Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Uso de la captura de paquetes para analizar el tráfico de red

Descripción general de la captura de paquetes

La captura de paquetes es una herramienta que le ayuda a analizar el tráfico de red y solucionar problemas de red. La herramienta de captura de paquetes captura paquetes de datos en tiempo real que viajan a través de la red para monitoreo y registro.

Nota:

La captura de paquetes se admite en interfaces físicas, interfaces reth e interfaces de túnel, como gr, ip y lsq-/ls. Sin embargo, la captura de paquetes no se admite en la interfaz de túnel seguro (st0).

Los paquetes se capturan como datos binarios, sin modificaciones. Puede leer la información del paquete sin conexión con un analizador de paquetes como Wireshark o tcpdump. Si necesita capturar rápidamente paquetes destinados o que se originan en el motor de enrutamiento y analizarlos en línea, puede usar la herramienta de diagnóstico de captura de paquetes J-Web.

Nota:

La herramienta de captura de paquetes no admite la captura de paquetes IPv6.

Puede utilizar el editor de configuración de J-Web o el editor de configuración de CLI para configurar la captura de paquetes.

Los administradores de red y los ingenieros de seguridad utilizan la captura de paquetes para realizar las siguientes tareas:

  • Supervise el tráfico de red y analice los patrones de tráfico.

  • Identificar y solucionar problemas de red.

  • Detecte brechas de seguridad en la red, como intrusiones no autorizadas, actividad de spyware o análisis de ping.

La captura de paquetes funciona como un muestreo de tráfico en el dispositivo, excepto que captura paquetes enteros, incluido el encabezado de capa 2, y guarda el contenido en un archivo en formato libpcap. La captura de paquetes también captura fragmentos IP.

No puede habilitar la captura de paquetes y el muestreo de tráfico en el dispositivo al mismo tiempo. A diferencia del muestreo de tráfico, no hay operaciones de rastreo para la captura de paquetes.

Nota:

Puede habilitar la captura de paquetes y la duplicación de puertos simultáneamente en un dispositivo.

Esta sección contiene los siguientes temas:

Captura de paquetes en interfaces de dispositivos

La captura de paquetes es compatible con las interfaces T1, T3, E1, E3, serie, Gigabit Ethernet, ADSL, G.SHDSL, PPPoE y RDSI.

Para capturar paquetes en una interfaz RDSI, configure la captura de paquetes en la interfaz del marcador. Para capturar paquetes en una interfaz PPPoE, configure la captura de paquetes en la interfaz lógica PPPoE.

La captura de paquetes admite PPP, Cisco HDLC, Frame Relay y otras encapsulaciones ATM. La captura de paquetes también admite las encapsulaciones PPP multivínculo (MLPPP), Multilink Frame Relay de extremo a extremo (MLFR) y Multilink Frame Relay UNI/NNI (MFR).

Puede capturar todos los paquetes IPv4 que fluyen en una interfaz en la dirección de entrada o salida. Sin embargo, en el tráfico que omite el módulo de software de flujo (paquetes de protocolo como ARP, OSPF y PIM), los paquetes generados por el motor de enrutamiento no se capturan a menos que haya configurado y aplicado un filtro de firewall en la interfaz en la dirección de salida.

Las interfaces de túnel solo admiten la captura de paquetes en la dirección de salida.

Utilice el editor de configuración de J-Web o el editor de configuración de CLI para especificar el tamaño máximo del paquete, el nombre de archivo que se utilizará para almacenar los paquetes capturados, el tamaño máximo de archivo, el número máximo de archivos de captura de paquetes y los permisos de archivo.

Nota:

Para los paquetes capturados en interfaces T1, T3, E1, E3, serie e ISDN en la dirección de salida (salida), el tamaño del paquete capturado puede ser 1 byte menor que el tamaño máximo de paquete configurado debido al bit de prioridad de pérdida de paquetes (PLP).

Para modificar la encapsulación en una interfaz con la captura de paquetes configurada, debe deshabilitar la captura de paquetes.

Filtros de firewall para la captura de paquetes

Cuando se habilita la captura de paquetes en un dispositivo, se capturan y almacenan todos los paquetes que fluyen en la dirección especificada en la configuración de captura de paquetes (entrante, saliente o ambos). La configuración de una interfaz para capturar todos los paquetes puede degradar el rendimiento del dispositivo. Puede controlar el número de paquetes capturados en una interfaz con filtros de firewall y especificar varios criterios para capturar paquetes para flujos de tráfico específicos.

