【RDMA】H3C交換機 抓包

摘自：https://cshihong.github.io/2020/11/20/%E5%A6%82%E4%BD%95%E5%9C%A8%E4%BA%A4%E6%8D%A2%E6%9C%BA%E4%B8%8A%E6%8A%93%E5%8C%85/

H3C交換機抓包：

在華三交換機上可使用：packet-capture 命令，在用戶視圖下執行。

具體操作可查看這：https://www.h3c.com/cn/d_202009/1327093_30005_0.htm

相關命令：查看端口

display interface

先停止抓包：

packet-capture stop 

進入系統視圖：sys

<Device> sys

#做流統匹配抓包流量：acl http://blog.sina.com.cn/s/blog_165c04adb0102yens.html

創建acl （記得先刪除之前創建的--方法見文章末尾，或者取別號碼3001等）
acl advanced 3000
description test 
#rule 0 permit ip source 192.168.1.1 0 destination 192.168.2.1 0

rule 0 deny ip destination 172.16.30.0 0.0.0.255    #禁止訪問30段，允許其它

rule 5 permit ip                                                       #允許所有IP數據

#rule 10 permit source-mac xxxx-xxxx-xxxx          #過濾mac，運行源macxxxx-xxxx-xxxx的數據

traffic classifier class_test operator and

if-match acl 3000

#traffic classifier c2 operator and if-match acl 3002
#流量分類器 C2 算子 如果匹配ACL 3002
#定義一個類，名為c2；報文只有匹配了訪問控制列表acl 3002的規則，設備才認為報文屬於這個類

#
traffic behavior behavior_test
 accounting packet # 做流量統計
 mirror-to cpu # 鏡像到CPU，必須鏡像到CPU才能抓包
#
qos policy policy_test
 classifier class_test behavior behavior_test
#
interface HundredGigE1/0/4
qos apply policy policy_test inbound 

檢查配置狀況：

display qos policy interface

退出系統視圖Ctrl+Z
packet-capture local  interface  HundredGigE1/0/4  autostop  filesize  50000 write  flash:/isp1.cap

#packet-capture local interface HundredGigE1/0/4 autostop filesize 50000 write flash:/isp4.cap
packet-capture stop # 及時停止。

遠程抓包：packet-capture remote  interface HundredGigE1/0/4 port 2014

 

需要注意的幾點：

1. 抓包時盡量使用acl匹配精確的流
2. 在traffic behavior中，必須配置流量鏡向到CPU。mirror-to cpu, 否則不能抓到包。
3. 抓包時做好文件大小限制，autostop filesze 50000, 因為交換機的硬盤都很小，防止把交換機硬盤打滿。
4. 抓包時盡量選擇流量低峰期。
5. 配置accounting packet 流量統計后，可通過display qos policy interface 查看匹配情況。

 

packet-capture remote interface HundredGigE1/0/4 port 2015

display packet-capture status

 

刪除策略

1. 查看當前策略：

[H3C]sys

[H3C]display qos policy interface
Interface: HundredGigE1/0/4
  Direction: Inbound
  Policy: policy_test
   Classifier: class_test
     Operator: AND
     Rule(s) :
      If-match acl 3000
     Behavior: behavior_test
      Accounting enable:
        0 (Packets)

進入對應端口的視圖：

[H3C]sys

[H3C]interface HundredGigE1/0/6

解除策略：undo + ****
[H3C-HundredGigE1/0/6]undo qos apply policy policy_test inbound

 

1. 解除數據鏡像

mirror-to cpu命令用來配置流鏡像到CPU。

undo mirror-to命令用來取消流鏡像到CPU。

更多見后面的章節。

 

H3C簡單FTP上傳和下載文件

：首先單獨創建個FTP的賬號 

<HY-ACCESS-E>system-view 
System View: return to User View with Ctrl+Z.
[HY-ACCESS-E]ftp  server enable 
[HY-ACCESS-E]local-user test1
New local user added.
[HY-ACCESS-E-luser-test1]service-type ftp 
[HY-ACCESS-E-luser-test1]password simple Admin@123
[HY-ACCESS-E-luser-test1]quit 

[HY-ACCESS-E-luser-test1]authorization-attribute user-role level-15  //設置該用戶權限級別

（V7版本交換機需要在local-user “用戶名” 下設置authorization-attribute user-role level-15權限與user-interface下設置 user-role level-15權限才可以，否則通過ftp上傳下載文件時提示“permission denied”）


//然后在cmd命令行直接輸入：
>D:                  //dos到D盤目錄下
 ftp 192.168.252.247 //交換機的管理地址
//dir //顯示所有文件
//get XX.bin //下載到D盤目錄下

