测IPsec协议的连通性,但协议到了PC的wireshark上已经是解包后的明文,所以在设备侧接入一台烽火s5700交换机,将设备间的报文mirror到pc2上。
1. 记录一下昨天测试的拓扑及命令:
2. 配置端口镜像:
S7800-08(config)#mirror group 1 gigaethernet 1/0/23 //创建镜像组1,设置目的端口为1/0/23
S7800-08(config)#interface gigaethernet 1/0/24 //进入源端口被监控口
S7800-08(config-ge1/0/24)#mirror both group 1 //在源端口应用镜像组1,双向
从pc3上连pc1的ftp server,发现pc2上不停收到vxlan报文,块大小整齐,和pc3上抓到的ftp的块大小相差不大,基本可以判断是加密的IPsec报文。
3. 记录一下vxlan报文:https://blog.csdn.net/octopusflying/article/details/77609199
数据帧封装在物理网络中进行传输,封装和解封装的过程由VTEP节点完成,所以直接在pc2上抓到的FTP 报文都是明文
源地址和目的地址10.14.1.*应该是CPE的ip
4. 抓到的FTP 报文:
https://www.cnblogs.com/huiyuan/p/wireshark.html 先看三次握手
也能从报文看出是PORT模式:
FTP有两种工作模式,分别是主动模式(PORT)和被动模式(PASV)两种模式,这两种模式是按照FTP服务器的“角度”来说的,更通俗一点说就是:在传输数据时,如果是服务器主动连接客户端,那就是主动模式;如果是客户端主动连接服务器,那就是被动模式。
协议:https://www.cnblogs.com/luoxn28/p/5585458.html
代码实现:https://blog.csdn.net/xu735456/article/details/54846239
全过程报文分析:https://zhuanlan.zhihu.com/p/34109504 (图高糊,不爽)
FTP 建立连接后,都是走TCP 协议的,所以不要傻傻去抓数据块的FTP 协议了好么(说我自己)