网络设备大多没有提供正儿八经的抓包工具,一般都建议通过端口镜像方式,将可疑端口的流量倾泻到监控端口,由PC来完成抓包动作。

然而,这种方式并不适用于远程维护的情况,网络工程师更倾向于能在交换机上看见流经的数据包。那如何在H3C S5500上抓包呢,可以采用曲线救国的办法:利用ACL的统计功能。

[sw_SERVER]dis acl 3001
Advanced ACL  3001, named DebugACL, 3 rules,
"debugging acl"
Statistics is enabled
ACL's step is 5
 rule 10 permit icmp source 10.0.1.0 0.0.0.255 destination 10.168.2.0 0.0.0.255
 rule 20 permit tcp destination 10.168.2.0 0.0.0.255 destination-port eq www (5 times matched)
 rule 100 permit ip (35 times matched)

rule20和rule100末尾包含了命中改rule的次数。每一个数据包经过ACL的时候,假如命中某一条rule,该rule的matched time就会+1,所以只要rule写得足够精确、并应用到恰当的端口上,就可以被用来当作抓包工具。

这里有个小技巧: rule 100 permit ip,该rule允许所有的数据包通过,这是为了避免影响正常的业务。