参考资料 - 蚂蚁网-多维人生，三实而立！

欢迎关注:1，欢迎关注本博客，你可点击右手边的【QQ邮件订阅】订阅本博客！2，本博客推出江湖救急计划，主要为工作中遇到疑难杂症的兄弟提供远程技术支持和分析，如有需要，请在江湖救急计划页面给我留言！

F5负载均衡报文处理流程

作者：易隐者发布于：2012-11-17 11:59 Saturday 分类：参考资料

F5负载均衡报文处理流程，由于版面较大，我无法截取全图，大家如有需要的请下载附件。

阅读全文>>

附件下载：
F5_BigIP_Path_Graph_v1_5d.zip 502KB

标签: 负载均衡 F5 报文处理流程 BIG-IP

评论(0) 引用(0) 浏览(8295)

TCP/IP 数据包处理路径

作者：易隐者发布于：2012-11-13 16:09 Tuesday 分类：参考资料

简介

随着 Microsoft® Windows® XP Service Pack 2 和 Windows Server™ 2003 Service Pack 1 新增了 Windows 防火墙，以及 Internet 协议安全 (IPsec) 在公司 Intranet 中日益广泛的应用，信息技术 (IT) 专业人士需要了解 TCP/IP 协议及 Windows 中的相关组件处理单播 Internet 协议 (IP) 数据包的具体方式。有关 IP 数据包处理路径的详细知识，可以让您更轻松地掌握配置数据包处理和筛选组件，以及进行相关疑难解答的具体方法。

本文所介绍的内容如下：

• 用于 IP 版本 4 的 TCP/IP 协议的基本体系结构以及其它一些用于处理数据包的组件。
• 基于 Windows 的计算机所发送、接收和转发的单播流量的数据包处理路径。

注意：为了简要起见，本文将不讨论多播、广播、分段或隧道数据包。

用于数据包处理的 TCP/IP 体系结构

下图为 TCP/IP 协议驱动程序 (Tcpip.sys) 及其用于在 Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 中处理 IP 数据包的相关组件的简要示意图。

下列组件可处理 IP 数据包：

• IP 转发 为发送或转发的数据包确定下一跃点接口和地址。
• TCP/IP 筛选 允许按 IP 协议、TCP 端口或 UDP 端口，指定可为传入的本地主机流量（发往主机的数据包）所接受的流量类型。可以在“网络连接”文件夹中，从 Internet 协议 (TCP/IP) 组件高级属性的“选项”选项卡，配置 TCP/IP 筛选。
• 筛选器挂钩驱动程序 该 Windows 组件可使用筛选器挂钩 API，筛选传入和传出的 IP 数据包。在运行 Windows Server 2003 的计算机上，筛选器挂钩驱动程序为 Ipfltdrv.sys，属于“路由和远程访问”的一个组件。启用后，“路由和远程访问”允许用户使用路由和远程访问管理单元，对每个接口配置单独的入站和出站 IP 数据包筛选器。Ipfltdrv.sys 会同时检查本地主机和中转 IP 流量（不发往主机的数据包）。
• 防火墙挂钩驱动程序 该 Windows 组件可使用防火墙挂钩 API，检查传入和传出的数据包。在运行 Windows XP 的计算机上，防火墙挂钩驱动程序为 Ipnat.sys，由 Internet 连接共享和 Windows 防火墙双方共享。Internet 连接共享是一种基础网络地址转换器 (NAT)。Windows 防火墙是一种基于主机的状态防火墙。Ipnat.sys 可同时检查本地主机和中转 IP 流量。在运行 Windows Server 2003 的计算机上，Ipnat.sys 由 Internet 连接共享、Windows 防火墙和路由和远程访问的 NAT/基本防火墙组件三方共享。如果启用了路由和远程访问的 NAT/基本防火墙组件，就不能再启用 Windows 防火墙或 Internet 连接共享了。
• IPsec IPsec 组件——Ipsec.sys——是 IPsec 在 Windows 中的实现，可对 IP 流量提供加密保护。Ipsec.sys 可同时检查本地主机和中转 IP 流量，并可允许、阻止或保护流量。

