B域关注的是与电信业务运营直接相关的信息和数据处理，包括用户数据管理、业务产品管理、计费和收费、客户服务和支持等。这个域的系统如计费系统、客服系统、账务系统、CRM（客户关系管理）系统以及经营分析系统，帮助电信企业理解市场需求、优化产品组合、提升用户满意度和忠诚度。B域数据可以揭示用户的消费行为、偏好、ARPU（平均每位用户收入）分布、终端使用情况等关键业务指标。

O域（运营域 – Operation Support System, OSS）：

O域侧重于网络的运营和维护，确保通信网络的高效运行和服务质量。这包括网络监控、故障管理、网络配置、性能优化、服务开通及保障等功能。O域的系统负责实时监控网络状态、处理网络事件、调度资源，以及进行网络规划和优化，以保证网络稳定性和客户服务的连续性。O域数据涉及网络设备状态、流量统计、故障告警、网络性能参数等。

M域（管理域 – Management Support System, MSS）：

M域涉及企业的战略决策支持、企业资源规划（ERP）、人力资源管理、财务管理等高层次的运营管理活动。它提供高层视角的企业管理和决策支持数据，帮助电信企业进行长期规划、预算控制、流程优化和合规性管理。M域的系统有助于提升组织内部的运作效率，确保企业目标与策略的有效执行。

转载请注明：运维博客 » 电信行业的三大数据域

system-view
scp server enable#使能SCP服务

2.创建ACL

用于过滤源目地址、协议等

acl 3003
 rule 5 permit udp source 10.136.222.65 0 destination 10.206.157.56 0 destination-port eq syslog
 rule 10 permit udp source 10.136.222.65 0 destination 10.206.157.213 0 destination-port eq syslog
 rule 15 deny ip

3.开始抓包

下面是抓Eth-Trunk 1.802接口，acl 3003， 时长30s，包数量1000，包长1500，参数可以根据实际修改

packet-capture lpu forwarding interface Eth-Trunk 1.802 acl 3003 time-out 30 packet-num 100 packet-len 1500

4.抓的包位置

华为防火墙的将抓的包放在cfcard2:/capture/下，可以使用cd切换到对应目录，再使用dir查看当前路径文件。
抓的包文件名类似：cap_fwd_ethtrunk1.802_both_2024-4-8-16-40-41.zip。

cd cfcard2:/capture/
dir

5.使用scp下载结果文件

在xterm新建本地命令窗口，执行类似以下命令：

scp user@10.136.172.229:cfcard2:/capture/cap_fwd_ethtrunk1.802_both_2024-4-12-17-48-35.zip result.zip

打开结果文件路径：xterm –> 设置 –> 配置–> 常规 –> 永久性目录 –> 最右边点打开

6.再次抓包报错解决

Error: Must free the instance 1 before configure capture packet.

出现以上错误原因：主控板上每个报文头获取实例的默认内存大小为2MB，报文头获取实例信息在主控板上保存10分钟后，会自动清除。在10分钟之内，执行执行多个实例可能导致较高的内存占有率，影响主控板性能，所以不让执行。此时可以执行下面命令，清除所有报文头获取实例的信息:

packet-capture lpu free all

转载请注明：运维博客 » 华为E8000防火墙抓包

system-view
scp server enable#使能SCP服务

2.创建ACL

用于过滤源目地址、协议等

acl 3002
rule 5 permit ip source 10.136.200.1 0

3.开始抓包

下面是抓包60s，包长64，包数量1000，参数可以根据实际修改

capture-packet forwarding interface G0/1/0 outbound acl 3002 time-out 60 packet-len 64 packet-num 1000

4.抓的包位置

华为的设备将抓的包放在/logfile/下，可以使用cd切换到对应目录，再使用dir查看当前路径文件。
抓的包文件名类似：capture_fwd_GE0.1.0_out_2023-02-23-16-08-54.cap
通过文件末尾的时间就可以判断那个是是你需要的文件。

