欢迎关注:1,欢迎关注本博客,你可点击右手边的【QQ邮件订阅】订阅本博客!2,本博客推出江湖救急计划,主要为工作中遇到疑难杂症的兄弟提供远程技术支持和分析,如有需要,请在江湖救急计划页面给我留言!

Juniper/Netscreen防火墙报文处理流程

作者:易隐者 发布于:2012-6-17 12:16 Sunday 分类:参考资料

       Juniper/Netscreen防火墙是在实际环境中非常常见的防火墙品牌,其数据报文处理流程如下图所示:

点击查看原图

防火墙内部报文转发路径

点击查看原图

通过安全区域的报文处理流程

阅读全文>>

标签: 防火墙 firewall 安全 Juniper 报文 报文处理流程 Netscreen

评论(0) 引用(0) 浏览(5957)

【转】tcpdump使用手册

作者:易隐者 发布于:2012-6-16 17:35 Saturday 分类:参考资料

       Linux下使用最广泛的就是tcpdump,下面是tcpdump的使用手册:

总览 (SYNOPSIS)

tcpdump [ -adeflnNOpqStvx ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ expression ]  

描述 (DESCRIPTION)

Tcpdump显示网络接口上符合布尔表达式expression的报头.
对于SunOS的nit或 bpf 界面: 要运行tcpdump,你必须有/dev/nit或/dev/bpf*的读访问权限.
对于Solaris 的dlpi:你必须有网络仿真设备(network pseudo device), 如/dev/le的读访问权限
对于HP-UX的dlpi:你必须是 root, 或者把它安装成root的setuid程序.
对于IRIX的snoop: 你 必须是 root, 或者把它安装成root的setuid 程序. 对于Linux:你必须是root,或者把它安装成 root的setuid程序.
对于Ultrix和Digital UNIX: 一旦超级用户用pfconfig(8)开放了杂凑模式(promiscuous-mode),任何用户都可以运行tcpdump.
对于BSD: 你必须有/dev/bpf*的读访问权限.

选项 (OPTIONS)

-a
试着把网络和广播地址转换成名称.
-c
当收到count个报文后退出.
-d
把编译好的报文匹配模板 (packet-matching code) 翻译成可读形式,传往标准输出,然后退出.
-dd
把报文匹配模板(packet-matching code)以C程序片断的形式输出.
-ddd
把报文匹配模板(packet-matching code)以十进制数形式输出(前面加上总数).
-e
每行都显示链路层报头.
-f
用数字形式显示“外部的”互联网地址,而不是字符形式(这个选项用来绕开脑壳坏掉的SUN黄页服务器的问题——一般说来,它翻译外部网络数字地址的时候 会长期挂起).
-F
指定文件file的内容为过滤表达式. 忽略命令行上的表达式.
-i
监听interface接口.如果不指定接口,tcpdump在系统的接口清单中,寻找号码最小,已经配置好的接口(loopback除外).选中的时候会中断连接.
-l
行缓冲标准输出.可用于捕捉数据的同时查看数据. 例如,
``tcpdump  -l  |  tee dat'' or’`tcpdump  -l   > dat  &  tail  -f  dat''.
-n
不把 地址 转换成 名字 (如主机地址, 端口号等)
-N
不显示 主机名字 中的 域名 部分. 例如, 如果 使用 这个 选项, tcpdump 只显示’`nic'', 而不是’`nic.ddn.mil''.
-O
禁止运行 报文匹配模板 的 优化器. 当 怀疑 优化器 含有 bug 时, 这个选项 才有用.
-p
禁止 把 接口 置成 promiscuous 模式. 注意, 接口 有可能 因 其他原因而 处于 promiscuous 模式; 因此, '-p' 不能 作为’ether host {local-hw-addr} 或 ether broadcast' 的 简写.
-q
快速输出. 显示 较少的 协议信息, 输出行 将 短一点点.
-r
从 file 中 读入 数据报 (文件 是用 -w 选项 创建的). 如果 file 是’`-'', 就 读 标准输入.
-s
从每个 报文 中 截取 snaplen 字节的数据, 而不是 缺省的 68 (如果是 SunOS 的 NIT, 最小值是 96). 68 个字节 适用于 IP, ICMP, TCP 和 UDP, 但是 有可能 截掉 名字服务器 和 NFS 报文 的 协议 信息 (见下面). 输出时 如果指定’`[|proto]'', tcpdump 可以 指出 那些 捕捉量过小的 数据报, 这里的 proto 是 截断发生处 的 协议层 名称. 注意, 采用 更大的 捕捉范围 既增加了 处理 报文 的 时间, 又 相应的 减少了报文的 缓冲 数量, 可能 导致 报文的丢失. 你 应该 把 snaplen 设的尽量小, 只要 能够 容纳 你 需要 的 协议信息 就可以了.

