3-路由器日常维护及故障处理资料

路由器日常维护及故障处理亚信科技〔中国〕2023年10月主要内容路由器介绍路由器根本配置路由器日常维护路由器故障处理更换路由器配件常用抓包工具Cisco路由器介绍Cisco7200Cisco3600Cisco7200 Cisco7200系列路由器是CISCO模块化、多协议路由器中首选的高端平台，该系列共包括Cisco7204、Cisco7206两个产品。Cisco7204共有4个接口板插槽，Cisco7206共有6个接口板插槽。Cisco7200VXR路由器支持多协议、多媒体路由以及现有电子设备接口及介质。Cisco7204Cisco7206技术规格功能Cisco7204VXRCisco7206VXR固定端口无无模块化插槽46LAN端口适配器4或8端口10BaseT5端口10BaseFL1端口100BaseTX1端口100BaseFX2端口100BaseTX（TRISL）2端口100BaseFX（TRISL）1端口千兆位以太网4端口令牌环4/16Mbps，半/全双工12端口以太网/2端口快速以太网以太交换机与Cisco7204VXR相同串行端口适配器4端口串行，增强型8端口串行，V.35，RS-232，或X.214端口串行E1（G.703）与Cisco7204VXR相同技术规格功能Cisco7204VXRCisco7206VXR高速串行端口1和2端口HSSI1和2端口高速T3串行（使用DSU）1和2端口高速E3串行（使用DSU）与Cisco7204VXR相同多通道和ISDN端口2端口增强多通道T31端口多通道T31端口多通道E32、4和8端口多通道T1（CSU/DSU&PRI）2和8端口多通道E1（G.703/G.704&PRI）8端口ISDNBRI（S/T）4端口ISDNBRI（U），NT-1与Cisco7204VXR相同数字语音主干端口适配器2端口T1/E1高容量数字语音2端口T1/E1中容量数字语音与Cisco7204VXR相同SONET端口适配器2端口动态分组传输OC12/STM41端口SONET分组OC-3/STM1与Cisco7204VXR相同技术规格功能Cisco7204VXRCisco7206VXRATM端口适配器1端口ATMOC-3/STM1多模和单模1端口ATM增强OC-12/STM4多模和单模1端口ATM增强OC3/STM1多模和单模1端口ATM增强DS31端口ATM增强E38端口ATM增强T1IMA8端口ATM增强E1IMAATM线路仿真服务与Cisco7204VXR相同大型机通道连接端口适配器1端口ESCON大型机通道端口适配器1端口并行大型机通道端口适配器与Cisco7204VXR相同I/O卡FE2FE/EGE+EFE与Cisco7204VXR相同服务适配器模块加密与Cisco7204VXR相同网络处理引擎NPE-225NPE-300NPE-400NSE-1与Cisco7204VXR相同技术规格功能Cisco7204VXRCisco7206VXR处理器速度（类型）225、263或350MHz（MIPSRISC）与Cisco7204VXR相同快闪PCMCIA内存20MB、48MB（缺省）；110MB,512MB（最大）与Cisco7204VXR相同DRAM内存64MB、128MB（缺省）256MB、512MB（最大）与Cisco7204VXR相同电源直流或交流电源，可选双电源直流或交流电源，可选双电源体积（高×长×宽）5.25×16.8×17英寸5.25×16.8×17英寸Cisco3600 Cisco3600系列是一个适合大中型企业Internet效劳供给商的模块化、多功能访问平台家族。Cisco3600系列拥有70多个模块化接口选项，供给语音/数据集成、虚拟专网〔VPN〕、拨号访问和多协议数据路由解决方案。通过利用CIsco的语音/网络模块，Cisco3600系列允许客户在单个网络上合并语音、和数据流量。高性能的模块化体系构造疼惜了客户的网络技术投资，并将多个设备的功能集成到一个可治理的解决方案之中。Cisco3600技术标准系统规范Cisco3660系列处理器类型225MHzRISCQEDRM5271快闪存储器8MB，可升级至64MB系统内存32MBSDRAM。可升级至128或256MBSDRAM网络模块插槽6个插槽高级集成模块（AIM）插槽2个插槽技术标准系统规范Cisco3660系列板上LAN端口1或2个自适应10/100Mbps以太网端口电源双直流、双交流或单直流、单交流配置的250W电源体积8.7×17.5×11.8英寸（221×445×300毫米）性能100到120Kpps快速交换和10到12Kpps处理交换控制台和辅助端口（最快11.5kbps）支持机架安装支持，19英寸长，中心安装双TypeIIPCMCIA卡插槽支持技术标准尺寸、电源、环境指标项目规格尺寸8.7×17.5×11.8英寸（221×445×300毫米）重量32英镑（14.55公斤）（最小）43英镑（19.55公斤）（最大）电源要求输出每个电源最大提供250W交流输入电压100-240V频率50-60Hz交流输入电流100V，4A或200V，2A直流输入电压-38V到-75V直流输入电流-48V,8A环境指标工作温度32°-104℉（0°-40℃）非工作温度-13°-158℉（-25°-70℃）相对湿度5-95％噪音电平（最大）48dbA主要内容路由器介绍路由器登录及配置路由器日常维护路由器故障处理更换路由器配件常用抓包工具路由器存储部件在CISCO路由器中，跟系统治理员关系最亲切的是其存储部件。CISCO路由器的存储部件可以分为4个局部。ROM,DRAM,FlashMemory和NVRAM。在ROM里存放的是minimum的IOS，使路由器能从ROM里boot。路由器正常运行时，将IOS和configfile放在DRAM里运行。Flash里放的是IOS。NVRAM里存放的是其配置文件，该配置文件不会因掉电而丧失。系统治理员修改配置后，应准时使用writememory命令将新的配置〔DRAM中〕存于NVRAM中，以免因掉电或Reboot而丧失配置。连接路由器Console路由器的Console口连接PC机时，需要一个RJ-45到DB-9或RJ-45到DB-25的转接头超级终端的COM口设置：速率9600bps，数据位8，停顿位1，奇偶检验无，数据流把握无。AUX帮助端口可连接Modem，远程拨号访问。IOS的两种模式UserMode用户模式：只读模式PrivilegedMode特权模式：命令模式登录路由器Router>Router>enablePassword:Router#Router#exitRouter>Router>exitConsoleRoutercon0isnowavailablePressRETURNtogetstarted.用户模式特权模式用户模式命令清单Router>?Execcommands:

