Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Utilisation de la capture de paquets pour analyser le trafic réseau

Présentation de Packet Capture

La capture de paquets est un outil qui vous aide à analyser le trafic réseau et à résoudre les problèmes réseau. L’outil de capture de paquets capture les paquets de données en temps réel qui transitent sur le réseau à des fins de surveillance et de journalisation.

REMARQUE :

La capture de paquets est prise en charge sur les interfaces physiques, les interfaces reth et les interfaces de tunnel, telles que gr, ip et lsq-/ls. Toutefois, la capture de paquets n’est pas prise en charge sur l’interface de tunnel sécurisée (st0).

Les paquets sont capturés sous forme de données binaires, sans modification. Vous pouvez lire les informations sur les paquets hors ligne avec un outil d’analyse de paquets tel que Wireshark ou tcpdump. Si vous avez besoin de capturer rapidement des paquets à destination ou en provenance du moteur de routage et de les analyser en ligne, vous pouvez utiliser l’outil de diagnostic de capture de paquets J-Web.

REMARQUE :

L’outil de capture de paquets ne prend pas en charge la capture de paquets IPv6.

Vous pouvez utiliser l’éditeur de configuration J-Web ou l’éditeur de configuration CLI pour configurer la capture de paquets.

Les administrateurs réseau et les ingénieurs en sécurité utilisent la capture de paquets pour effectuer les tâches suivantes :

  • Surveillez le trafic réseau et analysez les schémas de trafic.

  • Identifier et résoudre les problèmes réseau.

  • Détectez les failles de sécurité dans le réseau, telles que les intrusions non autorisées, l’activité des logiciels espions ou les analyses ping.

La capture de paquets fonctionne de la même manière que l’échantillonnage du trafic sur l’équipement, sauf qu’elle capture des paquets entiers, y compris l’en-tête de couche 2, et enregistre le contenu dans un fichier au format libpcap. La capture de paquets capture également des fragments IP.

Vous ne pouvez pas activer la capture de paquets et l’échantillonnage du trafic sur l’appareil en même temps. Contrairement à l’échantillonnage du trafic, il n’y a pas d’opérations de suivi pour la capture de paquets.

REMARQUE :

Vous pouvez activer simultanément la capture de paquets et la mise en miroir de ports sur un périphérique.

Cette section contient les rubriques suivantes :

Capture de paquets sur les interfaces d’équipement

La capture de paquets est prise en charge sur les interfaces T1, T3, E1, E3, série, Gigabit Ethernet, ADSL, G.SHDSL, PPPoE et RNIS.

Pour capturer des paquets sur une interface RNIS, configurez la capture de paquets sur l’interface de numérotation. Pour capturer des paquets sur une interface PPPoE, configurez la capture de paquets sur l’interface logique PPPoE.

La capture de paquets prend en charge PPP, Cisco HDLC, Frame Relay et d’autres encapsulations ATM. La capture de paquets prend également en charge les encapsulations Multilink PPP (MLPPP), Multilink Frame Relay end-to-end (MLFR) et Multilink Frame Relay UNI/NNI (MFR).

Vous pouvez capturer tous les paquets IPv4 circulant sur une interface dans le sens entrant ou sortant. Toutefois, sur le trafic qui contourne le module logiciel de flux (paquets de protocole tels que ARP, OSPF et PIM), les paquets générés par le moteur de routage ne sont pas capturés, sauf si vous avez configuré et appliqué un filtre de pare-feu sur l’interface dans le sens sortant.

Les interfaces de tunnel prennent en charge la capture de paquets dans le sens sortant uniquement.

Utilisez l’éditeur de configuration J-Web ou l’éditeur de configuration CLI pour spécifier la taille maximale des paquets, le nom de fichier à utiliser pour stocker les paquets capturés, la taille maximale du fichier, le nombre maximal de fichiers de capture de paquets et les autorisations de fichier.

