由于数据中心使用了VXLAN技术,导致在三层网络中查看不到原始的MAC数据帧。另外一个局限就是所有网络设备都不在本地,所以无法使用镜像技术进行抓包,最后决定使用交换机自带的抓包工具进行远程抓包,把抓包后的文件先保存在交换机上,然后用FTP传回到本地电脑,之后再用WireShark进行分析。
具体抓包流程如下:
capture-packet interface Eth-Trunk 1 destination file capture.cap packet-len 128
//抓取Eth-Trunk 1接口下的流量。将抓取的流量保存在capture.cap文件中,此文件名可自定义。
抓取的每个数据包的长度设定为128字节,CE6865默认为64。
注意,有些低端交换机默认为10字节,这样可能导致抓取的数据包不完整,用Wireshark进行分析的时候出现问题。
交换机抓包后,一般情况下,会将抓包文件保存在flash:/logfile/目录下。
pwd----显示当前所处的目录:
dir----显示当前目录中的文件及文件夹:
cd + 文件夹名称----进入某个文件夹
由于在交换机上搭建FTP服务端稍稍有点麻烦,所以换种思维方式,将本地电脑作为FTP服务器,交换机作为FTP客户端,交换机将capture.cap抓包文件上传到服务器。
在Windows上搭建FTP服务器使用一个简单的FTP服务器软件即可。此软件我会上传到我的CSDN上供大家免费下载。软件界面如下:
在交换机上连接FTP服务器的使用,需要指定源地址(能从本地远程的地址)进行连接,否则可能会出现连接不上的情况。
上传文件的时候,需要先确定文件的位置,然后再进行上传。
ftp常用命令:
put----将ftp客户端的文件上传到ftp服务器
get----将ftp服务器中的文件下载到ftp客服端
在此场景中,需要将交换机中的文件上传到ftp服务器,即远程的电脑上。使用命令的格式为:put + 绝对文件名
上述步骤操作完成之后,capture.cap文件便被上传到我们的本地电脑了。
此时便可以用Wireshark软件对抓取的数据包进行分析了。
注意: 针对华为交换机,目前只支持捕获接口入方向报文,不支持捕获接口出方向报文。即只支持抓取单方向的报文。