“运维实战家”专栏，从技术到实际，和您聊聊运维的那些事儿

本文作者：田幼杨

（iSlot官方网站网络技术服务部）

媒介

你是否也遇到过这样的情况？在产生故障时要进行设备抓包，因而起头查问对应设备手册寻找抓包步骤，等你披荆斩棘找到后故障已经隐没错过了抓包功夫，因而你立誓要记下所有设备的抓包步骤，但又由于运维的设备型号太多并且每种型号的抓包方式分歧而烧毁。其实固然iSlot官方网站分歧类型设备的抓包步骤分歧，但一些设备底层设计的抓包方式是一样的，好比数据中心互换机和出口网关EG的抓包步骤看起来分歧但现实上都是通过PCAP职能进行抓包的。本文中作者为各人汇总了iSlot官方网站常见设备的报文捕获步骤及技巧，你只需学会常用的几种抓包实现方式并相识分歧设备通过哪种方式实现，就能举一反三，玩转iSlot官方网站设备报文捕获。

互换机设备抓包

园区网互换机

园区网互换机是通过端口镜像职能实现报文捕获的，端口镜像是通过在设备大将一个或多个源端口的数据流量复造到一个或多个指定端口上，以便对被监控流量进行故障定位、流量分析、流量备份等。常用的端口镜像有两种，本地端口镜像（以下简称“SPAN”）和远程端口镜像（以下简称“RSPAN”）。

SPAN是本地端口镜像用于在单台设备进行一对一端口镜像或多对一端口镜像，将一个或多个端口的流量复造到另表一个端口上，并且还能够在此基础上增长ACL匹配数据流达到更精密化的基于流的端口镜像，此表还能够通过互换机的WEB页面配置SPAN。

RSPAN是远程端口镜像目前有两种使用场景， 第一种是用于单台设备进行一对多端口镜像或者多对多端口镜像，第二种用于在二层的环境下逾越多台设备进行端口镜像。

数据中心互换机

数据中心互换机既能够通过端口镜像职能进行报文捕获，还能够使用PCAP职能进行报文捕获。PCAP（Packet Capture）是一种网络设备支持的抓包职能，类似于幼我电脑上的抓包软件Ｄ芄唤牖セ换蛘叽踊セ换⒌谋ㄎ淖ト∠吕幢Ａ粼谖募中或直接显示出来。PCAP能够通过两种方式进行抓包，节造面抓包和转发面抓包。

节造面抓包能够抓取节造面或者某个物理接口下匹配7元组信息（源MAC、主张MAC、二层和谈类型、源IP、主张IP、三层和谈类型、TCP/UDP端口信息）的报文。

转发面抓包能够抓取匹配ACL规定的报文。

抓取携带VLAN TAG的报文

在排查一些互换机问题时，必要抓取带VLAN TAG的报文。大部门Linux终端或苹果Mac终端无需做任何设置默认能够抓取到携带VLAN TAG的报文。Windows终端的大部门网卡驱动默认会在接管数据包的时辰过滤VLAN TAG，使得用Wireshark等软件抓到的数据包中不含VLAN TAGＤ芄煌ü腤indows终端的注册表让驱动保留VLAN TAG，就能抓到带VLAN TAG的报文了。

出口设备抓包

出口网关

出口网关（以下简称“EG”）是通过PCAP职能实现抓包，能够在号令行下或者WEB页面下进行报文捕获。EG号令行下配置PCAP参考上节数据中心互换机PCAP节造面抓包配置此处不在赘述。在EG的WEB页面下进行报文捕获是比力常用的步骤，操作步骤如下。

（1）在EG的WEB页面点击“高级-抓包工具”打开“抓包诊断工具”（老版本EG点击“高级-一键网络-抓包诊断工具”）

（2）增长抓包规定，在设置抓包规定时能够设置7元组信息（源MAC、主张MAC、二层和谈类型、源IP、主张IP、三层和谈类型、TCP/UDP端口信息）进行报文过滤

（3）增长抓包点，配置抓包接口和抓包规定

（4）实现配置后点击“起头抓包”，EG每次抓包只能抓取20MB的报文，超过此大幼会自动终场，点击“终场抓包”后，点击“下载文件”对捕获报文进行下载

防火墙

防火墙是通过Sniffer职能实现抓包，能够在号令下或者WEB页面下进行报文捕获。
号令行下通过Sniffer抓取的报文会直接打印出来，将打印出来的报文保留为文本文件，而后通过“Perl诠释器”可将文本体式报文转换为我们常用的Wireshark体式报文，具体转换步骤可在iSlot官方网站官网下载防火墙产品一本通查看。

在防火墙的WEB页面下进行报文捕获是比力常用的步骤，操作步骤如下。

（1）在防火墙的WEB界面点击“网络设置-网络”打开“数据包捕获”