REMARQUE :

Pour les paquets capturés sur les interfaces T1, T3, E1, E3, série et RNIS dans le sens sortant (sortant), la taille du paquet capturé peut être inférieure de 1 octet à la taille maximale du paquet configurée en raison du bit PLP (packet loss priority).

Pour modifier l’encapsulation sur une interface sur laquelle la capture de paquets est configurée, vous devez désactiver la capture de paquets.

Filtres de pare-feu pour la capture de paquets

Lorsque vous activez la capture de paquets sur un périphérique, tous les paquets circulant dans la direction spécifiée dans la configuration de capture de paquets (entrants, sortants ou les deux) sont capturés et stockés. La configuration d’une interface pour capturer tous les paquets peut dégrader les performances de l’équipement. Vous pouvez contrôler le nombre de paquets capturés sur une interface à l’aide de filtres de pare-feu et spécifier différents critères pour capturer les paquets pour des flux de trafic spécifiques.

Vous devez également configurer et appliquer les filtres de pare-feu appropriés sur l’interface si vous devez capturer des paquets générés par le périphérique hôte, car l’échantillonnage d’interface ne capture pas les paquets provenant du périphérique hôte.

Fichiers de capture de paquets

Lorsque la capture de paquets est activée sur une interface, l’intégralité du paquet, y compris l’en-tête de couche 2, est capturée et stockée dans un fichier. Vous pouvez spécifier la taille maximale du paquet à capturer, jusqu’à 1500 octets. La capture de paquets crée un fichier pour chaque interface physique.

La création et le stockage des fichiers s’effectuent de la manière suivante. Supposons que vous nommiez le fichier pcap-filede capture de paquets . La capture de paquets crée plusieurs fichiers (un par interface physique), en nommant chaque fichier du nom de l’interface physique ; par exemple, pcap-file.fe-0.0.1 pour l’interface fe-0.0.1Gigabit Ethernet . Lorsque le fichier nommé pcap-file.fe-0.0.1 atteint la taille maximale, il est renommé pcap-file.fe-0.0.1.0. Lorsque le fichier nommé pcap-file.fe-0.0.1 atteint à nouveau la taille maximale, le fichier nommé pcap-file.fe-0.0.1.0 est renommé pcap-file.fe-0.0.1.1 et pcap-file.fe-0.0.1 est renommé pcap-file.fe-0.0.1.0. Ce processus se poursuit jusqu’à ce que le nombre maximal de fichiers soit dépassé et que le fichier le plus ancien soit écrasé. Il s’agit pcap-file.fe-0.0.1 toujours du fichier le plus récent.

Les fichiers de capture de paquets ne sont pas supprimés, même après la désactivation de la capture de paquets sur une interface.

Analyse des fichiers de capture de paquets

Les fichiers de capture de paquets sont stockés au format libpcap dans le /var/tmp répertoire. Vous pouvez spécifier des privilèges d’utilisateur ou d’administrateur pour les fichiers.

Les fichiers de capture de paquets peuvent être ouverts et analysés hors ligne avec tcpdump ou tout outil d’analyse de paquets reconnaissant le format libpcap. Vous pouvez également utiliser FTP ou le protocole de contrôle de session (SCP) pour transférer les fichiers de capture de paquets vers un périphérique externe.

REMARQUE :

Désactivez la capture de paquets avant d’ouvrir le fichier pour analyse ou de transférer le fichier vers un périphérique externe avec FTP ou SCP. La désactivation de la capture de paquets garantit que la mémoire tampon interne du fichier est vidée et que tous les paquets capturés sont écrits dans le fichier.

Capture de paquets à partir du mode opérationnel

Le débogage de chemin de données ou le débogage de bout en bout fournit le suivi et le débogage à plusieurs unités de traitement le long du chemin de traitement des paquets. La capture de paquets est l’une des fonctions de débogage du chemin de données. Vous pouvez exécuter la capture de paquets à partir du mode opérationnel avec un impact minimal sur le système de production sans valider les configurations.