También debe configurar y aplicar los filtros de firewall adecuados en la interfaz si necesita capturar paquetes generados por el dispositivo host, ya que el muestreo de interfaz no captura paquetes que se originan en el dispositivo host.

Archivos de captura de paquetes

Cuando la captura de paquetes está habilitada en una interfaz, todo el paquete, incluido el encabezado de capa 2, se captura y almacena en un archivo. Puede especificar el tamaño máximo del paquete a capturar, hasta 1500 bytes. La captura de paquetes crea un archivo para cada interfaz física.

La creación y el almacenamiento de archivos se llevan a cabo de la siguiente manera. Supongamos que asigna al archivo de captura de paquetes el nombre pcap-file. La captura de paquetes crea múltiples archivos (uno por interfaz física), sufijando cada archivo con el nombre de la interfaz física; por ejemplo, pcap-file.fe-0.0.1 para la interfaz fe-0.0.1Gigabit Ethernet . Cuando el archivo denominado pcap-file.fe-0.0.1 alcanza el tamaño máximo, se cambia el nombre pcap-file.fe-0.0.1.0del archivo . Cuando el archivo denominado pcap-file.fe-0.0.1 vuelva a alcanzar el tamaño máximo, se cambiará el nombre pcap-file.fe-0.0.1.1 al archivo denominado pcap-file.fe-0.0.1.0 y pcap-file.fe-0.0.1 se le cambiará el nombre pcap-file.fe-0.0.1.0. Este proceso continúa hasta que se supera el número máximo de archivos y se sobrescribe el archivo más antiguo. El pcap-file.fe-0.0.1 archivo es siempre el archivo más reciente.

Los archivos de captura de paquetes no se quitan incluso después de deshabilitar la captura de paquetes en una interfaz.

Análisis de archivos de captura de paquetes

Los archivos de captura de paquetes se almacenan en formato libpcap en el /var/tmp directorio. Puede especificar privilegios de usuario o administrador para los archivos.

Los archivos de captura de paquetes se pueden abrir y analizar sin conexión con tcpdump o cualquier analizador de paquetes que reconozca el formato libpcap. También puede utilizar FTP o el Protocolo de control de sesión (SCP) para transferir los archivos de captura de paquetes a un dispositivo externo.

Nota:

Desactive la captura de paquetes antes de abrir el archivo para analizarlo o transferirlo a un dispositivo externo con FTP o SCP. La desactivación de la captura de paquetes garantiza que el búfer de archivos interno se vacíe y que todos los paquetes capturados se escriban en el archivo.

Captura de paquetes desde el modo operativo

La depuración de rutas de datos o de extremo a extremo proporciona rastreo y depuración en varias unidades de procesamiento a lo largo de la ruta de procesamiento de paquetes. La captura de paquetes es una de las funciones de depuración de rutas de datos. Puede ejecutar la captura de paquetes desde el modo operativo con un impacto mínimo en el sistema de producción sin confirmar las configuraciones.

Puede capturar los paquetes mediante filtros para definir qué paquetes capturar. El filtro de paquetes puede filtrar paquetes según la interfaz lógica, el protocolo, el prefijo de la dirección IP de origen, el puerto de origen, el prefijo de la dirección IP de destino y el puerto de destino. Puede modificar el nombre de archivo, el tipo de archivo, el tamaño de archivo y el tamaño de captura de la salida de captura de paquetes. También puede extender los filtros en dos filtros e intercambiar los valores de los filtros.

La captura de paquetes desde el modo operativo se admite en SRX4600, SRX5400, SRX5600 y SRX5800.

Para capturar paquetes desde el modo operativo, debe realizar los pasos siguientes:

  1. Desde el modo operativo, defina el filtro de paquetes para rastrear el tipo de tráfico en función de sus requisitos mediante el comando de la request packet-capture start CLI. Consulte solicitar inicio de captura de paquetes para ver las opciones de filtro de captura de paquetes disponibles.
  2. Capture los paquetes necesarios.
  3. Puede usar el comando de la request packet-capture stop CLI para detener la captura de paquetes o, después de recopilar el número solicitado de paquetes, la captura de paquetes se detiene automáticamente.
  4. Vea o analice el informe de datos del paquete capturado.

Las limitaciones de capturar paquetes desde el modo operativo son:

  1. La captura de paquetes en modo de configuración y la captura de paquetes en modo operativo no pueden coexistir.

  2. La captura de paquetes en modo operativo es una operación única y el sistema no almacena el historial de este comando.

