🛠 华为 S5700 抓包配置指南(端口镜像方式)

在华为 S5700 系列交换机上配置抓包,最常用的方法是端口镜像(Port Mirroring)。这种方式可以将目标端口的流量复制到观察端口,然后使用 Wireshark 等工具进行分析。下面是专门针对 S5700 的详细配置步骤:

✅ 第一步:清理旧的镜像配置(如有)

system-view
display observe-port
display port-mirroring

如果已有镜像配置,需逐个删除:

interface GigabitEthernet 0/0/3
undo port-mirroring to observe-port 1 both
quit

undo observe-port 1

✅ 第二步:设置观察端口(连接抓包设备)

假设你用的是端口 GigabitEthernet 0/0/2 作为观察口:

observe-port 1 interface GigabitEthernet 0/0/2

✅ 第三步:配置镜像源端口(你想抓包的端口)

比如你要抓取 GigabitEthernet 0/0/13 的全部流量:

interface GigabitEthernet 0/0/13
port-mirroring to observe-port 1 both
quit
  • both 表示镜像入站和出站流量。
  • 也可以用 inboundoutbound 来指定方向。

✅ 第四步:连接抓包设备并启动 Wireshark

将电脑连接到观察端口(如 0/0/2),打开 Wireshark,选择对应网卡开始抓包。

🛠 华为抓包配置指南(capture-packet

在华为交换机上使用 capture-packet 命令进行远程抓包,是一种非常实用的方式,尤其适合无法使用端口镜像或需要精确过滤流量的场景。下面是完整的操作流程和注意事项:

🧰 一、基本命令格式

capture-packet interface <接口名> destination file <文件名>.cap packet-len <长度>

例如,在接口 Eth-Trunk1 上抓包,并保存为 capture.cap 文件:

[Huawei] capture-packet interface Eth-Trunk1 destination file capture.cap packet-len 128
  • packet-len:每个数据包的抓取长度,推荐设置为 128 或更高(默认可能只有 64 或 10 字节,容易丢包)。
  • 抓包文件默认保存在交换机的 flash:/logfile/ 目录下。

📤 二、将抓包文件传回本地(FTP方式)

由于交换机不方便直接查看 .cap 文件,建议通过 FTP 下载到本地电脑:

  1. 在本地搭建 FTP 服务(如使用 FileZilla Server)。

  2. 在交换机上连接 FTP 服务器

    ftp <FTP服务器IP>

  3. 上传抓包文件到 FTP 服务器

    put flash:/logfile/capture.cap

然后你就可以在电脑上用 Wireshark 打开 capture.cap 文件进行分析。

🧭 H3C交换机端口镜像抓包实战案例

📌 使用场景

当你需要分析某个端口的流量(如是否存在异常广播、ARP攻击、IP冲突等),可以通过端口镜像将该端口的流量复制到另一个端口,再用 Wireshark 抓包。

🛠 配置步骤(命令行方式)

假设:

  • 源端口:GigabitEthernet 1/0/1(你要抓包的端口)
  • 目的端口:GigabitEthernet 1/0/3(连接抓包电脑)
<H3C> system-view
[H3C] mirroring-group 1 local
[H3C] mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 both
[H3C] mirroring-group 1 monitor-port GigabitEthernet 1/0/3
  • both 表示镜像入站和出站流量。
  • 如果只需抓入站流量,可改为 inbound

完成后,将运行 Wireshark 的电脑连接到端口 1/0/3,即可开始抓包。

🧪 抓包效果验证

配置完成后,你可以在镜像端口上看到:

  • VLAN 间的 ARP 请求和响应
  • HTTPS、DNS、TCP 等协议数据
  • 即使源端口属于不同 VLAN,也能通过镜像抓到跨 VLAN 的流量

🧭 H3C远程抓包配置步骤(基于 Comware 7)

在 H3C(华三)交换机上进行远程抓包,可以使用 packet-capture remote 命令配合 ACL 和 QoS 策略来实现。这种方式适合在无法直接接入设备的情况下,对特定流量进行精确分析。下面是完整配置流程👇

✅ 1. 创建 ACL 过滤规则(建议精确匹配)

[H3C] acl advanced 3000
[H3C-acl-adv-3000] rule 0 permit ip source 192.168.1.10 0 destination 192.168.1.1 0

✅ 2. 定义流量分类器

[H3C] traffic classifier class_test operator and
[H3C-classifier-class_test] if-match acl 3000

✅ 3. 定义流量行为(必须镜像到 CPU)

[H3C] traffic behavior behavior_test
[H3C-behavior-behavior_test] mirror-to cpu
[H3C-behavior-behavior_test] accounting packet

✅ 4. 创建 QoS 策略并绑定分类器与行为

[H3C] qos policy policy_test
[H3C-policy-policy_test] classifier class_test behavior behavior_test