Vous pouvez capturer les paquets à l’aide de filtres pour définir les paquets à capturer. Le filtre de paquets peut filtrer les paquets en fonction de l’interface logique, du protocole, du préfixe de l’adresse IP source, du port source, du préfixe de l’adresse IP de destination et du port de destination. Vous pouvez modifier le nom de fichier, le type de fichier, la taille du fichier et la taille de capture de la sortie de capture de paquets. Vous pouvez également étendre les filtres en deux filtres et permuter les valeurs des filtres.

La capture de paquets à partir du mode opérationnel est prise en charge sur SRX4600, SRX5400, SRX5600 et SRX5800.

Pour capturer des paquets à partir du mode opérationnel, vous devez effectuer les opérations suivantes :

  1. En mode opérationnel, définissez le filtre de paquets pour tracer le type de trafic en fonction de vos besoins à l’aide de la request packet-capture start commande CLI. Reportez-vous à la section Début de la demande de capture de paquets pour connaître les options de filtre de capture de paquets disponibles.
  2. Capturez les paquets requis.
  3. Vous pouvez utiliser la request packet-capture stop commande CLI pour arrêter la capture de paquets ou après avoir collecté le nombre de paquets demandé, la capture de paquets s’arrête automatiquement.
  4. Affichez ou analysez le rapport de données de paquets capturés.

Les limites de la capture de paquets à partir du mode opérationnel sont les suivantes :

  1. La capture de paquets en mode configuration et la capture de paquets en mode opérationnel ne peuvent pas coexister.

  2. La capture de paquets en mode opérationnel est une opération unique et le système ne stocke pas l’historique de cette commande.

  3. Vous devez utiliser la capture de paquets en mode opérationnel dans les flux de trafic à faible débit.

Voir également

Exemple : Activer la capture de paquets et configurer le filtre de pare-feu sur un périphérique

Cet exemple montre comment activer la capture de paquets et configurer un filtre de pare-feu pour la capture de paquets et l’appliquer à une interface logique sur un périphérique. Vous pouvez configurer le filtre de pare-feu pour restreindre ou filtrer la quantité de trafic à capturer , analyser le trafic réseau et résoudre les problèmes réseau.

Conditions préalables

Avant de commencer :

Présentation

Dans cet exemple, vous définissez la taille maximale de capture de paquets dans chaque fichier sur 500 octets. La plage est comprise entre 68 et 1500 et la valeur par défaut est de 68 octets. Vous spécifiez le nom de fichier cible pour le fichier de capture de paquets en tant que fichier pcap. Vous spécifiez ensuite que le nombre maximal de fichiers à capturer est de 100. La plage est comprise entre 2 et 10 000 et la valeur par défaut est de 10 fichiers. Vous définissez la taille maximale de chaque fichier sur 1024 octets. La plage est comprise entre 1 024 et 104 857 600 et la valeur par défaut est de 512 000 octets.

Vous définissez un filtre de pare-feu appelé dest-all et un nom de terme appelé dest-term pour capturer les paquets à partir d’une adresse de destination spécifique, qui est 192.168.1.1/32. Vous définissez la condition de correspondance pour accepter les paquets échantillonnés. Enfin, vous appliquez le filtre dest-all à tous les paquets sortants sur l’interface fe-0/0/1.

Si vous appliquez un filtre de pare-feu sur l’interface de bouclage, il affecte tout le trafic à destination et en provenance du moteur de routage. Si le filtre de pare-feu a une sample action, les paquets à destination et en provenance du moteur de routage sont échantillonnés. Si la capture de paquets est activée, les paquets à destination et en provenance du moteur de routage sont capturés dans les fichiers créés pour les interfaces d’entrée et de sortie.

Vous spécifiez que tous les utilisateurs sont autorisés à lire les fichiers de capture de paquets.

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.