5.使用scp下载结果文件

在xterm新建本地命令窗口，执行类似以下命令：

scp user@10.136.154.18:/logfile/capture_fwd_GE0.1.0_out_2023-02-23-16-08-54.cap result.cap

打开结果文件路径：xterm –> 设置 –> 配置–> 常规 –> 永久性目录 –> 最右边点打开

6.capture-packet命令格式

用来在设备捕获符合设置规则的业务报文，并上送到终端显示，或保存到本地。
capture-packet { interface interface-type interface-number | dsp } [ acl acl-number ] destination { terminal | file file-name } * [ car cir car-value | time-out time | packet-num number | packet-len { length | total-packet } ] *

interface interface-type interface-number	捕获指定接口(类型 接口编号)
dsp	捕获语音DSP报文。
acl	指定配置ACL。
acl-number	捕获匹配到指定ACL规则的报文。
destination	捕获的报文上送目的地。
terminal	将捕获的报文发送到终端显示。
file file-name	将捕获的报文保存在指定的文件里，file-name格式为[drive][file-name]（例如flash:/test.cap），其中[file-name]必须为*.cap格式。
car cir car-value	指定捕获报文的速率。
time-out time	捕获报文超时时间，超时后报文捕获实例自动关闭。
packet-num number	捕获报文的数量，捕获指定数量的报文后报文捕获实例自动关闭。
packet-len length	报文在终端显示或存储在存储介质中的长度。
total-packet	在终端显示或在存储介质中存储整个报文。

转载请注明：运维博客 » 华为NE40E路由器抓包

<Protocol> <Direction> <Host> <Value> <Logical Operation> <other expression>
#<>代表可选，为空时使用默认值
#Protocol协议:可用值有eth、vlan、ip、arp、tcp、udp、arp、icmp、http、ftp等，默认所有的协议。
#Direction方向:可用值有src、dst、sre and dst、src or dst(默认)。
#Host: 可用值有host(主机)、net(网段)、port(端口)、portrange(端口范围)。
#Logical Operations逻辑运算:可用值有：and(&&)、or(||)、not(!)，其中not优先级最高。
Other expression其他表达式:使用其他表达式捕获过滤器。
#参数
expr:指定协议的偏移地址
size:指定数据长度其中，单位bit
relop:指定使用的运算符
关系运算符有:==(eq)、!=(ne)、>(gt)、>=(ge)、<(lt)、<=(le)
二进制运算符有:+、-、*、/、%、&、|、^、<<、>>

2、常用过滤举例

#过滤MAC
eth.addr == 80:f6:2e:ce:3f:00 //过滤目标或源地址
eth.src == 80:f6:2e:ce:3f:00 //过滤源地址
eth.dst == 80:f6:2e:ce:3f:00 //过滤目标地址
#过滤VLAN
vlan.id == 2594
#过滤IP
ip.addr == 192.168.0.208 //过滤目标或源地址
ip.src == 192.168.0.208 //源地址过滤
ip.dst == 192.168.0.208 //目标地址过滤
#端口过滤
tcp.port == 80 //过滤目标或源端口
tcp.dstport == 80 //过滤tcp协议的目标端口
tcp.srcport == 80 //过滤tcp协议的来源端口
tcp.port >= 1 and tcp.port <= 80 //过滤端口范围 #包长度过滤 udp.length == 26 //指udp本身固定长度8加上udp下面数据包之和 tcp.len >= 7 //指tcp下面那块数据长度,不包括tcp本身
ip.len == 94 //指以太网头固定长度14加上下面的数据之和
frame.len == 119 //整个数据包长度,从eth开始到最后
#http过滤
!ssl 或 not ssl //排除ssl包
http.request.method == “GET” //GET包
http.request.method == “POST” //POST”包
http.request.uri == “/img/logo-edu.gif” //url过滤
http contains “HTTP/1.”
#主机过滤
host 10.3.1.1 //抓取发到/来自10.3.1.1的数据流
not host 10.3.1.1 //抓取除了发到/来自该IP以外的所有数据流
src host 10.3.1.1 //抓取来自10.3.1.1的数据流
dst host 10.3.1.1 //抓取发到10.3.1.1的数据流
host 10.3.1.1 or 10.3.1.2
host www.espn.com //发到/来自所有解析为www.espn.com的数据流
#网段过滤
net 10.3.0.0/16 //抓取指定网段数据流
net 10.3.0.0 mask 255.255.0.0 //与之前的过滤结果相同
ip6 net 2406:da00:ff00::/64 //抓取IPv6网段的数据流
not dst net 10.3.0.0/16 //抓取除了发到以10.3开头的IP地址以外的所有数据流
not src net 10.3.0.0/16 //抓取除了来自以10.3开头的IP地址以外的所有数据流
#广播多播
ip broadcast //抓取广播报文
ip multicast //抓取多播报文
ether dst ff:ff:ff:ff:ff:ff //抓取广播报文
ether multicast //抓取多播报文