  3. Debe utilizar la captura de paquetes en modo operativo con una tasa baja de flujo de tráfico.

Ejemplo: Habilitar la captura de paquetes y configurar el filtro de firewall en un dispositivo

En este ejemplo se muestra cómo habilitar la captura de paquetes y configurar un filtro de firewall para la captura de paquetes y aplicarlo a una interfaz lógica en un dispositivo. Puede configurar el filtro de firewall para restringir o filtrar la cantidad de tráfico que se va a capturar y para analizar el tráfico de red y solucionar problemas de red.

Requisitos

Antes de empezar:

Descripción general

En este ejemplo, el tamaño máximo de captura de paquetes en cada archivo se establece en 500 bytes. El intervalo va de 68 a 1500 y el valor predeterminado es de 68 bytes. Especifique el nombre de archivo de destino para el archivo de captura de paquetes como archivo pcap. A continuación, especifique el número máximo de archivos que desea capturar como 100. El intervalo es de 2 a 10.000 y el valor predeterminado es 10 archivos. Establecer el tamaño máximo de cada archivo en 1024 bytes. El intervalo es de 1.024 a 104.857.600 y el valor predeterminado es 512.000 bytes.

Establezca un filtro de firewall denominado dest-all y un nombre de término denominado dest-term para capturar paquetes desde una dirección de destino específica, que es 192.168.1.1/32. Defina la condición de coincidencia para aceptar los paquetes de muestra. Finalmente, aplique el filtro dest-all a todos los paquetes salientes en la interfaz fe-0/0/1.

Si aplica un filtro de firewall en la interfaz de circuito cerrado, afecta a todo el tráfico hacia y desde el motor de enrutamiento. Si el filtro de firewall tiene una sample acción, se muestrean los paquetes hacia y desde el motor de enrutamiento. Si la captura de paquetes está habilitada, los paquetes hacia y desde el motor de enrutamiento se capturan en los archivos creados para las interfaces de entrada y salida.

Especifique que todos los usuarios tengan permiso para leer los archivos de captura de paquetes.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para habilitar la captura de paquetes en un dispositivo:

  1. Establezca el tamaño máximo de captura de paquetes.

  2. Especifique el nombre de archivo de destino.

  3. Especifique el número máximo de archivos que desea capturar.

  4. Especifique el tamaño máximo de cada archivo.

  5. Especifique que todos los usuarios tengan permiso para leer el archivo.

  6. Configure el filtro de firewall para la captura de paquetes.

  7. Defina la condición de coincidencia y su acción. El término allow-all-else se utiliza para asegurarse de que el SRX no deje caer ningún otro tráfico.

  8. Aplique el filtro de firewall en la interfaz para capturar los paquetes entrantes y salientes.

  9. Confirme activar la captura de paquetes.

  10. Desactive la captura de paquetes para detener la colección de objetos.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo el run show forwarding-options comandoy run show firewall filter dest-all s. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Comprobación del filtro de firewall para la configuración de captura de paquetes

Propósito

Compruebe que el filtro de firewall para la captura de paquetes esté configurado en el dispositivo.

Acción

En el modo de configuración, escriba el run show forwarding-options y run show firewall filter dest-all comando s. Compruebe que el resultado muestra la configuración de archivo prevista para capturar los paquetes enviados a la direcciónde destino.

Propósito

Verifique que los paquetes capturados estén almacenados en el /var/tmp directorio del dispositivo.

Acción

Desde el modo operativo, ingrese el comando file list /var/tmp/.

Verificación de paquetes capturados

Propósito

Compruebe que el archivo de captura de paquetes está almacenado en el /var/tmp directorio y que los paquetes se pueden analizar sin conexión.

Acción
  1. Desactive la captura de paquetes.

    Mediante FTP, transfiera un archivo de captura de paquetes (por ejemplo, 126b.fe-0.0.1) a un servidor donde haya instalado herramientas de análisis de paquetes (por ejemplo, tools-server).

    1. Desde el modo de configuración, conéctese mediante tools-server FTP.

    2. Desplácese hasta el directorio donde se almacenan los archivos de captura de paquetes en el dispositivo.

    3. Copie el archivo de captura de paquetes que desea analizar en el servidor, por ejemplo 126b.fe-0.0.1.

    4. Vuelva al modo de configuración.

  2. Abra el archivo de captura de paquetes en el servidor con tcpdump o cualquier analizador de paquetes que admita el formato libpcap y revise la salida.