✅ 5. 应用策略到接口(入方向)

[H3C] interface GigabitEthernet 1/0/4
[H3C-GigabitEthernet1/0/4] qos apply policy policy_test inbound

✅ 6. 启动远程抓包服务

[H3C] packet-capture remote interface GigabitEthernet 1/0/4 port 2015
  • 你可以通过远程工具(如 Wireshark)连接到交换机的 IP 和端口 2015,实时接收抓包数据。
  • 抓包前建议确认设备是否支持该功能,并确保已安装 Packet Capture 特性包。

🟦 思科(Cisco)交换机抓包案例

📌 案例场景:使用 SPAN(端口镜像)或 ERSPAN(远程抓包)进行流量分析

✅ SPAN 抓包配置(本地)

monitor session 1 source interface Gi1/0/19
monitor session 1 destination interface Gi1/0/18

连接抓包设备到 Gi1/0/18,使用 Wireshark 抓包。

✅ ERSPAN 抓包配置(远程)

monitor session 1 type erspan-source
 source interface e0/1
 destination erspan-id 130
 ip address 10.1.1.1
 origin ip address 32.1.1.1

目标设备配置:

monitor session 1 type erspan-destination
 destination interface e0/0
 source erspan-id 130
 ip address 10.1.1.1

🧭 抓取 Trunk 口流量的通用方法

抓取上联 Trunk 口的流量是网络分析中非常关键的一步,尤其在多 VLAN 环境下进行故障排查、安全审计或性能监控。Trunk 口承载的是多个 VLAN 的数据流,因此抓包时需要特别注意 VLAN 标签的处理和镜像配置的完整性。下面是详细的操作指南:

✅ 方法一:使用端口镜像(Port Mirroring)

这是最常见也最稳定的方式,适用于华为、H3C、Cisco 等主流交换机。

操作步骤:

  1. 确认 Trunk 口接口名称 例如:GigabitEthernet 1/0/24 是上联 Trunk 口。

  2. 配置镜像源端口为 Trunk 口

    [Switch] mirroring-group 1 local
[Switch] mirroring-group 1 mirroring-port GigabitEthernet 1/0/24 both

  3. 配置镜像目标端口(连接抓包设备)

    [Switch] mirroring-group 1 monitor-port GigabitEthernet 1/0/3
  4. 连接电脑并使用 Wireshark 抓包 抓包时建议启用 VLAN 标签解析功能,以便识别不同 VLAN 的流量。

  1. GigabitEthernet 1/0/3 不需要配置为 Trunk 口,因为它只是作为镜像目标端口,用来接收从源端口复制过来的流量。

    ✅ 为什么不需要配置为 Trunk?

    镜像目标端口(monitor-port)不会参与正常的交换或转发,它只是被动接收镜像流量:

    • 它不会处理 VLAN 标签,也不会参与 VLAN 的划分。
    • 即使源端口是 Trunk,镜像流量也会原封不动地复制,包括 VLAN 标签。
    • 抓包设备(如 Wireshark)可以识别这些 VLAN 标签并进行分析。 🧪 抓包建议
    • 保持 GigabitEthernet 1/0/3 为默认 Access 模式即可,不需要加入任何 VLAN。
    • 抓包设备网卡建议开启混杂模式(Promiscuous Mode),以确保能接收所有镜像流量。

    • 在 Wireshark 中使用过滤器如:

      • vlan:查看所有带 VLAN 标签的帧。
      • eth.type == 0x8100:专门筛选 VLAN 封装帧。

✅ 方法二:使用 ACL + 抓包命令(适用于华为/H3C)

这种方式适合精确过滤某个 VLAN 或 IP 段的流量。

示例(H3C):

acl advanced 3000
 rule permit ip source 192.168.10.0 0.0.0.255

traffic classifier vlan10 operator and
 if-match acl 3000

traffic behavior mirror_cpu
 mirror-to cpu

qos policy trunk_policy
 classifier vlan10 behavior mirror_cpu

interface GigabitEthernet 1/0/24
 qos apply policy trunk_policy inbound

packet-capture local interface GigabitEthernet 1/0/24 autostop filesize 50000 write flash:/trunk.cap

然后通过 FTP/SFTP 下载 trunk.cap 文件,用 Wireshark 分析。

🎓 VLAN 标签解析技巧

  • Trunk 口上的数据包通常带有 802.1Q VLAN 标签
  • 在 Wireshark 中启用 VLAN 解码功能,可查看每个数据包属于哪个 VLAN。
  • 可使用过滤器如 vlan.id == 10 来筛选特定 VLAN 的流量。
Copyright © https://yan-jian.com 2023 all right reserved更新时间: 2025-08-25 19:24:34

results matching ""

    No results matching ""