编辑: 迷音桑 | 2016-03-03 |
53 捕获仅数据流在某一协议-仅捕获DHCP流量 DHCP是动态主机配置协议. port
67 or port
68 捕获数据流不在某一协议-请排除HTTP或SMTP流量 SMTP是简单邮件转发协议. host 172.16.7.3 and not port
80 and not port
25 捕获数据流不在某一协议-请排除ARP和DNS数据流 ARP是地址解析协议. port not
53 and not arp 捕获仅IP数据流-排除下层协议类似ARP和STP STP是生成树协议. ip 捕获仅单播数据流-排除广播并且组播公告 not broadcast and not multicast 捕获在Layer4端口内的范围的数据流 tcp portrange 1501-1549 捕获根据以太网类型的数据流-捕获EAPOL数据流 EAPOL是LAN上的可扩展认证协议. ether proto 0x888e IPv6捕获解决方法 ether proto 0x86dd 根据IP协议类型的捕获数据流 ip proto
89 拒绝根据MAC地址的以太网帧-排除属于LLDP组播组的数据流 LLDP是链路层发现协议. not ether dst 01:80:c2:00:00:0e 捕获UDLD、VTP或者CDP数据流 UDLD是单向链路检测, VTP是VLAN中继协议,并且CDP是Cisco发现协议. ether host 01:00:0c:cc:cc:cc 到/从MAC地址的捕获数据流 ether host 00:01:02:03:04:05 Note: 并且= && 或者=|| 没有=! MAC地址格式:xx :xx :xx :xx :xx :xx 普通控制平面协议 UDLD :目的地媒介访问控制器(DMAC) = 01-00-0C-CC-CC-CC和EthType = 0x0111 q LACP :DMAC = 01:80:C2:00:00:02和EthType = 0x8809.LACP代表链路汇聚控制协议. q STP :DMAC = 01:80:C2:00:00:00和EthType = 0x4242 -或-?DMAC = 01:00:0C:CC:CC:CD和EthType = 0x010B q CDP :DMAC = 01-00-0C-CC-CC-CC和EthType = 0x2000 q LLDP :DMAC = 01:80:C2:00:00:0E或者01:80:C2:00:00:03或者01:80:C2:00:00:00和EthType = 0x88CC q DOT1X :DMAC = 01:80:C2:00:00:03和EthType = 0x888E.DOT1X代表IEEE 802.1x. q IPv6 :EthType = 0x86DD q UDP和TCP端口编号列表 q 已知问题 请参阅Cisco Bug ID CSCue48854 :Ethanalyzer捕获过滤器从在SUP2的CPU不捕获数据流.并且 请参阅Cisco Bug ID?CSCtx79409 :?不能以解码内部使用捕获过滤器. Related Information Wireshark :CaptureFilters? q Wireshark :DisplayFilters? q Technical Support & Documentation - Cisco Systems q