在H3C S5500中抓包
网络设备大多没有提供正儿八经的抓包工具,一般都建议通过端口镜像方式,将可疑端口的流量倾泻到监控端口,由PC来完成抓包动作。
然而,这种方式并不适用于远程维护的情况,网络工程师更倾向于能在交换机上看见流经的数据包。那如何在H3C S5500上抓包呢,可以采用曲线救国的办法:利用ACL的统计功能。
rule20和rule100末尾包含了命中改rule的次数。每一个数据包经过ACL的时候,假如命中某一条rule,该rule的matched time就会+1,所以只要rule写得足够精确、并应用到恰当的端口上,就可以被用来当作抓包工具。
这里有个小技巧:rule 100 permit ip
,该rule允许所有的数据包通过,这是为了避免影响正常的业务。