原文鏈接：https://blog.csdn.net/NeverGUM/article/details/100895607

 

流鏡像配置（數據流導向CPU）

 

 流鏡像配置命令

摘自：http://www.h3c.com/cn/d_202101/1377407_30005_0.htm

           http://www.h3c.com/cn/d_202005/1299029_30005_0.htm

           http://www.h3c.com/cn/d_201704/983902_30005_0.htm

          http://www.h3c.com/cn/d_202011/1358689_30005_0.htm

        http://www.h3c.com/cn/d_202010/1345902_30005_0.htm

 

2.1.1  mirror-to cpu

mirror-to cpu命令用來配置流鏡像到CPU。

undo mirror-to命令用來取消流鏡像到CPU。

【命令】

mirror-to cpu

undo mirror-to cpu

【缺省情況】

未配置流鏡像到CPU。

【視圖】

流行為視圖

【缺省用戶角色】

network-admin

【舉例】

# 配置流行為1，並在該流行為中配置流鏡像到CPU。

<Sysname> system-view

[Sysname] traffic behavior 1

[Sysname-behavior-1] mirror-to cpu

2.1.2  mirror-to interface

mirror-to interface命令用來配置流鏡像到接口。

undo mirror-to interface命令用來取消流鏡像到接口。

【命令】

mirror-to interface interface-type interface-number [ destination-ip destination-ip-address source-ip source-ip-address [ dscp dscp-value | vlan vlan-id | vrf-instance vrf-name ] * ]

undo mirror-to interface interface-type interface-number

【缺省情況】

未配置流鏡像到接口。

【視圖】

流行為視圖

【缺省用戶角色】

network-admin

【參數】

interface-type interface-number：表示流鏡像接口的接口類型和接口編號。

destination-ip destination-ip-address：表示流鏡像到接口時，鏡像報文封裝的目的IP地址，destination-ip-address表示封裝的目的IP地址。

source-ip source-ip-address：表示流鏡像到接口時，鏡像報文封裝的源IP地址，source-ip-address表示封裝的源IP地址。

dscp dscp-value：表示流鏡像到接口時，鏡像報文封裝的DSCP優先級，dscp-value表示封裝的DSCP優先級，取值范圍為0～63，也可以是關鍵字，如表2-1所示。

表2-1 DSCP關鍵字與值的對應表

關鍵字	DSCP值（二進制）	DSCP值（十進制）
af11	001010	10
af12	001100	12
af13	001110	14
af21	010010	18
af22	010100	20
af23	010110	22
af31	011010	26
af32	011100	28
af33	011110	30
af41	100010	34
af42	100100	36
af43	100110	38
cs1	001000	8
cs2	010000	16
cs3	011000	24
cs4	100000	32
cs5	101000	40
cs6	110000	48
cs7	111000	56
default	000000	0
ef	101110	46

 

vlan vlan-id：鏡像報文所屬的VLAN，vlan-id表示鏡像報文所屬VLAN的編號，取值范圍為1～4094。

vrf-instance vrf-instance-name：表示流鏡像到接口時，鏡像報文由該VPN實例對應出接口的路由信息指導轉發。vrf-instance-name表示VPN實例名稱，為1～31個字符的字符串，區分大小寫。

【使用指導】

同一流行為中只能配置一個目的接口，多次執行該命令，僅最后一次執行的命令生效。

【舉例】

# 配置流行為1，並在該流行為中配置流鏡像到接口Ten-GigabitEthernet1/0/1。

<Sysname> system-view

[Sysname] traffic behavior 1

[Sysname-behavior-1] mirror-to interface ten-gigabitethernet 1/0/1

# 配置流行為1，在該流行為中配置流鏡像到接口Ten-GigabitEthernet1/0/1時，鏡像報文封裝的目的IP地址為1.1.1.1、源IP地址為2.2.2.2、DSCP優先級為20、VLAN ID為100，鏡像報文所屬的VPN實例名稱為vrf1。

<Sysname> system-view

[Sysname] traffic behavior 1

[Sysname-behavior-1] mirror-to interface ten-gigabitethernet 1/0/1 destination-ip 1.1.1.1 source-ip 2.2.2.2 dscp 20 vlan 100 vrf-instance vrf1

 

 

相關命令

 

查看H3C交換機端口信息的:display interface GigabitEthernet1/0/1 。

下面的一些命令提供參考:

display brief interface GigabitEthernet1/0/1 查看端口簡要配置信息。

display loopback-detection 用來測試環路測試是否開啟。

display transceiver-information interface GigabitEthernet1/0/50 顯示光口相關信息。

display port-security 查看端口安全配置信息。

display garp statistics interface GigabitEthernet 1/0/1 顯示以太網端口上的garp統計信息。

 