access-enableCreateatemporaryAccess-Listentry

atmsigExecuteAtmSignallingCommands

cdChangecurrentdevice

clearResetfunctions

connectOpenaterminalconnection

dirListfilesongivendevice

disableTurnoffprivilegedcommands

disconnectDisconnectanexistingnetworkconnection

enableTurnonprivilegedcommands

exitExitfromtheEXEC

helpDescriptionoftheinteractivehelpsystem

latOpenalatconnection

lockLocktheterminal

loginLoginasaparticularuser

logoutExitfromtheEXEC

mrinfoRequestneighborandversioninformationfroma

multicastrouter--More--特权模式命令清单Router#?Execcommands:access-enableCreateatemporaryAccess-Listentryaccess-templateCreateatemporaryAccess-ListentrybfeFormanualemergencymodessettingclearResetfunctionsclockManagethesystemclockconfigureEnterconfigurationmodeconnectOpenaterminalconnectioncopyCopyconfigurationorimagedatadebugDebuggingfunctions(seealso”undebug”)disableTurnoffprivilegedcommandsdisconnectDisconnectanexistingnetworkconnectionenableTurnonprivilegedcommandseraseEraseflashorconfigurationmemoryexitExitfromtheEXEChelpDescriptionoftheinteractivehelpsystemlatOpenalatconnectionlockLocktheterminalloginLoginasaparticularuserlogoutExitfromtheEXECmbranchTracemulticastroutedowntreebranch--More--配置帮助Router#clokTranslating“clo“...domainserver(55)%Unknowncommandorcomputername,orunabletofindcomputeraddressRouter#cl?clearclockRouter#clock%Incompletecommand.Router#clock?setSetthetimeanddateRouter#clockset%Incompletecommand.Router#clockset?CurrentTime(hh:mm:ss)配置模式进入配置模式：#configterminal完毕配置模式：在配置模式下执行end直接退出，或执行exit返回上一级检查当前配置：#showrunning-config路由器的全局配置 全局配置主要包括对主机名(Hostname)，域名(Domainname)，域名效劳器(DomainNameServer)，TACACS效劳器，路由及菜单的配置。如：Hostnamelocal-rtr-1 指定主机名ipdomain-name165.cn 指定域名ipname-server8 指定域名效劳器iproute 设置default路由snmp-servercommunitycommunity-stringRO配置网管权限snmp-servercommunitycommunity-stringRW配置网管权限snmp-serverhostip-address 配置网管主机地址ipsubnet-zero 允许全’0’或全’1’为子网地址ipclassless 允许可变长子网掩码路由器的端口配置端口的配置主要包括IP地址安排和打包方式设定对于FE端口要考虑与所连接设备的双工匹配问题，建议配置成全双工100M对于GE端口要考虑与所连接设备的协商方式，不建议配置成自动协商路由器的端口配置串行端口的配置controllerE12/0 channel-group0unframedinterfaceSerial2/0:0 description<test> ip encapsulationhdlc路由器的端口配置串行端口的配置controllerE12/0 channel-group0timeslots1-8interfaceSerial2/0:0 description<test> ip encapsulationhdlc路由器的端口配置捆绑串行端口的配置controllerE12/0 channel-group0unframedcontrollerE12/1 channel-group0unframedinterfaceSerial2/0:0 noipaddress encapsulationppp pppmultilink multilink-group1interfaceSerial2/1:0 noipaddress encapsulationppp pppmultilink multilink-group1interfaceMultilink1 ip pppmultilink multilink-group1GE端口配置GE端口的配置interfaceGigabitEthernet4/0 description<test> ip nonegotiationautoFE端口配置FE端口的配置interfaceFastEthernet0/1 description<test> ip duplexfull speed100POS端口配置POS端口的配置interfacePOS3/0 description<test> ip noipunreachables noipdirected-broadcast iprouterisisunicom encapsulationhdlc crc16 posframingsdh posflags1s02 isiscircuit-typelevel-2-onlyATMPVC配置

ATM子端口配置interfaceATM0/0.1point-to-pointdescriptionpvc_description ipaddressip_addressnetmask 互联IP地址及掩码pvcpvc_namevpi/vci PVC名称及VPI/VCIvbr-nrtpcrscrmbs PVC峰值带宽、均值带宽、并发信元数oam-pvcmanage 选配，通常状况下建议配置，会定时检测是否收到oam数据包。encapsulationaal5snap静态路由配置iproute555将子网210.78.250.35的路由指向OSPF动态路由配置routerospf179配置ospf协议Redistributeconnectedsubnets将端口直连路由通过ospf向本域内的其它路由器广播Redistributestaticsubnets将静态路由通过ospf向本域内的其它路由器广播network55area0定义子网/24属于ospf的0区域summary-address92对子网/26内的详细路由信息总结成一条路由信息向外广播ISIS动态路由配置routerisiscore配置ISIS路由协议net39.752f.0100.0014.0000.1000.0001.2110.9403.8199.00配置设备CLNS名称Redistributeconnectedsubnets将端口直连路由通过ISIS向本域内的其它路由器广播Redistributestaticsubnets将静态路由通过ISIS向本域内的其它路由器广播BGP路由配置routerbgp9800配置BGP路由协议，自治域号为9800neighber11remote-as9395配置BGP域内的相邻路由器network55定义子网/16属于BGP主要内容路由器介绍路由器登录及配置路由器日常维护路由器故障处理更换路由器配件常用抓包工具查看软硬件状况showversion，检查路由器有无自动重启，重启的方式是否正常。查看接口类型、硬件参数等r1-e-bj#shverCiscoInternetworkOperatingSystemSoftwareIOS(tm)7200Software(C7200-P-M),Version12.3(3e),RELEASESOFTWARE(fc1)Copyright(c)1986-2023byciscoSystems,Inc.CompiledWed21-Jan-0414:20bypwadeImagetext-base:0x60008954,data-base:0x61982023ROM:SystemBootstrap,Version12.2(8r)B,RELEASESOFTWARE(fc1)BOOTLDR:7200Software(C7200-KBOOT-M),Version12.3(3e),RELEASESOFTWARE(fc1)r1-e-bjuptimeis2years,24weeks,2days,14hours,13minutesSystemreturnedtoROMbyreloadat01:06:32GMTFriJul142023Systemrestartedat22:54:25GMTThuApr222023Systemimagefileis“disk2:c7200-p-mz.123-3e.bin“Lastreloadreason:Reloadcommandcisco7206VXR(NPE-G1)processor(revisionA)with491520K/32768Kbytesofmemory.ProcessorboardID26807093SB-1CPUat700Mhz,Implementation1,Rev0.2,512KBL2Cache6slotVXRmidplane,Version2.6Lastresetfrompower-onX.25software,Version3.0.0.Bridgingsoftware.PCIbusmb1has600bandwidthpointsPCIbusmb2has700bandwidthpoints2FastEthernet/IEEE802.3interface(s)3GigabitEthernet/IEEE802.3interface(s)3ATMnetworkinterface(s)509Kbytesofnon-volatileconfigurationmemory.62976KbytesofATAPCMCIAcardatslot2(Sectorsize512bytes).16384KbytesofFlashinternalSIMM(Sectorsize256K).Configurationregisteris0x2102查看软硬件状况r1-e-bjuptimeis2years,24weeks,2days,14hours,13minutes路由器已连续运行的时间Systemrestartedat22:54:25GMTThuApr222023系统重启的时间为2023年4月22日22:54:2501:06:32GMTFriJul142023SystemreturnedtoROMbybuserroratPC0x604B1AE0,address0x2820at18:49:31BeijingThuMay112023上次重启为非正常缘由，可能存在硬件故障隐患。Systemimagefileis“disk2:c7200-p-mz.123-3e.bin“系统的启动IOS文件为disk2中的Lastreloadreason:Reloadcommand上次重启的缘由为执行reload命令查看软硬件状况cisco7206VXR(NPE-G1)processor(revisionA)with491520K/32768Kbytesofmemory.设备的型号为7206VXR，引擎类型为NPE-G1，共512M内存。6slotVXRmidplane,Version2.6设备有6个插槽2FastEthernet/IEEE802.3interface(s)3GigabitEthernet/IEEE802.3interface(s)3ATMnetworkinterface(s)存在2个FE端口，3个GE端口，3个ATM端口。查看端口状态明细showinterface，检查该端口是否处于UP状态，检查该端口的MTU值是否为1500，该端口是否有连续增长的CRC错误。正常状况下：FastEthernet1/0/0isup,lineprotocolisup正常状况下：0inputerrors,0CRC,查看全部端口状态、ATMPVC状态showipinterfacebrief，查看路由器上各端口状态，包括到地市或用户的ATM子接口是否UP。showatmpvc，查看路由器上配置的ATMPVC状态查看板卡状态showdiag，检查各线卡、处理卡状态是否正常。r1-e-bj#showdiagSlot1:ATMWANOC3(MM)Portadapter,1portPortadapterisanalyzedPortadapterinsertiontime2y24wagoEEPROMcontentsathardwarediscovery:Hardwarerevision2.0BoardrevisionA0Serialnumber27703002Partnumber73-2430-04FRUPartNumber:PA-A3-OC3MM=Testhistory0x0RMAnumber00-00-00EEPROMformatversion1EEPROMcontents(hex):0x00:0159020001A6B6DA49097E040000

00

000x10:500000

0002012600FFFF

FF

FF

FF

FF

FF

FF查看CPU利用状况showprocesscpu，查看系统CPU利用率，正常状况下应<70%，如：CPUutilizationforfiveseconds:5%/5%;oneminute:5%;fiveminutes:5%查看内存利用状况showprocessmemory，查看系统内存利用状况Total:457017568,Used:23044208,Free:433973360正常状况下，内容内存应＞30M查看Flash存储showflash或dir，查看设备flash或disk/slot利用状况，显示已有的IOS文件。r1-e-xx#dirDirectoryofdisk2:/1-rw64225280bytestotal(48562176bytesfree)disk2存储器共有64M，剩余空间48M左右，其中IOS文件为当升级IOS时，假设flash空间缺乏，则要删除旧的文件deleteflash:xxxxx.bin，执行后给此文件打上删除标记squeezeflash:，可彻底去除已做删除标记的文件查看bootflashshowbootflash，bootflash存放设备启动时的bootios。当设备消逝硬件故障时，通常会在bootflash中生成crashinfo。xxxx#showbootflash:-#-ED----type------crc----seek--nlen-length----------date/time---------name2..crashinfo5E4EE95C33DED425108437Aug12202313:14:08+08:00crashinfo_20230812-051408270636bytesavailable(3137236bytesused)查看crashinfo文件morebootflash:crashinfo_20230812-051408查看环境参数showenvironmentall，查看设备环境参数，温度、电压等

r1-e-xx#showenvironmentallPowerSupplies:PowerSupply1isAstecDCPowerSupply.Unitison.PowerSupply2isAstecDCPowerSupply.Unitison.Temperaturereadings:NPEInletmeasuredat27C/80FNPEOutletmeasuredat30C/86FVoltagereadings:+3.45Vmeasuredat+3.49V+5.15Vmeasuredat+5.21V+12.15Vmeasuredat+12.24V-11.95Vmeasuredat-11.76VEnvmstatssaved12967time(s)sincereload查看系统日志showlog，查看系统日志信息xxxx#shlogSysloglogging:enabled(0messagesdropped,3messagesrate-limited,0flushes,0overruns)Consolelogging:leveldebugging,2994messagesloggedMonitorlogging:leveldebugging,1226messagesloggedBufferlogging:levelwarnings,32messagesloggedLoggingExceptionsize(8192bytes)Traplogging:levelwarnings,61messagelinesloggedLoggingto51,61messagelinesloggedLogBuffer(8192bytes):Aug1714:37:27.163:%DSC_REDUNDANCY-3-BICLINK:SwitchingtoDSC12Aug1714:44:23.625:%DIAL0-2-MSG:00:05:22:%CONTROLLER-2-FIRMWARE:ControllerReceivedremotealarmon,line10slot0Aug1714:44:32.653:%DIAL12-3-MSG:检查链路丢包率正常状况下，GE、FE、ATMPVC等链路丢包率为0日常运维中，可定期ping或trace目的地址。#ping，承受扩展ping定期备份配置定期备份路由器配置至Flash和本地PC。#copyrunflash:run_081010#copyrundisk0:run_081010#copyruntftp主要内容路由器介绍路由器登录及配置路由器日常维护路由器故障处理更换路由器配件常用抓包工具恢复路由器口令1、将一台终端或装有超级终端软件的PC接到交换机的console口上。终端参数设置如下：速率：9600bps检验位：无数据位：8停顿位：1流控：无恢复路由器口令2、翻开路由器电源3、在启动的60秒内同时按下Ctrl+Break+[Fn]，使设备进展rommon状态。4、在Rommon中输入：confreg0x2142，如下所示：rommon1>confreg0x21425、输入reset，命令如下：rommon2>reset恢复路由器口令6、等待系统重启，起来后系统询问是否进入初始化配置，答复no，回车。7、输入enable，回车，进入enable状态，命令如下：Router>enRouter#8、加载原配置文件。命令如下：Router#copystartup-configrunning-config9、进入配置模式并配置新口令：Router#conftRouter(config)#enablesecret(newpassword)恢复路由器口令10、退出到用户模式，然后进入特权模式测试新口令11、修改config-register，命令如下：Router(config)#config-register0x210212、保存配置Router(config)#exitRouter#write检查网络的运行状况Ping<ipaddress>，推断包传送的时长及丢包状况traceroute<ipaddress>，跟踪包传递的过程，推断障碍所在showinterface，通过显示当前某一个端口的工作信息，推断端口的占用率，端口的状态，配置的状况和数据包的流量showiproute，显示路由表、推断路由协议是否正确地播送出相应地址showconfig，显示配置状况并作检查debugxxx，翻开debug功能，对系统运行进展监测showversion，查看当前版本，硬件配置和路由器的启动时间showlog，查看系统日志，包括历史告警记录，debug结果等线路中断该怎样办检查GE、FE端口状态执行showipinterfacebrief检查相关端口状态，假设端口物理状态是down的，则需要检查物理连接，如线缆是否完好正常，光纤收发是否接反等。也可到端口配置模式下执行shutdown、noshutdown。假设端口物理状态是up的，protocolisdown说明物理连接是好的,但链路层不正常，需要检查端口封装包协议和相关配置。假设端口的物理状态和协议都是up,但无法ping通对端地址，则需要检查网络层的配置，如ipaddress和netmask。线路中断该怎样办假设该端口是ATM端口，未配置OAM的状况下，假设子端口的物理状态和协议都是up的，只能说明ATM端口到本地ATM交换机之间的物理连接和链路层协议是正常的，并不能说明和对端设备〔ATM端口或E1端口〕之间的链路正常。假设无法ping通对端地址，则需要检查本端路由器、本端ATM交换机、对端路由器、对端ATM交换机的配置。线路中断该怎样办作环路测试，对于某些类型的端口，例如ATM、E1、POS，可以在传输部门的协作下进展环路测试。作环路测试时，应从近路由器一端开头作物理环，直至从DDN或传输设备上逐段作环，执行showint观看端口是否up并显示(looped)检查配置，通常影响IP连通性的有以下几个命令clocksource(lineorinternal)noCRC4(defaultframing)noloopbackmedia-type(10bastoraui)timeslot1-31不能telnet到路由器上该怎么办 通常通过以太网口、串口、ATM或E1远程登录一台路由器，假设不能确认某端口是否正常，最好尝试telnet路由器的loopback0地址，由于正常状况下，loopback地址永久不会down，假设仍不能登录路由器，则应：从console口直接登录到路由器，查看有无信息输出，假设无任何信息输出，则可对路由器重新加电。假设有信息输出，则检查路由器的配置是否正确。提示：假设在linevty下不配置password，则无法远程登录该路由器。不能telnet到路由器上该怎么办 假设确认路由器是由于配置语句造成无法远程登录时，在现场工程师的帮助下，远程支持工程师可通过反向telnet的方法进展登录。RouterA为正常路由器，RouterB为问题路由器，可依据图示连接线缆，登录A后执行以下命令：telnet2023可登录到B的console口。为A上任意一个UP的接口地址无法访问某一段地址时该怎么办检查路由器的路由配置静态路由：假设目的地址与本端路由器之间相隔多跳，则从本端路由器开头排查在A上，是否有指向B的目的地址路由在B上，是否有指向C的目的地址路由，是否有指向A的回程路由在C上，是否有指向B的回程路由无法访问某一段地址时该怎么办动态路由OSPF：检查路由配置语句，邻接路由器是否处于一样域(area)，hello包发送时间间隔是否全都。执行showip

ospfneighbor，查看OSPF邻接关系是否建立无法访问某一段地址时该怎么办动态路由IS-IS：检查路由配置语句，level2only或level1andlevel2、level1。执行showip

clnsneighbor，查看邻接关系是否建立某一终端工作不正常时该怎么办当某一终端工作不正常时，如PC检查终端配置及其他状态在交换机上去除MAC地址表#clearmac-address在路由器上去除ARP表#cleararp路由器消逝硬件故障该怎么办当路由器消逝硬件故障时，总会伴随着一些信息，可以通过showlog、showdiag、showinterface查看，收集showlog和showtech并供给应亚信或者Cisco分析。假设设备发生crash，一般会在bootflash或flash中生成crashinfo文件，文件名以crashinfo开头，请收集这些crashinfo文件，并连同showlog和showtech一起供给应亚信或者Cisco分析。#morebootflash:crashinfo.xxxxx查看机箱或板卡的序列号 假设需要通过Cisco做RMA，则需要登记故障路由器的机箱序列号或相应板卡的序列号。showrspchassis-info可以查看7500系列的机箱序列号showc7200可以查看7200系列的背板和NPE序列号showdiag可以查看板卡的型号及序列号主要内容路由器介绍路由器登录及配置路由器日常维护路由器故障处理更换路由器配件常用抓包工具更换7200引擎 更换7200的NPE板卡，如以下图，7200的NPE卡在机箱反面，首先拧松螺钉，取出旧板，插入新板更换7200IO板卡 更换7200的IO板卡，如以下图，7200的IO卡在机箱前面下方，首先拧松螺钉，取出旧板，插入新板，留意假设安装了NPE-G1，需要取下IO板更换7200PA板卡 更换7200系列的PA板卡，如以下图，依据说明逐步执行更换7200电源 更换7200的电源主要内容路由器介绍路由器登录及配置路由器日常维护路由器故障处理更换路由器配件常用抓包工具常用工具对于IP网络，通常使用抓包软件进展协议分析通常状况下，抓包前要对交换机的端口进展镜像配置，把一个或多个源端口的流量镜像到目的端口。抓包软件：基于Windows：Ethereal基于Linux：TcpdumpEthereal的介绍Ethereal是一种计算机网络调试和数据包嗅探软件。用户通过Ethereal，同时将网卡插入混合模式，可以查看到网络中发送的全部通信流量。并且它具有用户对协议分析器所期望的全部标准特征。Ethereal的根本功能：Ethereal在实时时间内，从现在网络连接处捕获数据，或者从被捕获文件处读取数据然后依据所捕获的数据进展故障修复、分析。使用ethereal可以很便利地对截获的数据包进展分析，包括该数据包的源地址、目的地址、所属协议等。Ethereal可以实时显示截获的数据包，因此能够帮助我们准时了解网络的运行状况，从而对网络性能和流量能有一个比较准确的把握。Ethereal的介绍Windows下的抓包工具Ethereal的启动双击启动桌面上ethereal图标，按ctrl+K进展“captureoption”的选择。选择正确的NIC，进展报文的捕获。支持WLan无线的相关协议。Ethereal的使用－捕获选项CaptureoptionsEthereal的使用－捕获选项Ethereal的使用－捕获选项Interface是选择捕获接口Capturepacketsinpromiscuousmode表示是否翻开混杂模式，翻开即捕获全部的报文，一般我们只捕获到本机收发的数据报文，所以关掉Limiteachpacket表示限制每个报文的大小Capturefiles即捕获数据包的保存的文件名以及保存位置Ethereal的使用－捕获选项captureoption确认选择后，点击ok就开头进展抓包同时就会弹出“Ethereal:captureform(nic)driver”，其中(nic)代表本机的网卡型号。同时该界面会以协议的不同统计捕获到报文的百分比点击stop停顿抓包Ethereal的使用在使用“Ethereal:captureform(nic)driver”抓包的同时，可以通过最小化or使用alt+tab的快捷键直接切换到报文扫瞄的主界面Ethereal的使用-File菜单“Open”即翻开已存的抓包文件，快捷键是crtl＋O“OpenRecent”即翻开从前已观看的抓包文件，类似windows的最近访问过的文档“Merge”字面是合并的意思，其实是追加的意思，即当前捕获的报文追加到从前已保存的抓包文件中。Save和saveas即保存、选择保存格式。Ethereal的使用-File菜单其中savesa保存为时留意：点击该开放按钮即可具体选择保存路径Filetype保存选择时留意：缺省保存为libpcap格式，这个是linux下的tcpdump格式的文件。只有选择文件保存格式为sniffer〔windows-base〕1.1和2.0都可，ethereal和sniffer才能双向相互翻开对方抓包的文件。否则只有ethereal能翻开sniffer的抓包文件。Ethereal的使用-Edit菜单FindPacket就是查询报文，快捷键是ctrl+F可以支持不同格式的查找输入正确的语句，那么背景为绿色，语句错误或缺少背景就为红色Ethereal的使用-Edit菜单FindNext向下查找FindPreyious向上查找TimeReference字面是时间参考，做报文的“时间戳”，便利大量报文的查询Ethereal的使用-Edit菜单使用TimeReference标签后，原先time的就变成“REF”缩写的标记附注：可以在多个报文间用时间戳标记，便利查询。MarkPacket〔toggle〕是标记报文Markallpackets和Unamrkallpacket即标记全部报文、取消标记全部报文Ethereal的使用-Edit菜单点击“preference”进展用户界面的选择，如报文查看界面布局的选择，以及协议支持的选择。Ethereal的使用-View菜单Maintoolbar主工具栏FilterToolbar过滤工具栏Statusbar状态条Packetlist报文列表Packetdetails报文详解Packetbyte报文字节查看Timedisplayformat时间显示格式〔可以显示年月日时分秒〕NameResolution域名解析Autoscrollinlivecapture捕获时是否跟进显示更新的报文还是显示从前的报文。Ethereal的使用-View菜单Zoomin字体的放大Zoomout字体的缩小Normalsize标准大小Resizecolumns格式对齐Collapseall报文细节内容的缩进Expandall报文细节内容的开放ColoringRules颜色规章，即可以对特定的数据包定义特定的颜色。Showpacketinnewwindow在新窗口中查看报文内容Reload刷新Ethereal的使用-Go菜单Back同样双方的上个报文Forward同样双方的下一个报文Gotopacket查找到指定号码的报文Firstpacket第一个报文Lastpacket最终一个报文Ethereal的使用-Capture菜单Start开头捕获报文Ethereal的使用-捕获过滤捕获过滤假设要捕获特定的报文，则在抓取packet前就要设置，准备数据包的类型FIltername：任意命名Filterstring：依据规章填写Ethereal的使用-捕获过滤例如：捕获MAC地址为00:d0:f8:00:00:03网络设备通信的全部报文

etherhost00:d0:f8:00:00:03捕获IP地址为网络设备通信的全部报文

捕获网络web扫瞄的全部报文

tcpport80捕获除了外的全部通信数据报文

hostandnottcpport80Ethereal的使用-Filterstring语法[src|dst]host<host>ether[src|dst]host<ehost>gatewayhost<host>[src|dst]net<net>[{mask<mask>}|{len<len>}[tcp|udp][src|dst]port<port>less|greater<length>ip|etherproto<protocol>ether|ipbroadcast|multicast<expr>relop<expr>Ethereal的使用-Filterstring符号定义Equal:eq,==(等于〕Notequal:ne,!=〔不等于〕Greaterthan:gt,>〔大于〕LessThan:lt,<

〔小于〕GreaterthanorEqualto:ge,>=〔大等于〕LessthanorEqualto:le,<=

〔小等于〕Ethereal的使用-Capturefilter的应用Ethereal的使用-Analyze菜单Displayfilters显示过滤，可以直接在主界面的filter上选择Ethereal的使用-Analyze-Displayfilters正确的语法如下，和“CaptureFilter”的语法有所不同：显示以太网地址为00:d0:f8:00:00:03设备通信的全部报文

eth.addr显示IP地址为网络设备通信的全部报文

ip.addr显示全部设备web扫瞄的全部报文

tcp.port==80显示除了外的全部通信数据报文

ip.addr==&&tcp.port!=80Ethereal的使用-Analyze菜单Enableprotocols是否启用该协议的解析，点选该协议后，相关的上层协议才能显示出来。Ethereal的使用-Analyze菜单DecodeAs用户定义报文协议说明UserSpecifiedDecodes用户修改的报文编译

Ethereal的使用-Analyze菜单DecodeAs用户定义报文协议说明通过定义后，数据包细节的窗口解释：原先是tcp的解释，更改就直接显示ssl格式的报文了。Ethereal的使用-Statistics菜单Statistics－相关的报文的统计信息Summmary报文的具体信息Protocolhierarchy协议层即各协议层报文的统计Conversations显示该会话报文的信息〔双方通信的报文信息〕endpoints分别显示单方的报文信息IOGraphs报文通信的图形Ethereal的使用-Statistics菜单Summmary报文的具体信息Protocolhierarchy协议层，即各协议层报文的统计Ethereal的使用-Statistics菜单Conversations显示该会话报文的信息〔双方通信的报文信息〕endpoints分别显示单方的报文信息Ethereal的使用-Statistics菜单IOGraphsEthere