Monthly Archives: setembro 2014

Switches HPN 5800 – Captura de pacotes

O Roque nos enviou mais uma dica interessante para os Switches HP 5800. O modelo permite a captura de pacotes no formato .pcap salvando o arquivo na memória Flash, de forma que depois copiado via TFTP para um servidor  como o  Wireshark por exemplo, o tráfego coletado poderá ser analisado.

Conforme o comando display abaixo é possível validar algumas possibilidades  (comandos de um HP 5800AF-48G com a versão do Comware 5.20.106)

<Switch>packet capture ?
acl          Specify the ACL
buffer       Packet capture buffer
buffer-size  Specify the capture buffer size
length       Specify the maximum size of entry in the buffer
mode         Specify capture mode
schedule     Schedule the capture at a specific time
start        Start to capture immediately
stop         Pause capture

Abaixo, fiz uma tradução livre do procedimento de configuração do “Configure Guide” do Switch HP 5800 em uma rede IPv4.

1. Ativando a função de captura de pacotes no Switch:
Crie a ACL 2000 permitindo pacotes com a origem 192.168.1.0/24

<Switch> system-view
[Switch] acl number 2000
[Switch-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Switch-acl-basic-2000] quit
[Switch] quit

Configure o Switch para capturar pacotes baseando-sw na ACL 2000 e então inicie a captura dos pacotes.

<Switch> packet capture start acl 2000

Vizualize o status da captura dos pacotes

<Switch> display packet capture status
Current status : In process
Mode : Linear
Buffer size : 2097152 (bytes)
Buffer used : 1880 (bytes)
Max capture length : 68 (bytes)
ACL information : Basic or advanced IPv4 ACL 2000
Schedule datetime: Unspecified
Upper limit of duration : Unspecified (seconds)
Duration : 13 (seconds)
Upper limit of packets : Unspecified
Packets count : 10
The output shows that packet capture is ongoing.

2. Salvando o resultado da captura de pacotes:
Pare a captura de pacotes.

<Switch> packet capture stop
Salvando o conteúdo do buffer na memoria flash com o nome test.pcap
<Switch> packet capture buffer save test.pcap
Visualize os arquivos da memória Flash.
<Switch> dir
Directory of flash:/
0 -rw- 1860 Sep 21 2012 12:52:58 test.pcap
1 drw- - Apr 26 2012 12:00:38 seclog
2 -rw- 10479398 Apr 26 2012 12:26:39 logfile.log

Libere os recursos do sistema após finalizar a captura de pacotes

<Switch> undo packet capture

Copie o arquivo test.pcap via servidor FTP ou TFTP e analise os pacotes através de softwares como o Wireshark.

O arquivo do configure guide poderá ser consultado aqui http://www.h3c.com/portal/download.do?id=1829771