数据包处理路径

下面几节介绍了针对以下流量的具体的数据包处理路径：
• 源流量 由基于 Windows 的发送主机发起。
• 目标流量 达到最终的基于 Windows 的目标主机。
• 中转流量 由基于 Windows 的 IP 路由器转发。
这里只讨论 Windows Server 2003 或 Windows XP 所附带的组件，不涉及 Windows 套接字分层服务提供程序或 NDIS 中间微型端口驱动程序。

源流量

源流量的数据包处理路径如下图所示。

1. IP 数据包形成后，Tcpip.sys 就会将其传递给防火墙挂钩驱动程序 (Ipnat.sys) 进行处理。

        Windows 防火墙检查该流量是否属于所要阻止的特定的 Internet 控制消息协议 (ICMP) 消息类型。如果 ICMP 消息被阻止，Windows 防火墙就将丢弃该数据包。
       Windows 防火墙检查该流量是否属于点对点隧道协议 (PPTP) 隧道维护流量。如果属于的话，Windows 防火墙将分析该流量，确定用于识别特定 PPTP 隧道的通用路由封装 (GRE) 调用 ID，从而允许 PPTP 隧道的基于 GRE 的传入流量。
       如果需要，Windows 防火墙会在例外列表中添加一个动态项目，来允许响应流量。
       处理完后，Ipnat.sys 会将该 IP 数据包传回给 Tcpip.sys，而后者会使用 IP 转发组件，确定下一跃点 IP 地址和接口。有关详细信息，请参阅认识 IP 路由表。

2. Tcpip.sys 将数据包传递给筛选器挂钩驱动程序 (Ipfltdrv.sys) 进行处理。

Ipfltdrv.sys 根据下一跃点接口，将该数据包与已配置的出站 IP 数据包筛选器进行对比。
若出站 IP 数据包筛选器不允许该数据包，Ipfltdrv.sys 就会在不给出提示的情况下，丢弃该数据包。若出站 IP 数据包筛选器允许该数据包，Ipfltdrv.sys 就会将该数据包传回给 Tcpip.sys。

3. Tcpip.sys 将该数据包传递给 Ipsec.sys 进行处理。

Ipsec.sys 根据 IPsec 筛选器组，决定是否允许、阻止或保护该数据包。若允许的话，Ipsec.sys 会在不修改该数据包的情况下，将其发回给 Tcpip.sys。若阻止的话，Ipsec.sys 会在不发出任何提示的情况下，丢弃该数据包。若要进行保护的话，Ipsec.sys 会在将数据包传回给 Tcpip.sys 之前，对其添加适当的 IPsec保护。Tcpip.sys 随后会通过下一跃点接口，将该数据包发送到下一跃点 IP 地址。

目标流量

目标流量的数据包处理路径如下图所示。

1. 接收到 IP 数据包后，Tcpip.sys 会将其传递给 Ipsec.sys 进行处理。

若数据包带有 IPsec 保护（指示验证头 [AH] 或封装式安全措施负载 [ESP] 的 IP 协议字段值），将对其进行处理并加以移除。若对计算机应用了“Windows 防火墙：允许已验证的 IPSec 跳过”组策略设置，Ipsec.sys 将设置一个与该数据包相关联的 IPsec Bypass 标记。Ipsec.sys 将结果数据包传回给 Tcpip.sys。
若数据包不带有 IPsec 保护，Ipsec.sys 就会根据 IPsec 筛选器组，决定是否允许、阻止或保护该数据包。若允许的话，Ipsec.sys 会在不修改该数据包的情况下，将其发回给 Tcpip.sys。若数据包被阻止或需要保护，Ipsec.sys 就会在不发出任何提示的情况下，丢弃该数据包。