Ejemplo: Configurar la captura de paquetes en una interfaz

En este ejemplo se muestra cómo configurar la captura de paquetes en una interfaz para analizar el tráfico.

Requisitos

Antes de empezar:

Descripción general

En este ejemplo, se crea una interfaz denominada fe-0/0/1 y, a continuación, se configura la dirección del tráfico para el que se habilita la captura de paquetes en la interfaz lógica como entrante y saliente.

Nota:

En el tráfico que omite el módulo de software de flujo (paquetes de protocolo como ARP, OSPF y PIM), los paquetes generados por el motor de enrutamiento no se capturan a menos que haya configurado y aplicado un filtro de firewall en la interfaz en la dirección de salida.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar la captura de paquetes en una interfaz:

  1. Cree una interfaz.

  2. Configure la dirección del tráfico.

  3. Cuando termine de configurar el dispositivo, confirme la configuración.

Verificación

Verificación de la configuración de captura de paquetes

Propósito

Confirme que la configuración funcione correctamente.

Compruebe que la captura de paquetes esté configurada en la interfaz.

Acción

En el modo de configuración, escriba el comando run show interfaces fe-0/0/1.

Deshabilitar la captura de paquetes

Debe deshabilitar la captura de paquetes antes de abrir el archivo de captura de paquetes para analizarlo o transferirlo a un dispositivo externo. La desactivación de la captura de paquetes garantiza que el búfer de archivos interno se vacíe y que todos los paquetes capturados se escriban en el archivo.

Para deshabilitar la captura de paquetes, ingrese desde el modo de configuración:

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Modificar la encapsulación en interfaces con la captura de paquetes configurada

Antes de modificar la encapsulación en una interfaz de dispositivo configurada para la captura de paquetes, debe deshabilitar la captura de paquetes y cambiar el nombre del archivo de captura de paquetes más reciente. De lo contrario, la captura de paquetes guarda los paquetes con diferentes encapsulaciones en el mismo archivo de captura de paquetes. Los archivos de paquetes que contienen paquetes con diferentes encapsulaciones no son útiles, porque las herramientas de análisis de paquetes como tcpdump no pueden analizar dichos archivos.

Después de modificar la encapsulación, puede volver a habilitar la captura de paquetes de forma segura en el dispositivo.

Para cambiar la encapsulación en interfaces con captura de paquetes configurada:

  1. Desactive la captura de paquetes (consulte Deshabilitar captura de paquetes).
  2. Ingrese commit desde el modo de configuración.
  3. Cambie el nombre del último archivo de captura de paquetes en el que va a cambiar la encapsulación con la .chdsl extensión.
    1. Desde el modo operativo, acceda al shell local de UNIX.
    2. Desplácese hasta el directorio donde se almacenan los archivos de captura de paquetes.
    3. Cambie el nombre del último archivo de captura de paquetes para la interfaz en la que está cambiando la encapsulación; por ejemplo fe.0.0.0.
    4. Vuelva al modo operativo.
  4. Cambie la encapsulación en la interfaz mediante la interfaz de usuario de J-Web o el editor de configuración de CLI.
  5. Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
  6. Vuelva a habilitar la captura de paquetes (consulte Ejemplo: Habilitar la captura de paquetes en un dispositivo).
  7. Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Eliminar archivos de captura de paquetes

La eliminación de archivos de captura de paquetes del directorio /var/tmp solo elimina temporalmente los archivos de captura de paquetes. Los archivos de captura de paquetes para la interfaz se crean automáticamente de nuevo la próxima vez que se confirma un cambio en la configuración de captura de paquetes o como parte de una rotación de archivos de captura de paquetes.

Para eliminar un archivo de captura de paquetes:

  1. Desactive la captura de paquetes (consulte Deshabilitar captura de paquetes).
  2. Elimine el archivo de captura de paquetes de la interfaz.
    1. Desde el modo operativo, acceda al shell local de UNIX.
    2. Desplácese hasta el directorio donde se almacenan los archivos de captura de paquetes.
    3. Elimine el archivo de captura de paquetes para la interfaz; por ejemplo pcap-file.fe.0.0.0.
    4. Vuelva al modo operativo.
  3. Vuelva a habilitar la captura de paquetes (consulte Ejemplo: Habilitar la captura de paquetes en un dispositivo).
  4. Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Mostrar encabezados de paquetes

Escriba el comando para mostrar los monitor traffic encabezados de los paquetes transmitidos a través de interfaces de red con la siguiente sintaxis:

Nota:

El uso del comando puede degradar el rendimiento del monitor traffic sistema. Se recomienda usar opciones de filtrado, como count y matching, para minimizar el impacto en el rendimiento de paquetes en el sistema.