更多ACL例子

https://blog.csdn.net/eighteenxu/article/details/78532130

 

1. acl advanced 3000
2. step 10
3. rule 0 permit icmp
4. rule 50 deny ip destination 175.***.***.*** 0 logging counting
5. rule 100 deny tcp destination-port eq telnet
6. rule 300 deny tcp destination-port eq 3389
7. rule 400 permit tcp destination-port eq 1723

 

創建二層ACL 4000，並定義兩條規則，分別為在time1和time2時間段內拒絕源MAC地址前綴為000f-e2的所有報文通過。

acl number 4000

 rule 0 deny source-mac 000f-e200-0000 ffff-ff00-0000 time-rang working_time1

 rule 5 deny source-mac 000f-e200-0000 ffff-ff00-0000 time-rang working_time2

 

定義流video,匹配acl 4000

traffic classifier video operator and

 if-match acl 4000

 

定義流行為video,拒絕通過

traffic behavior video

 filter deny

 

定義qos策略video,關聯相應的流和流行為

qos policy video

 classifier video behavior video

 

應用qos

int g1/0/1

 qos apply policy video inbound

int g1/0/2

 qos apply policy video inbound

 

完整配置
#
 time-range time1 00:00 to 08:30 daily
 time-range time1 18:00 to 24:00 daily  
#
acl number 4000
 rule 0 deny source-mac 000f-e200-0000 ffff-ff00-0000 time-range time1
 rule 5 deny source-mac 000f-e200-0000 ffff-ff00-0000 time-range time2
#
interface GigabitEthernet1/0/1
 packet-filter 4000 inbound

 

 

2.包過濾方式

time_range working_time1 0:00 to 8:30 daily

time_range working_time2 18:00 to 24:00 daily

 

 

acl number 4000

 rule 0 deny source-mac 000f-e200-0000 ffff-ff00-0000 time-rang working_time1

 rule 5 deny source-mac 000f-e200-0000 ffff-ff00-0000 time-rang working_time2

 

int gi1/0/1

 packet-filter 4000 inbound

int gi 1/0/2

 packet-filter 4000 inbound

 

完整配置
#
 time-range time1 00:00 to 08:30 daily
 time-range time1 18:00 to 24:00 daily  
#
acl number 4000
 rule 0 deny source-mac 000f-e200-0000 ffff-ff00-0000 time-range time1
 rule 5 deny source-mac 000f-e200-0000 ffff-ff00-0000 time-range time2
#
interface GigabitEthernet1/0/1
 packet-filter 4000 inbound

 

ACL顯示和維護

刪除ACL

刪除 advanced 3000這個acl

1進入sys view：

sys

2刪除

undo acl advanced 3000

刪除規則

進入sys視圖：

sys

顯示acl 3000 的規則

display acl  3000

Advanced IPv4 ACL 3000, 3 rules,
test
ACL's step is 5, start ID is 0
 rule 1 permit ip source 182.200.31.54 0 destination 182.200.31.53 0
 rule 2 permit ip source 192.169.31.54 0 destination 192.169.31.53 0
 rule 5 permit icmp
 

進入acl  3000 視圖：

[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]
 

刪除規則 1：

[H3C-acl-ipv4-adv-3000]undo rule 1

刪除classer

sys

進入policy_test

qos policy policy_test

刪除policy_test的

undo classifier class_test

清楚統計信息

 

reset acl counter 3000

原文：http://www.h3c.com/cn/d_201212/768464_30005_0.htm#_Toc298159112

在完成上述配置后，在任意視圖下執行display命令可以顯示ACL配置后的運行情況，通過查看顯示信息驗證配置的效果。

在用戶視圖下執行reset命令可以清除ACL的統計信息。

表1-15 ACL顯示和維護

配置	命令
顯示IPv4 ACL的配置和運行情況	display acl { acl-number | all | name acl-name } [ | { begin | exclude | include } regular-expression ]
顯示IPv6 ACL的配置和運行情況	display acl ipv6 { acl6-number | all | name acl6-name } [ | { begin | exclude | include } regular-expression ]
顯示時間段的配置和狀態信息	display time-range { time-range-name | all } [ | { begin | exclude | include } regular-expression ]
清除IPv4 ACL統計信息	reset acl counter { acl-number | all | name acl-name }
清除IPv6 ACL統計信息	reset acl ipv6 counter { acl6-number | all | name acl6-name }