichier.

Pour désactiver la capture de paquets, saisissez à partir du mode de configuration :

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Modifier l’encapsulation sur les interfaces avec la capture de paquets configurée

Avant de modifier l’encapsulation sur une interface d’équipement configurée pour la capture de paquets, vous devez désactiver la capture de paquets et renommer le dernier fichier de capture de paquets. Sinon, la capture de paquets enregistre les paquets avec différentes encapsulations dans le même fichier de capture de paquets. Les fichiers de paquets contenant des paquets avec différentes encapsulations ne sont pas utiles, car les outils d’analyse de paquets comme tcpdump ne peuvent pas analyser de tels fichiers.

Après avoir modifié l’encapsulation, vous pouvez réenabler la capture de paquets en toute sécurité sur l’équipement.

Pour modifier l’encapsulation sur les interfaces avec la capture de paquets configurée :

  1. Désactiver la capture de paquets (voir Désactiver la capture de paquets).
  2. Entrez commit depuis le mode de configuration.
  3. Renommez le dernier fichier de capture de paquets sur lequel vous modifiez l’encapsulation avec l’extension .chdsl .
    1. Depuis le mode opérationnel, accédez au shell UNIX local.
    2. Accédez au répertoire où sont stockés les fichiers de capture de paquets.
    3. Renommez le dernier fichier de capture de paquets pour l’interface sur laquelle vous modifiez l’encapsulation ; par exemple fe.0.0.0.
    4. Retour en mode opérationnel.
  4. Modifiez l’encapsulation sur l’interface à l’aide de l’interface utilisateur J-Web ou de l’éditeur de configuration CLI.
  5. Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
  6. Capture de paquets réenable (voir exemple : Activation de la capture de paquets sur un équipement).
  7. Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Supprimer les fichiers de capture de paquets

La suppression des fichiers de capture de paquets du répertoire /var/tmp supprime temporairement les fichiers de capture de paquets. Les fichiers de capture de paquets pour l’interface sont automatiquement créés à nouveau la prochaine fois qu’une modification de configuration de capture de paquets est validée ou dans le cadre d’une rotation des fichiers de capture de paquets.

Pour supprimer un fichier de capture de paquets :

  1. Désactiver la capture de paquets (voir Désactiver la capture de paquets).
  2. Supprimez le fichier de capture de paquets pour l’interface.
    1. Depuis le mode opérationnel, accédez au shell UNIX local.
    2. Accédez au répertoire où sont stockés les fichiers de capture de paquets.
    3. Supprimez le fichier de capture de paquets pour l’interface ; par exemple pcap-file.fe.0.0.0.
    4. Retour en mode opérationnel.
  3. Capture de paquets réenable (voir exemple : Activation de la capture de paquets sur un équipement).
  4. Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Afficher les en-têtes de paquets

Saisissez la monitor traffic commande pour afficher les en-têtes de paquets transmis via des interfaces réseau avec la syntaxe suivante :

REMARQUE :

L’utilisation de la monitor traffic commande peut dégrader les performances du système. Nous vous recommandons d’utiliser des options de filtrage, telles que count et matchingpour minimiser l’impact sur le débit des paquets sur le système.

Tableau 1 décrit les options de monitor traffic commande.

Tableau 1 : Options de commande du trafic de surveillance CLI

Option

Description

absolute-sequence

(Facultatif) Affiche les nombres absolus de séquence TCP.

count number

(Facultatif) Affiche le nombre spécifié d’en-têtes de paquets. Spécifiez une valeur à partir de 0100,000. La commande quitte et sort de l’invite de commande une fois ce numéro atteint.

interface interface-name

(Facultatif) Affiche les en-têtes de paquets pour le trafic sur l’interface spécifiée. Si une interface n’est pas spécifiée, l’interface numérotée la plus basse est surveillée.

layer2-headers

(Facultatif) Affiche l’en-tête de paquet de couche liaison sur chaque ligne.

matching "expression"

(Facultatif) Affiche les en-têtes de paquets qui correspondent à une expression entre guillemets (« »). Tableau 2 grâce à Tableau 4 des conditions de correspondance de liste, des opérateurs logiques et des opérateurs arithmétiques, binaires et relationnels que vous pouvez utiliser dans l’expression.

no-domain-names

(Facultatif) Supprime l’affichage de la partie du nom de domaine du nom de l’hôte.

no-promiscuous

(Facultatif) not Spécifie de placer l’interface surveillée en mode promiscuous.

