【NGFW】【管理】如何开启tcpdump(抓包)

刘平发表于:2020年09月02日 16:52:48更新于:2020年09月03日 16:41:18

适配版本


产品:网神NGFW

版本:6.1.1~6.1.8

平台:平台无关


内容


网神NGFW在遇到网络故障时,通常需要通过抓包进行分析,以下内容为CLI下抓包方式:

1.接口下开启tcpdump(预配置)

抓包之前需要先开启tcpdump功能,命令如下。

andes1> conf ter

andes1-config]

andes1-config] tcpdump enable             //开启是全局生效,也可以到特定物理接口视图下单独开启该接口抓包功能

 andes1> show tcpdump

Name      Rx        Tx       

ge1       enable    enable   

ge2       enable    enable   

ge3       enable    enable   

andes1>

andes1> conf ter

andes1-config] tcpdump disable //关闭也是全局生效

andes1-config] exit

andes1> show tcpdump

Name      Rx        Tx       

ge1       disable   disable  

ge2       disable   disable  

ge3       disable   disable  

2.执行抓包

cli下tcpdump抓包只支持两种过滤条件,命令分别如下:

2.1.抓取单个接口所有报文:

andes1-exec] tcpdump to pcap interface ge3 proto any sip any dip any sport any dport any// 抓取ge3接口所有报文

tcpdump: WARNING: x2ge3: no IPv4 address assigned

tcpdump: listening on x2ge3, link-type EN10MB (Ethernet), capture size 65535 bytes

10000 packets captured//最大支持抓取10000个报文,和WEB抓包数量一致

2.2.抓取单个接口某IP地址的单向报文,源或者目的:

andes1-exec] tcpdump to pcap interface ge3 proto any sip 172.24.30.152 dip any sport any dport 21 //抓取ge3口源地址172.24.30.152到任意目的地址且目的端口是21的报文,此报文是单向的


3.导出抓包

andes1-exec] export tcpdump pcap-file to local //将抓包文件导出到电脑本地


需要注意的是tcpdump抓包同时只能有一个抓包任务,抓包结束之后及时导出抓包文件因为系统只保存最后一个抓包文件。文件名称是“cli_tcpdump” 



注:NGFW自6.1.9版本开始支持WebUi下的抓包。