（2）新建抓包规定，选择抓包接口，并可设置过滤规定进行报文过滤

（3）启动抓包，起头捕获数据包，实现抓包后终场抓包，并下载报文

路由器

在路由器上进行报文捕获分为两种情况，捕获路由器二层口报文和捕获路由器三层口报文。

路由器的二层接口支持端口镜像职能，直接使用端口镜像职能进行报文捕获即可。

目前并不是所有路由器的三层口都支持端口镜像职能。若是你的路由器三层口支持端口镜像直接使用端口镜像进行报文捕获即可；若是你的路由器的三层口不支持端口镜像但你的路由器上有二层口，能够将三层口串接到路由器自身的二层口上，在二层口上进行端口镜像；若是你的路由器的三层口不支持端口镜像并且你的路由器上也没有二层口，能够将三层口串接一台支持端口镜像的互换机，在互换机上配置端口镜像进行报文捕获。

无线设备抓包

无线节造器

捕获流经无线节造器（以下简称“AC”）的报文有两种步骤，PCAP和端口镜像。

第一种步骤是使用PCAP职能在AC的WEB页面上进行抓包。点击“诊断-抓包诊断”进入报文抓包工具，抓包步骤参考上幼节EG的WEB页面抓包步骤此处不在赘述。必要把稳的是AC的每次抓取报文大幼与EG有所分歧，AC默认抓包达到2MB或抓包个数为1024个报文或抓包时长10分钟，肆意一个前提达到则自动终场抓包。目前版本的AC已支持WEB页面上抓包，若是你使用的AC版本不支持WEB页面上抓包可升级软件版本或使用第二种步骤端口镜像职能进行报文捕获。
 

第二种步骤是使用端口镜像职能。对于支持端口镜像的AC能够直接在AC上配置端口镜像，目前大部门型号的AC都支持端口镜像职能。必要把稳是虚构化AC不支持配置端口镜像职能，若是AC部署了虚构化或者使用的AC型号不支持端口镜像，可通过在AC的上联互换机上配置端口镜像捕获AC上报文。

无线接入点

若是想要捕获流经无线接入点（以下简称“AP”）的报文，可通过在AP的上联POE互换机上配置端口镜像进行报文捕获。

抓取空口报文

作者时时被问题一个问题，为什么在终端上直接抓无线网卡抓包，抓到的数据帧头部是以太网，而不是802.11呢？这是由于终端已经进行了无线帧的转化，若是想捕获802.11的数据帧那么就必要进行空口抓包。

大部门Linux终端或苹果Mac终端可通过电脑自带的无线网卡来抓取无线空口报文，将Linux终端或苹果Mac终端的无线网卡配置成监听模式，而后直接使用Wireshark抓包即可。但对于Windows终端而言，Windows大部门的无线网卡驱动不允许你将无线网卡切换到监听模式，通常能够通过以下步骤在Windows下抓取无线空口报文：

（1）Wireshark+Airpcap抓包工具

若是想在Windows下使用Wireshark抓取空口报文，要使用Airpcap抓包工具，Airpcap是被设计用来突破Windows强加给无线数据包分析的限度的，但价值比力昂贵。

（2）Omnipeek+Omnipeek支持的无线网卡+Omnipeek无线网卡驱动

使用Omnipeek进行无线空口抓包是目前常用的步骤，必要把稳的是Omnipeek只支持部门无线网卡捕获无线空口报文，支持的无线网卡型号可在Omnipeek官网上查问，同时还必要装置特殊的无线网卡驱动能力够捕获到无线空口报文。

必要把稳的是捕获无线空口报文与捕获有线报文有所分歧，在抓取无线空口报文时，统一功夫只能抓取一个信路的报文。

认证设备抓包

MCP

MCP能够通过Linux服务器上的Tcpdump工具进行抓包，能够在号令行下和WEB页面下进行报文捕获。若是说Wireshark是世界优势行的图形化数据包分析工具，那么Tcpdump是世界优势行的号令行数据包分析工具。通过SSH登录到MCP的Linux服务器上使用Tcpdump号令进行抓包，使用Tcpdump抓包后能够直接在号令行下进行分析或者将报文导出使用Wireshark进行分析，下表为各人整顿了常用的Tcpdump号令参数。

在MCP的WEB页面下进行报文捕获是比力常用的步骤，点击“系统-故障排查工具”（老版本MCP点击“系统配置-日志网络”）进入报文抓包工具，点击“起头抓包”抓取网络中的报文，终场后能够直接将报文下载进行分析。

ESS

ESS的报文捕获方式和MCP类似也是通过Linux服务器上的Tcpdump工具进行报文捕获的此处不在赘述。