Pour activer la capture de paquets sur un périphérique :

  1. Définissez la taille maximale de capture de paquets.

  2. Spécifiez le nom du fichier cible.

  3. Spécifiez le nombre maximal de fichiers à capturer.

  4. Spécifiez la taille maximale de chaque fichier.

  5. Indiquez que tous les utilisateurs sont autorisés à lire le fichier.

  6. Configurez le filtre de pare-feu pour la capture de paquets.

  7. Définissez la condition de correspondance et son action. Ce terme allow-all-else est utilisé pour s’assurer que le SRX ne perd pas d’autres trafics.

  8. Appliquez le filtre de pare-feu sur l’interface pour capturer les paquets entrants et sortants.

  9. Validez pour activer la capture de paquets.

  10. Désactivez la capture de paquets pour arrêter la collecte d’objets.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant les run show forwarding-options commandeset run show firewall filter dest-alls. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification du filtre de pare-feu pour la configuration de capture de paquets

But

Vérifiez que le filtre de pare-feu pour la capture de paquets est configuré sur l’équipement.

Action

À partir du mode de configuration, entrez les run show forwarding-options commandeset run show firewall filter dest-all s. Vérifiez que la sortie affiche la configuration de fichier prévue pour la capture des paquets envoyés à l’adressede destination.

But

Vérifiez que les paquets capturés sont stockés dans le /var/tmp répertoire de l’équipement.

Action

À partir du mode opérationnel, entrez la file list /var/tmp/ commande.

Vérification des paquets capturés

But

Vérifiez que le fichier de capture de paquets est stocké dans le /var/tmp répertoire et que les paquets peuvent être analysés hors connexion.

Action

  1. Désactivez la capture de paquets.

    À l’aide de FTP, transférez un fichier capture de paquets (par exemple, 126b.fe-0.0.1), vers un serveur sur lequel vous avez installé des outils d’analyse de paquets (par exemple, tools-server).

    1. À partir du mode configuration, connectez-vous à l’aide de tools-server FTP.

    2. Accédez au répertoire dans lequel les fichiers de capture de paquets sont stockés sur le périphérique.

    3. Copiez le fichier de capture de paquets que vous souhaitez analyser sur le serveur, par exemple 126b.fe-0.0.1.

    4. Revenez au mode de configuration.

  2. Ouvrez le fichier de capture de paquets sur le serveur avec tcpdump ou tout outil d’analyse de paquets prenant en charge le format libpcap et examinez la sortie.

Exemple : Configurer la capture de paquets sur une interface

Cet exemple montre comment configurer la capture de paquets sur une interface pour analyser le trafic.

Conditions préalables

Avant de commencer :

Présentation

Dans cet exemple, vous créez une interface appelée fe-0/0/1, puis vous configurez la direction du trafic pour lequel vous activez la capture de paquets sur l’interface logique en tant qu’entrant et sortant.

REMARQUE :

Sur le trafic qui contourne le module logiciel de flux (paquets de protocole tels que ARP, OSPF et PIM), les paquets générés par le moteur de routage ne sont pas capturés à moins que vous n’ayez configuré et appliqué un filtre de pare-feu sur l’interface dans la direction de sortie.

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.

Pour configurer la capture de paquets sur une interface :

  1. Créez une interface.

  2. Configurez la direction du trafic.

  3. Si vous avez terminé de configurer l’appareil, validez la configuration.

Vérification

Vérification de la configuration de capture de paquets

But

Vérifiez que la configuration fonctionne correctement.

Vérifiez que la capture de paquets est configurée sur l’interface.

Action

À partir du mode configuration, entrez la run show interfaces fe-0/0/1 commande.

Désactiver la capture de paquets

Vous devez désactiver la capture de paquets avant d’ouvrir le fichier de capture de paquets pour analyse ou de transférer le fichier vers un périphérique externe. La désactivation de la capture de paquets garantit que la mémoire tampon interne du fichier est vidée et que tous les paquets capturés sont écrits dans le fichier.

