Skip to main content

 

Cisco Meraki Documentation

数据包捕获概述

  1. Last updated
  2. Save as PDF

To view this article in English, click here.

 

数据包捕获实用程序可用于观察通过思科 Meraki 设备的实时网络流量。由于捕获可提供网络流量的实时快照,因此它们在诊断网络问题和故障排除方面非常有帮助。本文概述如何在“控制面板”中执行远程数据包捕获。

Greenshot 2017-07-20 08.59.11.png

捕获完成后,数据仅能通过选定的输出进行访问。为了保护隐私和安全,我们在 Meraki 云中存储数据包捕获数据。

在每种产品上执行捕获

您可以在网络范围 > 监控 > 数据包捕获下使用数据包捕获工具。然后系统会另外显示一个下拉菜单,您可以从中选择在哪种设备上执行捕获:

Greenshot 2017-07-20 08.59.23.png

以下部分将介绍每种产品的捕获实用程序的具体捕获选项。

MR - 无线接入点

MR 提供以下数据包捕获选项:

  • 无线接入点:选择在其上运行捕获的一个或多个 MR。
  • 捕获类型:选择在其上运行捕获的接口;可以是有线或无线接口。
  • 输出:选择显示捕获的方式;可查看输出或下载 .pcap。
  • 忽略:可选择忽略捕获广播/组播流量。
  • 过滤器表达式:应用捕获过滤器。

MR 允许通过其有线或无线接口执行数据包捕获。当客户端无法连接到无线接入点时,通过无线接口执行捕获有助于对连接问题进行故障排除。通过有线接口执行捕获可提供有关无线接入点与局域网交互情况的见解。

MS - 交换机

MS 提供以下数据包捕获选项:

  • 交换机:选择在其上运行捕获的交换机。
  • 端口:选择在其上运行捕获的端口。
  • 输出:选择显示捕获的方式;可查看输出或下载 .pcap。
  • 冗长:选择数据包捕获的级别(仅在查看直接传至到“控制面板”的输出时可用)。
  • 忽略:可选择忽略捕获广播/组播流量。
  • 过滤器表达式:应用捕获过滤器。

MS 交换机一次能够在一个或多个端口上运行数据包捕获。端口镜像还可以用于持续时间较长的捕获。请参阅此链接,,了解端口镜像配置。

除了 60 秒的捕获时间上限之外,目前没有捕获大小限制。实时数据直接从交换机源接口流传输到用户的浏览器会话(通过 HTTPS、443)。如果捕获的流量超过网络连接允许的流量,捕获可能不完整。在这种情况下,建议使用端口镜像(交换端口分析器)。

MX/Z1 - 设备

MX 或 Z1 提供以下数据包捕获选项:

  • 设备:在其上运行捕获的设备。
  • 接口:选择在其上运行捕获的接口;接口名称将因设备配置而异。
  • 输出:选择显示捕获的方式;可查看输出或下载 .pcap。
  • 冗长:选择数据包捕获的级别(仅在查看直接传至到“控制面板”的输出时可用)。
  • 忽略:可选择忽略捕获广播/组播流量。
  • 过滤器表达式:应用捕获过滤器。

用户可使用 MX 在多个不同的接口上运行捕获。在站点到站点 VPN 接口上运行捕获将包含所有 Meraki 站点到站点 VPN 流量(这不会会包含第三方 VPN 流量)。

捕获选项

在选择捕获哪些数据包和通过哪个端口运行捕获时,控制面板为用户提供多个选项。您还可以选择查看捕获以审查数据的方式。

注意:在执行数据包捕获时,建议使用“输出 >; 下载 .pcap 文件(适用于 Wireshark)”选项,并在 Wireshark 中打开由此产生的原始捕获。使用此选项时,“冗长”选项不可用,因为捕获的是所有流量/信息。

通过 Web 浏览器查看输出

如果您选择“查看以下输出”,系统会显示有关所选接口上入口/出口数据包的基本数据。如果需要详细信息,应选择其他输出类型。

Screen Shot 2015-08-20 at 1.44.31 PM.png

下载 .pcap

您可以选择下载 .pcap 文件(适用于 Wireshark),将数据包捕获文件下载到您的本地计算机。然后,此文件可使用 Wireshark 等程序打开。最多可为捕获长度指定 60 秒的持续时间。对于 MR 产品,捕获的最大数据包数量是 5000。

dfe223d2-76e8-4bca-942e-93036c1ea304

 

冗长级别说明

当选择输出 > 查看以下输出选项时,冗长选项用于确定可在下面查看的输出的详细程度。以上选项对应 tcpdump 中的下列标志。

 

低 ->(无标志)

提供有关数据包的源、目标和类型的基本信息。

 

中 -> -v

在解析和打印时,生成(略多)冗长输出。例如,系统会打印 IP 数据包中的持续时间、标识、总长度和选项。还可以启用其他数据包完整性检查,例如验证 IP 和 ICMP 报头校验和。

 

高 -> -vv

更冗长的输出。例如,系统会从 NFS 应答数据包打印更多字段,并对 SMB 数据包进行完全解码。

 

超高 -> -vvv

更冗长的输出。例如,系统会打印完整的 telnet SB ... SE 选项。

 

全部细节 -> -X

在解析和打印时,除了打印每个数据包的报头外,还以十六进制和 ASCII 格式打印每个数据包的数据(除去其链路级报头)。请注意,使用此标志可生成大量输出,仅应在需要时使用。

数据包捕获日志

数据包捕获页面包含一个链接,指向已执行的数据包捕获的日志。该日志会包括以下内容:日期、时间、用户名、邮件地址、输出类型、接口和过滤器表达式(如有)。以下是一个日志条目的示例:

May 22 07:22 Example User <example.user@example.com> Raw pcap wan0 - 
May 22 7:19 Example User <example.user@example.com> Raw pcap wan0 - 
May 22 07:19 Example User <example.user@example.com> Raw pcap lan0 - 
May 22 07:19 Example User <example.user@example.com> Raw pcap lan0 - 
May 22 07:19 Example User <example.user@example.com> Raw pcap lan0 -
  1. Back to top
  • Was this article helpful?

Recommended articles

  1. Article type
    How-to
    Stage
    Final
  2. Tags
    1. simplified chinese