2. Tcpip.sys 将该数据包传递给 Ipfltdrv.sys 进行处理。

Ipfltdrv.sys 根据接收数据包的接口，将该数据包与已配置的入站 IP 数据包筛选器进行对比。若入站 IP 数据包筛选器不允许该数据包，Ipfltdrv.sys 就会在不给出提示的情况下，丢弃该数据包。若入站 IP 数据包筛选器允许该数据包，Ipfltdrv.sys 就会将该数据包传回给 Tcpip.sys。

3. Tcpip.sys 将该数据包传递给 Ipnat.sys 进行处理。

       若启用了 Internet 连接共享或 NAT/基本防火墙，并且接收数据包的接口是连接到 Internet 的公共接口，Ipnat.sys 就会将该数据包与其 NAT 转换表进行对比。若找到了匹配项，就将转换该 IP 数据包，并将结果数据包视为源流量。
       Windows 防火墙检查与该数据包相关联的 IPsec Bypass 标记。若设置了 IPsec Bypass 标记，Windows 防火墙就会将该数据包传回给 Tcpip.sys。
       若未设置 IPsec Bypass 标记，Windows 防火墙就会将该数据包与其例外列表进行对比。若数据包与某个例外匹配，Ipnat.sys 就会将该 IP 数据包传回给 Tcpip.sys。若不匹配，Ipnat.sys 会在不发出提示的情况下，丢弃该 IP 数据包。

4. Tcpip.sys 将 IP 数据包与已配置的 TCP/IP 筛选允许的那组数据包进行对比。

若 TCP/IP 筛选不允许该数据包，Tcpip.sys 将在不发出提示的情况下，丢弃该数据包。若 TCP/IP 筛选允许该数据包，Tcpip.sys 将继续对其进行处理，并最终将该数据包有效负载传递给 TCP、UDP 或其它上层协议。

中转流量

中转流量的前半部分路径如下图所示。

1. 接收到 IP 数据包后，Tcpip.sys 会将其传递给 Ipfltdrv.sys 进行处理。

Ipfltdrv.sys 根据接收 IP 数据包的接口，将该数据包与已配置的入站 IP 数据包筛选器进行对比。
若入站 IP 数据包筛选器不允许该数据包，Ipfltdrv.sys 就会在不给出提示的情况下，丢弃该 IP 数据包。若入站 IP 数据包筛选器允许该数据包，Ipfltdrv.sys 就会将该 IP 数据包传回给 Tcpip.sys。Tcpip.sys 将数据包传递给 IP 转发组件，由后者确定用于转发该数据包的下一跃点接口和地址。

中转流量的后半部分路径如下图所示。

2. Tcpip.sys 将该数据包传递给 Ipnat.sys。

若启用了 Internet 连接共享或 NAT/基本防火墙，并且接收数据包的接口是连接到 Intranet 的专用接口，Ipnat.sys 就会将该数据包与其 NAT 转换表进行对比。若 Internet 连接共享或 NAT/基本防火墙找到了匹配项，将转换该 IP 数据包，并将结果数据包当作源流量。若 Internet 连接共享或 NAT/基本防火墙未找到匹配项，将创建一个新的 NAT 转换表项，转换 IP 数据包，并将结果数据包当作源流量。若未启用 Internet 连接共享，Ipnat.sys 就会将 IP 数据包传回给 Tcpip.sys。

3. Tcpip.sys 将该数据包传递给 Ipfltdrv.sys。

Ipfltdrv.sys 根据下一跃点接口，将该数据包与已配置的出站 IP 数据包筛选器进行对比。若出站 IP 数据包筛选器不允许该数据包，Ipfltdrv.sys 就会在不给出提示的情况下，丢弃该 IP 数据包。若出站 IP 数据包筛选器允许该数据包，Ipfltdrv.sys 就会将该 IP 数据包传回给 Tcpip.sys。