-T
把 通过 "expression" 挑选出来的 报文 解释成 指定的 type. 目前 已知 的 类型 有: rpc (远程过程调用 Remote Procedure Call), rtp (实时应用协议 Real-Time Applications protocol), rtcp (实时应用控制协议 Real-Time Applications control protocol), vat (可视音频工具 Visual Audio Tool), 和 wb (分布式白板 distributed White Board).
-S
显示 绝对的, 而不是 相对的 TCP 序列号.
-t
禁止 显示 时戳标志.
-tt
显示 未格式化的 时戳标志.
-v
(稍微多一点) 繁琐的输出. 例如, 显示 IP 数据报 中的 生存周期 和 服务类型.
-vv
更繁琐的输出. 例如, 显示 NFS 应答报文 的 附加域.
-w
把 原始报文 存进 file, 不分析 也 不显示. 它们 可以 以后 用 -r 选项 显示. 如果 file 是’`-'', 就 写到 标准输出.

阅读全文>>

标签: TCP tcpdump UDP 抓包 Linux 报文

评论(0) 引用(0) 浏览(88868)

爱立信SE800型号的路由器端口镜像设置

作者:易隐者 发布于:2012-5-13 20:20 Sunday 分类:参考资料

该设备的总体设计比较复杂,可以通过context的方式在一个硬件路由器中虚拟出来多个路由器,即通过一台路由器即可实现复杂的网络拓扑组网试验,镜像配置数据较为复杂,模式如下:

1,配置镜像数据

-------------------------------------------------------------------------------

1)先配置镜像转发策略:

forward policy TEST 

//TEST为一个策略的名字,可随意配置,在源数据的vlan下配置时需要用到

mirror destination MIRRORPORT all ip-detagrams

//MIRROPORT是一个目的的标示,也可随意设置,在输出端口的配置时需要用到

-------------------------------------------------------------------------------

2)配置源端口的镜像数据:

port bvi vlan 1360-bvi(二层接口的方式)    | port ethernet 2/1(三层接口方式)

forward policy TEST in                    |pvc 1021

forward policy TEST  out                  |forward policy TEST inbound

                                           forward policy TEST outbound

-------------------------------------------------------------------------------

3)配置现场抓包端口的数据

port ethernet 1/1

no shutdown

forword output MIRRORPORT

-------------------------------------------------------------------------------

2,删除镜像 在配置的新数据指令前加 no 即可

阅读全文>>

标签: 端口镜像 mirror 爱立信路由器

评论(0) 引用(0) 浏览(2484)

安耐特交换机端口镜像设置

作者:易隐者 发布于:2012-5-13 20:19 Sunday 分类:参考资料

       安耐特交换机端口镜像设置实例:

交换机总共24个口,把1-23的数据包镜像到24口上
set switch port=1-23 mirror=both
set switch mirror=24
enable switch mirror

阅读全文>>

标签: 端口镜像 mirror 安耐特交换机

评论(0) 引用(0) 浏览(2262)