En mode promiscuous, l’interface lit chaque paquet qui y parvient. En mode non-autorisé, l’interface ne lit que les paquets qui lui sont adressés.

no-resolve

(Facultatif) Supprime l’affichage des noms d’hôte.

no-timestamp

(Facultatif) Supprime l’affichage des horodatages d’en-tête de paquet.

print-ascii

(Facultatif) Affiche chaque en-tête de paquet au format ASCII.

print-hex

(Facultatif) Affiche chaque en-tête de paquet, à l’exception des en-têtes de couche de liaison, au format hexadécimal.

size bytes

(Facultatif) Affiche le nombre d’octets pour chaque paquet que vous spécifiez. Si un en-tête de paquet dépasse cette taille, l’en-tête de paquet affiché est tronqué. La valeur par défaut est 96.

brief

(Facultatif) Affiche un minimum d’informations sur l’en-tête de paquet. C’est la valeur par défaut.

detail

(Facultatif) Affiche des informations d’en-tête de paquets modérément détaillées. Pour certains protocoles, vous devez également utiliser l’option size pour afficher des informations détaillées.

extensive

(Facultatif) Affiche le niveau d’informations d’en-tête de paquet le plus complet. Pour certains protocoles, vous devez également utiliser l’option size pour voir des informations détaillées.

Pour quitter la monitor traffic commande et revenir à l’invite de commandes, appuyez sur Ctrl-C.

Pour limiter les informations d’en-tête de paquet affichées par la monitor traffic commande, incluez l’option matching "expression" . Une expression se compose d’une ou plusieurs conditions de correspondance répertoriées dans Tableau 2, jointes entre guillemets (« »). Vous pouvez combiner les conditions de correspondance à l’aide des opérateurs logiques répertoriés dans (indiqués dans Tableau 3 l’ordre de priorité la plus élevée à la plus faible).

Par exemple, pour afficher les en-têtes de paquets TCP ou UDP, saisissez :

Pour comparer les types d’expressions suivants, utilisez les opérateurs relationnels répertoriés dans Tableau 4 (répertoriés de la priorité la plus élevée au plus faible) :

  • Arithmétique : expressions qui utilisent les opérateurs arithmétiques répertoriés dans Tableau 4.

  • Binaire : expressions qui utilisent les opérateurs binaires répertoriés dans Tableau 4.

  • Accesseur de données de paquets : expressions qui utilisent la syntaxe suivante :

    Remplacez par protocol n’importe quel protocole dans Tableau 2. Remplacez byte-offset par le décalage d’octet, à partir du début de l’en-tête de paquet, à utiliser pour la comparaison. Le paramètre facultatif size représente le nombre d’octets examinés dans l’en-tête du paquet : 1, 2 ou 4 octets.

    Par exemple, la commande suivante affiche tout le trafic multicast :

Tableau 2 : Conditions de correspondance du trafic de la surveillance CLI

Condition de correspondance

Description

Type d’entité

host [address | hostname]

Correspond aux en-têtes de paquets qui contiennent l’adresse ou le nom d’hôte spécifié. Vous pouvez préprésenter l’une des conditions de correspondance de protocole suivantes, suivie d’un espace, à host: arp, ipou rarpl’une des conditions de correspondance directionnelle.

network address

Fait correspondre les en-têtes de paquets aux adresses source ou de destination contenant l’adresse réseau spécifiée.

network address mask mask

Correspond aux en-têtes de paquets contenant l’adresse réseau et le masque de sous-réseau spécifiés.

port [port-number | port-name]

Correspond aux en-têtes de paquets contenant le numéro ou le nom du port TCP ou UDP de source ou de destination spécifié.