Tabla 1 Describe las opciones de monitor traffic comando.

Tabla 1: Opciones de comando de monitoreo de tráfico de CLI

La opción

Description

absolute-sequence

(Opcional) Muestra los números de secuencia TCP absolutos.

count number

(Opcional) Muestra el número especificado de encabezados de paquete. Especifique un valor de 0 a .100,000 El comando se cierra y sale del símbolo del sistema después de alcanzar este número.

interface interface-name

(Opcional) Muestra los encabezados de los paquetes para el tráfico en la interfaz especificada. Si no se especifica una interfaz, se supervisa la interfaz con el número más bajo.

layer2-headers

(Opcional) Muestra el encabezado del paquete de capa de vínculo en cada línea.

matching "expression"

(Opcional) Muestra encabezados de paquetes que coinciden con una expresión entre comillas (" "). Tabla 2 Mediante Tabla 4 condiciones de coincidencia de lista, operadores lógicos y operadores aritméticos, binarios y relacionales que puede utilizar en la expresión.

no-domain-names

(Opcional) Suprime la presentación de la parte del nombre de dominio del nombre de host.

no-promiscuous

(Opcional) Especifica not que se coloque la interfaz supervisada en modo promiscuo.

En el modo promiscuo, la interfaz lee todos los paquetes que le llegan. En el modo no promiscuo, la interfaz lee sólo los paquetes dirigidos a ella.

no-resolve

(Opcional) Suprime la presentación de nombres de host.

no-timestamp

(Opcional) Suprime la visualización de las marcas de tiempo de los encabezados de los paquetes.

print-ascii

(Opcional) Muestra cada encabezado de paquete en formato ASCII.

print-hex

(Opcional) Muestra cada encabezado de paquete, excepto los encabezados de capa de vínculo, en formato hexadecimal.

size bytes

(Opcional) Muestra el número de bytes para cada paquete que especifique. Si el encabezado de un paquete supera este tamaño, el encabezado del paquete mostrado se trunca. El valor predeterminado es 96.

brief

(Opcional) Muestra información mínima del encabezado del paquete. Este es el valor predeterminado.

detail

(Opcional) Muestra la información del encabezado del paquete con detalles moderados. Para algunos protocolos, también debe usar la size opción para ver información detallada.

extensive

(Opcional) Muestra el nivel más extenso de información de encabezado de paquete. Para algunos protocolos, también debe usar la size opción para ver información extensa.

Para salir del monitor traffic comando y volver al símbolo del sistema, presione Ctrl-C.

Para limitar la información del encabezado del paquete que muestra el monitor traffic comando, incluya la matching "expression" opción. Una expresión consta de una o más condiciones de coincidencia enumeradas en Tabla 2, entre comillas (" "). Puede combinar condiciones de coincidencia mediante los operadores lógicos enumerados en (mostrados en Tabla 3 orden de mayor a menor prioridad).

Por ejemplo, para mostrar encabezados de paquetes TCP o UDP, escriba:

Para comparar los siguientes tipos de expresiones, utilice los operadores relacionales enumerados en (enumerados de Tabla 4 mayor a menor prioridad):

  • Aritmética: expresiones que utilizan los operadores aritméticos enumerados en Tabla 4.

  • Binario: expresiones que utilizan los operadores binarios enumerados en Tabla 4.

  • Descriptor de acceso de datos de paquetes: expresiones que utilizan la sintaxis siguiente:

    Reemplazar protocol por cualquier protocolo en Tabla 2. Reemplace byte-offset con el desplazamiento de bytes, desde el principio del encabezado del paquete, para usarlo en la comparación. El parámetro opcional size representa el número de bytes examinados en el encabezado del paquete: 1, 2 o 4 bytes.