4. Tcpip.sys 将该数据包传递给 Ipsec.sys 进行处理。

Ipsec.sys 根据 IPsec 筛选器组，决定是否允许、阻止或保护该数据包。若允许的话，Ipsec.sys 会在不修改该数据包的情况下，将其发回给 Tcpip.sys。若阻止的话，Ipsec.sys 会在不发出任何提示的情况下，丢弃该数据包。若要进行保护的话，Ipsec.sys 会在将数据包传回给 Tcpip.sys 之前，对其添加适当的 IPsec保护。
Tcpip.sys 随后会通过下一跃点接口，将该 IP 数据包发送到下一跃点地址。

对于运行 Windows XP SP2 或 Windows Server 2003 SP1 并采取常规配置的客户端或服务器计算机（不充当路由器或 NAT，并禁用了 TCP/IP 筛选），源流量的数据包处理路径涉及以下组件：
1. Windows 防火墙
2. IPsec
对于上述采用常规配置的基于 Windows 的计算机来说，目标流量的数据包处理路径涉及以下组件：
1. IPsec
2. Windows 防火墙

若使用了 IPsec，并启用了 Windows 防火墙，那么可能需要配置这两个组件，以允许想要的流量。譬如，要是您正在配置一台 Web 服务器，并使用 IPsec 保护发往该服务器的 Web 流量，就必须配置以下项目：
1. 一个 IPsec 规则（要求发往和发自该服务器的 IP 地址和 TCP 端口 80 的安全性）。
2. 一个 TCP 端口 80 的 Windows 防火墙例外。
该 IPsec 规则可确保发往 Web 服务器服务的流量受到保护。该 Windows 防火墙例外可确保 Windows 防火墙不会丢弃未经请求的传入请求，来通过 TCP 端口 80 创建到 Web 服务器的连接。由于 IPsec 和 Windows 防火墙都作为单独的组件处理 IP 数据包，因此必须同时配置这两个组件。要是不想让 Windows 防火墙处理受 IPsec 保护的数据包，请配置“Windows 防火墙：允许已验证的 IPSec 跳过”组策略设置。有关详细信息，请参阅对 Microsoft Windows XP Service Pack 2 部署 Windows 防火墙设置。

阅读全文>>

标签: TCP 防火墙安全 IPS UDP NAT TCP/IP API IPsec Windows 数据包数据包处理路径路由转发 IP转发

评论(0) 引用(0) 浏览(110394)

Juniper IVE设备抓包方法

作者：易隐者发布于：2012-10-19 10:31 Friday 分类：参考资料

Juniper IVE VPN设备具有自带的抓包功能，在管理员登录上管理平台之后，在IVE设备管理界面的“Maintenance > Troubleshooting > Tools > TCP Dump”中可以看到相关的抓包设置选项，如下图所示：

这里的抓包设置选项都很简单，大家一看基本上都能明白，需要说明的是，这里的“Filter”设置选项，可以使用tcpdump的过滤语句对所需要捕获的报文进行过滤。

在点击“Start Sniffing”开启“TCP Dump” 抓包，在等待故障出现之后，可再次通过“Maintenance > Troubleshooting > Tools > TCP Dump”界面，点击“Stop Sniffing”，停止抓包，如下图所示：

在停止抓包之后，IVE会将捕获的数据报文保存为一个抓包文件，显示在“Dump file”界面下，如下图所示：

IVE保存的数据包文件提供三种格式文件的下载，分别为：Raw、SSL Dump、Human Readable（一般我们下载默认的“Raw”格式，因为Raw格式可以使用wireshark直接打开分析），我们点击“Get”，下载RAW格式的文件即可。

阅读全文>>

标签: TCP wireshark tcpdump 故障抓包 Juniper IVE troubleshooting

评论(0) 引用(0) 浏览(12076)

F5负载均衡抓包方法

作者：易隐者发布于：2012-10-17 12:48 Wednesday 分类：参考资料

登录F5

1，超级终端的登录：
通过Console电缆一端连接BIGIP，一端连接PC机的串口，然后打开超级终端，建立一个连接，超级终端中COM的参数设置如图：

不论是从Console口登陆，还是用SSH从网络登陆，BIG-IP的缺省登陆帐号与密码如下：
缺省登陆帐号：root
缺省登陆密码：default
输入帐号和密码后，将见到以下界面：

缺省的终端类型为vt100，回车后如图：

F5下的tcpdump的使用

1，web管理界面下的抓包
Tcpdump 工具在V4.5 之前只能在CLI 下使用，V9 提供了图形界面下的Tcpdump，在 System->support 界面下，我们可以直接使用tcpdump 工具：

2，F5命令行下Tcpdump的使用示例：
当业务无法正常工作时，经常需要在BIG-IP上抓包进行分析定位是什么原因导致数据包没有被常转发。BIG-IP上提供了TCPDUMP抓包分析工具。
TCPDUMP是Unix系统常用的报文分析工具，TCPDUMP经常用于故障定位，如会话保持失效、SNAT通信问题等。本文讲述TCPDUMP命令的基本用法，更详细的使用说明请参见“man tcpdump”。
命令语法：
       tcpdump [ -adeflnNOpqRStvxX ] [ -c count ] [ -F file ]
               [ -i interface ] [ -m module ] [ -r file ]
               [ -s snaplen ] [ -T type ] [ -w file ]
               [ -E algo:secret ] [ expression ]
其中：
 -i 报文捕获监听的接口，如果不指定，默认为系统最小编号的接口（不包括loop-back接口），一般对指定Vlan名称进行监控，如-i external 是对external vlan进行监控；也可以对指定端口进行监控如 –i 1.1。注意：当vlan 名称过长时，-i后面直接用vlan名称，tcpdump会出现错误提示，这时需要将vlan名改由vlan加vlan ID代替。如有一vlan名称为bip_external，vlan ID为2022，如要对bip_external vlan进行监听，需采用-i vlan2022的方式。
 -nn 不将IP地址或端口号转化为域名或协议名称
注：与BIG-IP 4.5版本的TCPDUMP命令不一样，在BIG-IP V9里面必须用两个nn才能使IP地址与端口不会被转化为域名或协议名称显示。
 -r 从文件中读取（该文件由-w选项创建）
 -s 确定捕获报文大小
 -w 直接将捕获报文写入文件，而不是对其进行解析并通过屏幕显示（与-r选项对应）
注：如果要将TCPDUMP所抓的包保存到文件，建议采用-s1600 –w /var/tmp/filename的方式，-s1600可以保证抓取完整的数据包，而/var/tmp使抓包文件保存在/var/tmp目录。

 -x 每个报文以十六进制方式显示
 -X 每个报文同时以文本和十六进制显示
 expression 匹配表达式的分组将进行解析。如果不指定表达式，系统对所有分组进行捕获分析。复杂表达式可以使用“and”与、“or”或以及“not”非操作进行组合。表达式有三种：
 type  三种种类：host、net和port。比如：host 10.1.1.1。如果不指定类型，默认为host。
 dir  有src、dst、 src or dst和src and dst四种方向。默认为src or dst，即双向。
 proto 常见协议有：ip、arp、tcp、udp、icmp等。如果不指定协议类型，默认为所有协议。
举例1：对external接口主机139.212.96.2并且端口为1433的流量进行监控。端口不指定tcp和udp，默认为同时对tcp和udp进行报文捕获。本命令不解析IP地址/端口号为主机名/服务名称，同时显示报文十二进制和文本信息，报文最大为1500字节。
f5-1:~# tcpdump -i external -nn -X -s 1600 port 1433 and host 139.212.96.2
tcpdump: listening on external
21:48:41.295546 139.212.96.2.1201 > 10.75.9.44.1433: . 302192826:302192827(1) ac
k 558871968 win 64360 (DF)
0x0000   012c 0800 4500 0029 38cf 4000 7f06 c3b2        .，..E..)8.@.....
0x0010   8bd4 6002 0a4b 092c 04b1 0599 1203 18ba        ..`..K.，........
0x0020   214f b5a0 5010 fb68 a926 0000 00               !O..P..h.&...
21:48:41.296015 10.75.9.44.1433 > 139.212.96.2.1201: . ack 1 win 64636 (DF)
0x0000   012c 0800 4500 0028 cb2d 4000 7f06 3155        .，..E..(.-@...1U
0x0010   0a4b 092c 8bd4 6002 0599 04b1 214f b5a0        .K.，..`.....!O..
0x0020   1203 18bb 5010 fc7c a812 0000 0000 0000        ....P..|........
0x0030   0000                                           ..
21:48:50.701130 139.212.96.2.1206 > 10.75.9.44.1433: . 304974934:304974935(1) ac
k 565108263 win 64882 (DF)
0x0000   012c 0800 4500 0029 38f7 4000 7f06 c38a        .，..E..)8.@.....
0x0010   8bd4 6002 0a4b 092c 04b6 0599 122d 8c56        ..`..K.，.....-.V
0x0020   21ae de27 5010 fd72 0a6b 0000 00               !..'P..r.k...
21:48:50.702567 10.75.9.44.1433 > 139.212.96.2.1206: . ack 1 win 65267 (DF)
0x0000   012c 0800 4500 0028 d3a6 4000 7f06 28dc        .，..E..(..@...(.
0x0010   0a4b 092c 8bd4 6002 0599 04b6 21ae de27        .K.，..`.....!..'
0x0020   122d 8c57 5010 fef3 08ea 0000 0000 0000        .-.WP...........
0x0030   0000                                           ..

举例2：对internal接口主机172.31.230.53和172.31.230.51之间端口8080的流量进行分组捕获。本命令不解析IP地址/端口号为主机名/服务名称，报文最大为1600字节，捕获信息以“/var/tmp/intdump”文件保存：
tcpdump -s 1600 -i internal -w /var/tmp/intdump　 host 172.31.230.53 and host 172.31.230.51 and port 8080
如果查看该捕获文件，请用tcpdump –r /var/tmp/intdump命令。也可以将捕获的文件下载下来用Ethereal工具解包分析。
Tcpdump的具体使用语法参见tcpdump使用手册

F5命令行下使用tcpdump的常见问题

1，对某一Virtual Server用TCPDUMP命令无法抓到包如何处理？
可能是该Virtual Server的属性中选用了Performance Layer4类型，导致数据包由四层加层ASIC芯片处理而没有流经CPU引起，碰到这种情况，选取该Virtual Server将type由Performance Layer4临时改为Standard再来用TCPDUMP命令抓包，抓包以后，改回到Performance Layer4。
2，TCPDUMP出现“truncated-ip - 1215 bytes missing!”信息是不是说明网络上有丢包？
在BIG-IP V9里面出现”Truncated-IP xxxx bytes missing”信息，一般来说并不是网络上有丢包引起的，而是在执行TCPDUMP命令时没有加上 –s0或-s1600参数时，而数据包大小超过TCPDUMP缺省的抓包大小（如果不加-s0或-s1600参数，则缺省的每个数据包只抓前面400byes），就会出现truncated-ip的情况。出现这种情况，只需要重新输入tcpdump命令，加上-s0或-s1600即可。
3，TCPDUMP 命令中的-i interface中的interface用VLAN名称（如external或internal）与接口编号（1.1或2.1）有什么区别？
如果采用VLAN名称作为-i的参数，TCPDUMP收集的数据包是经由内部接口到达TMM进程经由中央CPU处理的数据包。
采用VLAN名称作为-i参数的局限性在于，由于PVA四层加速芯片时位于BIG-IP的交换板(Swithboard)上，并不需要经由主机板与交换机板的内部接口到达中央CPU，因此TCPDUMP无法抓取这些四层加速的数据包。
因此采用VLAN名称作为-i的参数一般是用于对采用Standard作为Virtual Server类型的应用抓包时采用。

注：如果Virtual Server是用PVA四层加速芯片作加速处理，则在Virtual Server的属性中PVA Acceleration显示为Full。
（The PVA handles accelerated traffic in the following order:
• The PVA receives accelerated traffic from the switch subsystem
• The PVA transforms the packet in order to redirect the packet to the appropriate pool member
• The PVA sends the packet back to the switch subsystem
Fully accelerated traffic never reaches the internal trunk and is not processed by TMM. ）
如果采用接口编号作为-i的参数，则进出该接口的数据包将先被镜像给SCCP(SCCP是BIG-IP的管理子系统)，然后送到主机板上通过TCPDUMP抓包。由于是直接镜像了端口，因此经由四层加速芯处理的数据包也能被TCPDUMP获取。
采用接口编号作为-i的参数的局限性在于，由于数据包是经由SCCP（管理子系统）转发给主机板，数据包的处理速度有限，每秒只能处理200个数据包。因此采用接口编号作为-i的参数一般是用于做基本网络故障诊断时。
（When tcpdump is run on an interface， the packet is copied on switch ingress to the SCCP， which then sends it to the host to be captured by tcpdump.
Limitations
Running tcpdump on a switch interface is rate-limited to 200 packets per second. Therefore， if you run tcpdump on an interface that is processing more than 200 packets per second， the captured tcpdump file will not include all of the packets.
For example， the following command will capture PVA accelerated traffic， but the syntax will result in a rate limit of 200 packets per second。）
注：对于采用了PVA四层加速芯片加速处理的Virtual，而且网络流量又比较大时，如果需要进行抓包分析，建议在上一级交换机作端口镜像，将网络流量输出到外部的抓包主机上处理。

4，TCPDUMP 命令中出现“pcap_loop: Error: Interface packet capture busy”错误信息？
同时执行多个TCPDUMP，出现“pcap_loop: Error: Interface packet capture busy”错误，例如：
[root@bigip1:Active] config # tcpdump: listening on 1.1
[root@bigip1:Active] config # tcpdump -ni 1.3 -s 1600 -X -w/var/tmp/v741-E13.dmp port 22 &
[3] 6813
tcpdump: listening on 1.3
[root@bigip1:Active] config # tcpdump -ni 1.4 -s 1600 -X -w/var/tmp/v742-E14.dmp port 22 &
[4] 6820
tcpdump: listening on 1.4
[root@bigip1:Active] config # tcpdump: pcap_loop: Error: Interface packet capture busy
tcpdump: pcap_loop: Error: Interface packet capture busy
这种情况一般只发生在TCPDUMP -i参数采用接口编号时。原因主要在于当采用接口编号作为-i参数时，是通过BIG-IP的二层芯片将该接口的数据包镜像到中央CPU作处理。而BIG-IP的二层芯片的接口镜像功能不支持多个接口同时镜像，因此如果同时执行多个用接口名称作-i参数的TCPDUMP命令，就会出现Interface packet capture busy的信息。
注：对于采用VLAN名称作为TCPDUMP –i参数，则不存在这个问题，可以支持对多个VLAN同时执行TCPDUMP抓包命令。
(Currently only one tcpdump session is possible at a time on a switch interface (tcpdump on vlan alllows multiple sessons). This is due to a limitation of the Broadcom SDK， but we may be able to extend the SDK to support multiple sessions.
The root difficulty here is that mirrored packets don't carry a note saying "this is where I came from." In a Broadcom switch fabric we can mirror from multiple ports， and all the packets will funnel to the host -- but we don't know which tcpdump session to route them to. One idea involves a layer 2 lookup on each packet performed by the bcm56xx daemon on the sccp.　This would be intense so we continue to have this limitation.)