神州数码交换机端口镜像设置

作者:易隐者 发布于:2012-5-13 20:16 Sunday 分类:参考资料

神码3526S/3926S

指定镜像源端口:
Switch(Config)#monitor  session  1 source interface e  1,2-4  0/0/2-4 tx
Switch(Config)#monitor session <session>  source interface e 端口列表 {tx,rx,both} rx为镜像源端口接收的流量;tx为镜像从源端口发出的流量;both为源端口入和出的流量。
指定镜像目的端口;
Switch(Config)# monitor session 1 destination interface eth 25 0/0/25为3926端口
Switch(Config)#monitor session <session> destination interface <interface-number>

其他配置型号端口镜像

命令: [no] mirror-port ethernet <portnum>
功能: 激活镜像端口
命令模式: 特权配置模式
参数: <portnum>为镜像端口的端口号
命令: [no] monitor ethernet <portnum> [ethernet <portnum>...] both | in | out
功能: 激活被镜像的端口的镜像功能
命令模式: 端口配置模式
参数: <portnum>为镜像端口端口号;both | in | out分别代表双向流量,输入流量,输出流量
举例一:
DCRS-7500(config)# mirror-port ethernet 4/1
DCRS-7500(config)# interface ethernet 4/3
DCRS-7500(config-if-4/3)# monitor ethernet 4/1 both
上述命令将端口4/3上的双向流量镜像到端口4/1,用户可以在端口4/1外接协议分析仪来查看端口4/3的流量信息。
举例二:
DCRS-7500(config)# interface ethernet 1/2
DCRS-7500(config-if-1/2)# monitor ethernet 1/1 in
DCRS-7500(config-if-1/2)# interface ethernet 1/3
DCRS-7500(config-if-1/3)# monitor ethernet 1/1 in
DCRS-7500(config-if-1/3)# interface ethernet 1/4
DCRS-7500(config-if-1/4)# monitor ethernet 1/1 in
上述命令把端口1/2,1/3和1/4的输入流量镜像到端口1/1。

镜像链路聚合组中的单独端口

默认状态下,当镜像链路聚合组中的主端口时,链路聚合组中的所有端口的流量都被镜像到镜像端口。用户可以配置只镜像链路聚合组中的单独端口。
命令: [no] monitor ethe-port-monitored <portnum> | named-port-monitored <portname>
ethernet <portnum> in | out | both
功能: 镜像链路聚合组中的单独端口
命令模式: 链路聚合配置模式
参数: ethe-port-monitored <portnum> | named-port-monitored <portname>参数指定了链路聚合组中被镜像的端口,ethe-port-monitored <portnum>指定被镜像的端口号码,named-portmonitored <portname>指定被镜像的端口名称;ethernet | <portnum>指定镜像端口号码,这个端口外接协议分析仪;both | in | out分别代表双向流量,输入流量,输出流量
举例:
DCRS-7500(config)# mirror ethernet 2/1
DCRS-7500(config)# trunk switch ethernet 4/1 to 4/8
DCRS-7500(config-trunk-4/1-4/8)# monitor ethe-port-monitored 4/5 ethernet 2/1 in
上述命令设置端口2/1镜像链路聚合组中端口4/5的输入流量。
命令: [no] config-primary-ind
功能: 镜像链路聚合组中的主端口
命令模式: 链路聚合配置模式
举例:
DCRS-7500(config)# mirror ethernet 2/1
DCRS-7500(config)# trunk switch ethernet 4/1 to 4/8
DCRS-7500(config-trunk-4/1-4/8)# config-primary-ind
DCRS-7500(config-trunk-4/1-4/8)# monitor ethe-port-monitored 4/1 ethernet 2/1 out
上述命令设置端口2/1镜像链路聚合组中主端口4/1的输出流量。
显示端口镜像配置

命令: show monitor
功能: 显示端口镜像配置
命令模式: 全局配置模式
举例:
DCRS-7500(config)# show monitor
Mirror Interface: ethernet 4/1
Monitored Interfaces:
Both Input Output
---------------------------------------------------
ethernet 4/3

阅读全文>>

标签: 端口镜像 神州数码交换机

评论(0) 引用(0) 浏览(3092)

Powered by 易隐者 基于emlog 皖ICP备12002343号-1