Pour désactiver la capture de paquets, passez en mode de configuration :

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Modification de l’encapsulation sur les interfaces avec capture de paquets configurée

Avant de modifier l’encapsulation sur une interface de périphérique configurée pour la capture de paquets, vous devez désactiver la capture de paquets et renommer le dernier fichier de capture de paquets. Dans le cas contraire, la capture de paquets enregistre les paquets avec des encapsulations différentes dans le même fichier de capture de paquets. Les fichiers de paquets contenant des paquets avec des encapsulations différentes ne sont pas utiles, car outil d'analyse des paquets outils comme tcpdump ne peuvent pas analyser de tels fichiers.

Après avoir modifié l’encapsulation, vous pouvez réactiver la capture de paquets sur l’appareil en toute sécurité.

Pour modifier l’encapsulation sur les interfaces avec capture de paquets configurée :

  1. Désactivez la capture de paquets (voir Désactivation de la capture de paquets).
  2. Entrez commit à partir du mode de configuration.
  3. Renommez le dernier fichier de capture de paquets dont vous modifiez l’encapsulation avec l’extension .chdsl .
    1. Depuis le mode opérationnel, accédez au shell UNIX local.
    2. Accédez au répertoire dans lequel sont stockés les fichiers de capture de paquets.
    3. Renommez le dernier fichier de capture de paquets pour l’interface sur laquelle vous modifiez l’encapsulation ; par exemple fe.0.0.0.
    4. Revenez en mode opérationnel.
  4. Modifiez l’encapsulation sur l’interface à l’aide de l’interface utilisateur J-Web ou de l’éditeur de configuration CLI.
  5. Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
  6. Réactivez la capture de paquets (voir Exemple : Activation de la capture de paquets sur un périphérique).
  7. Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Supprimer les fichiers de capture de paquets

La suppression des fichiers de capture de paquets du répertoire /var/tmp ne supprime que temporairement les fichiers de capture de paquets. Les fichiers de capture de paquets pour l’interface sont automatiquement recréés lors de la prochaine validation d’une modification de la configuration de capture de paquets ou dans le cadre de la rotation d’un fichier de capture de paquets.

Pour supprimer un fichier de capture de paquets, procédez comme suit :

  1. Désactivez la capture de paquets (voir Désactivation de la capture de paquets).
  2. Supprimez le fichier de capture de paquets pour l’interface.
    1. Depuis le mode opérationnel, accédez au shell UNIX local.
    2. Accédez au répertoire dans lequel sont stockés les fichiers de capture de paquets.
    3. Supprimez le fichier de capture de paquets pour l’interface ; par exemple pcap-file.fe.0.0.0.
    4. Revenez en mode opérationnel.
  3. Réactivez la capture de paquets (voir Exemple : Activation de la capture de paquets sur un périphérique).
  4. Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Afficher les en-têtes des paquets

Entrez la monitor traffic commande pour afficher les en-têtes de paquets transmis via les interfaces réseau avec la syntaxe suivante :

REMARQUE :

L’utilisation de la commande peut dégrader les monitor traffic performances du système. Nous vous recommandons d’utiliser des options de filtrage, telles que count et matching, afin de minimiser l’impact sur le débit des paquets sur le système.

Tableau 1 Décrit les options de commande monitor traffic .

Tableau 1 : Options de commande de surveillance du trafic CLI

Option

Description

absolute-sequence

(Facultatif) Affiche les numéros de séquence TCP absolus.

count number

(Facultatif) Affiche le nombre spécifié d’en-têtes de paquets. Spécifiez une valeur comprise entre 0 .100,000 La commande se ferme et se termine à l’invite de commande une fois ce nombre atteint.

interface interface-name

(Facultatif) Affiche les en-têtes des paquets pour le trafic sur l’interface spécifiée. Si aucune interface n’est spécifiée, l’interface dont le numéro est le plus bas est surveillée.

layer2-headers

(Facultatif) Affiche l’en-tête du paquet de la couche liaison sur chaque ligne.

matching "expression"

(Facultatif) Affiche les en-têtes de paquets qui correspondent à une expression entre guillemets ( » « ). Tableau 2 à l’aide Tableau 4 de conditions de correspondance de liste, d’opérateurs logiques et d’opérateurs arithmétiques, binaires et relationnels que vous pouvez utiliser dans l’expression.

no-domain-names

(Facultatif) Supprime l’affichage de la partie nom de domaine du nom d’hôte.

no-promiscuous

(Facultatif) Spécifie not de placer l’interface surveillée en mode promiscuité.