    Por ejemplo, el siguiente comando muestra todo el tráfico de multidifusión:

Tabla 2: Monitoreo de tráfico de CLI Condiciones de coincidencia

Condición de coincidencia

Description

Tipo de entidad

host [address | hostname]

Hace coincidir los encabezados de los paquetes que contienen la dirección o el nombre de host especificados. Puede anteponer cualquiera de las siguientes condiciones de coincidencia de protocolo, seguidas de un espacio, a host: arp, ip, rarpo cualquiera de las condiciones de coincidencia direccional.

network address

Hace coincidir los encabezados de los paquetes con las direcciones de origen o destino que contienen la dirección de red especificada.

network address mask mask

Hace coincidir los encabezados de los paquetes que contienen la dirección de red especificada y la máscara de subred.

port [port-number | port-name]

Hace coincidir los encabezados de los paquetes que contienen el número o nombre de puerto TCP o UDP de origen o destino especificados.

Direccional  

destination

Hace coincidir los encabezados de los paquetes que contienen el destino especificado. Las condiciones de coincidencia direccional se pueden anteponer a cualquier condición de coincidencia de tipo de entidad, seguida de un espacio.

source

Hace coincidir los encabezados de paquete que contienen el origen especificado.

source and destination

Hace coincidir los encabezados de los paquetes que contienen el destino de origen and especificado.

source or destination

Hace coincidir los encabezados de los paquetes que contienen el destino de origen or especificado.

Longitud del paquete

less bytes

Hace coincidir paquetes con longitudes menores o iguales al valor especificado, en bytes.

greater bytes

Hace coincidir paquetes con longitudes mayores o iguales que el valor especificado, en bytes.

Protocolo

arp

Hace coincidir todos los paquetes ARP.

ether

Hace coincidir todas las tramas Ethernet.

ether [broadcast | multicast]

Hace coincidir las tramas de difusión o multidifusión de Ethernet. Esta condición de coincidencia puede anteponerse con source o destination.

ether protocol [address | (\arp | \ip | \rarp)

Hace coincidir las tramas Ethernet con la dirección o el tipo de protocolo especificados. Los argumentosarp, , y rarp también son condiciones de coincidencia independientes, por lo que deben ir precedidos de una barra diagonal inversa (\) cuando se usan en la condición de ether protocolipcoincidencia.

icmp

Hace coincidir todos los paquetes del ICMP

ip

Hace coincidir todos los paquetes IP.

ip [broadcast | multicast]

Hace coincidir los paquetes de difusión o de multidifusión IP.

ip protocol [address | (\icmp | igrp | \tcp | \udp)]

Hace coincidir los paquetes IP con la dirección o el tipo de protocolo especificados. Los argumentosicmp, , y udp también son condiciones de coincidencia independientes, por lo que deben ir precedidos de una barra diagonal inversa (\) cuando se usan en la condición de ip protocoltcpcoincidencia.

isis

Hace coincidir todos los mensajes de enrutamiento IS-IS.

rarp

Hace coincidir todos los paquetes RARP.

tcp

Hace coincidir todos los paquetes TCP.

udp

Hace coincidir todos los paquetes UDP.

Tabla 3: Monitoreo de tráfico de CLI Operadores lógicos

Operador lógico

Description

!

NOT lógica. Si la primera condición no coincide, se evalúa la siguiente.

&&

Lógica Y. Si la primera condición coincide, se evalúa la siguiente. Si la primera condición no coincide, se omite la siguiente.

||

Lógica O. Si la primera condición coincide, se omite la siguiente. Si la primera condición no coincide, se evalúa la siguiente.

()

Agrupe los operadores para anular el orden de precedencia predeterminado. Los paréntesis son caracteres especiales, cada uno de los cuales debe ir precedido de una barra diagonal inversa (\).

Tabla 4: Monitoreo de tráfico de CLI Operadores aritméticos, binarios y relacionales

Operador

Description

Operador aritmético

+

Operador de suma.

Operador de sustracción.

/

Operador de división.

Operador binario

&

Operación a nivel de bits Y.

*

Operación a nivel de bits exclusiva O.

|

Operación a nivel de bits inclusiva O.

Operador relacional

<=

Se produce una coincidencia si la primera expresión es menor o igual que la segunda.

>=

Se produce una coincidencia si la primera expresión es mayor o igual que la segunda.

<

Se produce una coincidencia si la primera expresión es menor que la segunda.

>

Se produce una coincidencia si la primera expresión es mayor que la segunda.

=

Se produce una coincidencia si la primera expresión es igual a la segunda.

!=

Se produce una coincidencia si la primera expresión no es igual a la segunda.

A continuación se muestra un ejemplo de salida del monitor traffic comando: