S5700 ACL抓包PPPOE内容失败

发布时间:  2017-05-31 浏览次数:  317 下载次数:  0
问题描述

问题描述:客户用S5700做端口镜像抓包,根据ACL匹配该端口入方向所有发往目的UDP端口53的流量,镜像端口接抓包服务器,接收内网所有发往UDP端口53的流量。在做流量匹配规则前,抓包服务器能够捕获到eth类型和ppp类型发往UDP端口53的报文。在端口引用流量匹配规则后,只能捕获eth类型发往UDP端口53的报文,ppp类型发往UDP端口53的报文没有匹配上。

 

 

配置脚本:

observe-port 1 interface GigabitEthernet0/0/2

acl number 3001
 rule 5 permit udp destination-port eq dns

traffic classifier a1 operator and
 if-match acl 3001
traffic behavior b1
 permit                                  
 mirroring to observe-port 1
traffic policy p1
 classifier a1 behavior b1

interface GigabitEthernet0/0/1
 traffic-policy p1 inbound

 

 

 

故障现象:GigabitEthernet0/0/1端口未引用流量策略时,在抓包服务器捕获的报文类型为以下两种:

 

 

 

GigabitEthernet0/0/1端口入方向引用所配置的流量策略时,在抓包服务器只能捕获如下报文,无法捕获pppoe类型前往UDP端口53的报文:

 

 

 

 

组网拓扑:

 

 


告警信息

无。

处理过程

1、取消GigabitEthernet0/0/1端口的traffic-policy策略,配置traffic-filter inbound acl 3001,将端口0/0/1镜像到抓包服务器连接的端口0/0/2.仍然无法捕获pppoe报文发往UDP端口53的报文。

2、取消0/0/1口traffic-filter inbound acl 3001

   acl 4001

   rule permit l2-protocol 0x8864      //设置l2类型的ACL,允许ppp类型的报文通过

   配置0/0/1口traffic-filter inbound acl 4001

在抓包服务器上,能够捕获到发往UDP端口53及其他端口的ppp报文和pppoe报文。

 

根因

 

交换机解析不了pppoe报文,匹配不了pppoe报文封装内的内容,因此无法匹配pppoe报文,发往目的UDP端口53的流量。



解决方案

无。

建议与总结

无。

END