En mode promiscuité, l’interface lit chaque paquet qui lui parvient. En mode sans promiscuité, l’interface ne lit que les paquets qui lui sont adressés.

no-resolve

(Facultatif) Supprime l’affichage des noms d’hôte.

no-timestamp

(Facultatif) Supprime l’affichage des horodatages des en-têtes de paquets.

print-ascii

(Facultatif) Affiche chaque en-tête de paquet au format ASCII.

print-hex

(Facultatif) Affiche chaque en-tête de paquet, à l’exception des en-têtes de couche de liaison, au format hexadécimal.

size bytes

(Facultatif) Affiche le nombre d’octets pour chaque paquet que vous spécifiez. Si un en-tête de paquet dépasse cette taille, l’en-tête de paquet affiché est tronqué. La valeur par défaut est 96.

brief

(Facultatif) Affiche les informations minimales sur l’en-tête du paquet. Il s’agit de l’option par défaut.

detail

(Facultatif) Affiche les informations sur l’en-tête des paquets avec un niveau de détail modéré. Pour certains protocoles, vous devez également utiliser l’option permettant d’afficher des informations détaillées size .

extensive

(Facultatif) Affiche le niveau le plus complet d’informations sur les en-têtes de paquets. Pour certains protocoles, vous devez également utiliser l’option permettant d’afficher des informations détaillées size .

Pour quitter la monitor traffic commande et revenir à l’invite de commande, appuyez sur Ctrl-C.

Pour limiter les informations d’en-tête de paquet affichées par la monitor traffic commande, incluez l’option matching "expression" . Une expression est constituée d’une ou de plusieurs conditions de correspondance énumérées dans Tableau 2, entre guillemets ( » « ). Vous pouvez combiner des conditions de correspondance à l’aide des opérateurs logiques répertoriés dans (indiqués par Tableau 3 ordre de priorité du plus élevé au plus bas).

Par exemple, pour afficher les en-têtes de paquets TCP ou UDP, saisissez :

Pour comparer les types d’expressions suivants, utilisez les opérateurs relationnels répertoriés dans (classés de Tableau 4 la priorité la plus élevée à la plus faible) :

  • Arithmetic : expressions qui utilisent les opérateurs arithmétiques répertoriés dans Tableau 4.

  • Binary (Binaire) : expressions qui utilisent les opérateurs binaires répertoriés dans Tableau 4.

  • Packet data accessor : expressions qui utilisent la syntaxe suivante :

    Remplacez-le protocol par n’importe quel protocole de Tableau 2. Remplacez-le byte-offset par le décalage d’octet, à partir du début de l’en-tête du paquet, à utiliser pour la comparaison. Le paramètre facultatif size représente le nombre d’octets examinés dans l’en-tête du paquet : 1, 2 ou 4 octets.

    Par exemple, la commande suivante affiche tout le trafic multicast :

Tableau 2 : Surveillance CLI du trafic Conditions de correspondance

Condition de correspondance

Description
Type d’entité

host [address | hostname]

Correspond aux en-têtes de paquets qui contiennent l’adresse ou le nom d’hôte spécifié. Vous pouvez ajouter l’une des conditions de correspondance de protocole suivantes, suivies d’un espace, à host: arp, ip, rarpou l’une des conditions de correspondance directionnelle.

network address

Fait correspondre les en-têtes de paquets avec les adresses source ou de destination contenant l’adresse réseau spécifiée.

network address mask mask

Correspond aux en-têtes de paquets contenant l’adresse réseau et le masque de sous-réseau spécifiés.

port [port-number | port-name]

Correspond aux en-têtes de paquet contenant le numéro de port TCP ou UDP source ou de destination spécifié ou le nom de port.
Directionnel  

destination

Correspond aux en-têtes de paquet contenant la destination spécifiée. Les conditions de correspondance directionnelle peuvent être ajoutées à n’importe quelle condition de correspondance de type d’entité, suivies d’un espace.

source

Correspond aux en-têtes de paquets contenant la source spécifiée.

source and destination

Correspond aux en-têtes de paquets contenant la destination source and spécifiée.

source or destination

Correspond aux en-têtes de paquets contenant la destination source or spécifiée.
Longueur du paquet

less bytes

Met en correspondance les paquets dont la longueur est inférieure ou égale à la valeur spécifiée, en octets.

greater bytes

Met en correspondance les paquets dont la longueur est supérieure ou égale à la valeur spécifiée, en octets.

Protocole

arp

Correspond à tous les paquets ARP.

ether

Correspond à toutes les trames Ethernet.

ether [broadcast | multicast]

Correspond aux trames Ethernet de diffusion ou multidiffusion. Cette condition de correspondance peut être précédée de source ou destination.

ether protocol [address | (\arp | \ip | \rarp)

Fait correspondre les trames Ethernet avec l’adresse ou le type de protocole spécifié. Les arguments arp, ip, et rarp sont également des conditions de correspondance indépendantes, ils doivent donc être précédés d’une barre oblique inverse (\) lorsqu’ils sont utilisés dans la condition de ether protocol correspondance.

icmp

Correspond à tous les paquets ICMP.

ip

Correspond à tous les paquets IP.

ip [broadcast | multicast]

Correspond aux paquets IP de diffusion ou de multidiffusion.

ip protocol [address | (\icmp | igrp | \tcp | \udp)]

Fait correspondre les paquets IP avec l’adresse ou le type de protocole spécifié. Les arguments icmp, tcp, et udp sont également des conditions de correspondance indépendantes, ils doivent donc être précédés d’une barre oblique inverse (\) lorsqu’ils sont utilisés dans la condition de ip protocol correspondance.

isis

Correspond à tous les messages de routage IS-IS.

rarp

Correspond à tous les paquets RARP.

tcp

Correspond à tous les paquets TCP.

udp

Correspond à tous les paquets UDP.
Tableau 3 : Opérateurs logiques de surveillance du trafic CLI

Opérateur logique

Description

!

Logique NON. Si la première condition ne correspond pas, la condition suivante est évaluée.

&&

ET logique. Si la première condition correspond, la condition suivante est évaluée. Si la première condition ne correspond pas, la condition suivante est ignorée.

||

OU logique. Si la première condition correspond, la condition suivante est ignorée. Si la première condition ne correspond pas, la condition suivante est évaluée.

()

Regroupez les opérateurs pour remplacer l’ordre de priorité par défaut. Les parenthèses sont des caractères spéciaux, chacun d’entre eux devant être précédé d’une barre oblique inverse (\).
Tableau 4 : CLI surveille le trafic Opérateurs arithmétiques, binaires et relationnels

Opérateur

Description
Opérateur arithmétique

+

Opérateur d’addition.

Opérateur de soustraction.

/

Opérateur de division.
Opérateur binaire

&

ET au niveau du bit.

*

OU exclusif au niveau du bit.

|

OU au niveau du bit.
Opérateur relationnel

<=

Une correspondance se produit si la première expression est inférieure ou égale à la seconde.

>=

Une correspondance se produit si la première expression est supérieure ou égale à la seconde.

<

Une correspondance se produit si la première expression est inférieure à la seconde.

>

Une correspondance se produit si la première expression est supérieure à la seconde.

=

Une correspondance se produit si la première expression est égale à la seconde.

!=

Une correspondance se produit si la première expression n’est pas égale à la seconde.

Voici un exemple de sortie de la monitor traffic commande :