Directionnelle  

destination

Correspond aux en-têtes de paquets contenant la destination spécifiée. Les conditions de correspondance directionnelle peuvent être prédépendées à n’importe quelle condition de correspondance du type d’entité, suivie d’un espace.

source

Correspond aux en-têtes de paquets contenant la source spécifiée.

source and destination

Correspond aux en-têtes de paquets contenant la destination source and spécifiée.

source or destination

Correspond aux en-têtes de paquets contenant la destination source or spécifiée.

Longueur des paquets

less bytes

Correspond aux paquets avec des longueurs inférieures ou égales à la valeur spécifiée, en octets.

greater bytes

Fait correspondre les paquets avec des longueurs supérieures ou égales à la valeur spécifiée, en octets.

Protocole

arp

Correspond à tous les paquets ARP.

ether

Correspond à toutes les trames Ethernet.

ether [broadcast | multicast]

Correspond aux trames Ethernet broadcast ou multicast. Cette condition de correspondance peut être prévue avec source ou destination.

ether protocol [address | (\arp | \ip | \rarp)

Fait correspondre les trames Ethernet à l’adresse ou au type de protocole spécifié. Les arguments arp, ipet rarp sont également des conditions de correspondance indépendantes, ils doivent donc être précédés d’une barre arrière (\) lorsqu’ils sont utilisés dans la condition de ether protocol correspondance.

icmp

Correspond à tous les paquets ICMP.

ip

Correspond à tous les paquets IP.

ip [broadcast | multicast]

Correspond aux paquets IP de diffusion ou multicast.

ip protocol [address | (\icmp | igrp | \tcp | \udp)]

Fait correspondre les paquets IP à l’adresse ou au type de protocole spécifié. Les arguments icmp, tcpet udp sont également des conditions de correspondance indépendantes, ils doivent donc être précédés d’une barre arrière (\) lorsqu’ils sont utilisés dans la condition de ip protocol correspondance.

isis

Correspond à tous les messages de routage IS-IS.

rarp

Correspond à tous les paquets RARP.

tcp

Correspond à tous les paquets TCP.

udp

Correspond à tous les paquets UDP.

Tableau 3 : Surveillance du trafic CLI Opérateurs logiques

Opérateur logique

Description

!

Logique NON. Si la première condition ne correspond pas, la condition suivante est évaluée.

&&

Logique ET. Si la première condition correspond, la condition suivante est évaluée. Si la première condition ne correspond pas, la condition suivante est ignorée.

||

Ou logique. Si la première condition correspond, la condition suivante est ignorée. Si la première condition ne correspond pas, la condition suivante est évaluée.

()

Les opérateurs de groupe pour remplacer l’ordre de priorité par défaut. Les parenthèses sont des caractères spéciaux, chacun d’entre eux doit être précédé d’une barre arrière (\).

Tableau 4 : Opérateurs arithmétiques, binaires et relationnels du trafic de surveillance CLI

Opérateur

Description

Opérateur arithmétique

+

Opérateur d’ajout.

Opérateur de soustraction.

/

Opérateur de division.

Opérateur binaire

&

Dans le sens du bit et.

*

Ou exclusive ou bitwise.

|

Ou inclusive par bit.

Opérateur relationnel

<=

Une correspondance se produit si la première expression est inférieure ou égale à la seconde.

>=

Une correspondance se produit si la première expression est supérieure ou égale à la seconde.

<

Une correspondance se produit si la première expression est inférieure à la seconde.

>

Une correspondance se produit si la première expression est supérieure à la seconde.

=

Une correspondance se produit si la première expression est égale à la seconde.

!=

Une correspondance se produit si la première expression n’est pas égale à la seconde.

Voici un exemple de sortie de la monitor traffic commande :