1.开启SCP server

system-view
scp server enable#使能SCP服务

2.创建ACL

用于过滤源目地址、协议等

acl 3002
 rule 5 permit udp source 10.136.222.65 0 destination 10.206.157.56 0 destination-port eq syslog
 rule 10 permit udp source 10.136.222.65 0 destination 10.206.157.213 0 destination-port eq syslog
 rule 15 deny ip

3.开始抓包

下面是抓Eth-Trunk 1.802接口，acl 3002， 时长60s，包数量1000，包长1500，参数可以根据实际修改

packet-capture lpu forwarding interface Eth-Trunk 1.802 acl 3002 time-out 60 packet-num 100 packet-len 1500

4.抓的包位置

华为防火墙的将抓的包放在cfcard2:/capture/下，可以使用cd切换到对应目录，再使用dir查看当前路径文件。
抓的包文件名类似：cap_fwd_ethtrunk1.802_both_2024-4-8-16-40-41.zip。

cd cfcard2:/capture/
dir

5.使用scp下载结果文件

在xterm新建本地命令窗口，执行类似以下命令：

scp user@10.136.172.229:cfcard2:/capture/cap_fwd_ethtrunk1.802_both_2024-4-12-17-48-35.zip result.zip

打开结果文件路径：xterm –> 设置 –> 配置–> 常规 –> 永久性目录 –> 最右边点打开

6.再次抓包报错解决

Error: Must free the instance 1 before configure capture packet.

出现以上错误原因：主控板上每个报文头获取实例的默认内存大小为2MB，报文头获取实例信息在主控板上保存10分钟后，会自动清除。在10分钟之内，执行执行多个实例可能导致较高的内存占有率，影响主控板性能，所以不让执行。此时可以执行下面命令，清除所有报文头获取实例的信息:

packet-capture lpu free all

转载请注明：零五宝典 » 华为E8000防火墙抓包