转载请注明：运维博客 » Wireshark过滤语法规则及常用过滤举例

100G QSFP28光模块适用于100G以太网、EDR InfiniBand和32G光纤通道，通常情况下与40G QSFP+具有完全相同的体积与面板密度。
“QSFP”指光模块的封装；“28”表示每个通道的最高传输速率为28Gbps；“SR”表示短距离（最远100m），“LR”表示长距离（最远10km），“ER”表示拓展距离(最远40km）；’“4”表示模块有4个通道。

转载请注明：运维博客 » 100G QSFP28 SR4/LR4/PSM4/CWDM4/ER4光模块区别

yum install -y tcpdump
#使用tcpdump命令如果报错：
tcpdump: Couldn't find user 'tcpdump'
#解决方法：
chattr -i /etc/shadow /etc/group /etc/passwd
rpm -e
yum install -y tcpdump
chattr +i /etc/shadow /etc/group /etc/passwd

2、抓包实例

#从本机的ens192网卡，并将dns名称转化成ip形式，抓取icmp包
tcpdump -i ens192 -n icmp
-i 指定抓取的网卡
-n 将dns名称转化成ip形式
icmp 指定抓取icmp协议包
#从本机的ens192网卡，显示ip，抓取icmp协议ping包，抓取来自192.168.0.126主机的ping包
tcpdump -i ens192 -n icmp and src 192.168.0.126
#从本机的ens192网卡，显示ip，抓10个包，协议为tcp，抓取到本机的22端口
tcpdump -i ens192 -n -c 10 tcp dst port 22
#从本机的ens192网卡，显示ip，抓10个包，抓取(本机)192.168.0.229和(主机0.139或0.194)之间的包
tcpdump -i ens192 -n -c 10 host 192.168.0.229 and \(192.168.0.139 or 192.168.0.194\)
#从本机的ens192网卡，显示ip，抓10个包，抓取与本机通讯的ip0.126的主机的所有数据包
tcpdump -i ens192 -n -c 10 host 192.168.0.126
#从本机的ens192网卡，显示ip，抓10个包，抓取访问本机的22端口，并且只抓取来自0.126主机的包
tcpdump -i ens192 -n -c 10 port 22 and host 192.168.0.126
#从本机的ens192网卡，显示ip，抓10个包，并数据包信息保存成kahn.cap文件
tcpdump -i ens192 -n -c 100 -w /root/kahn.cap
#从本机的ens192网卡，显示ip，抓10个包，只抓取TCP协议的22端口的数据包
tcpdump -i ens192 -n -c 10 tcp port 22
#从本机的ens192网卡，显示ip，抓10个包，抓取访问本机的HTTP的get类型的请求
tcpdump -i ens192 -n -c 10 -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
#从本机的ens192网卡，显示ip，抓10个包，抓取访问本机的HTTP的POST类型的请求
tcpdump -i ens192 -n -c 10 -s 0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'
#从本机的ens192网卡，显示ip，抓10个包，只抓udp协议的3721端口的数据包
tcpdump -i ens192 -n -c 10 udp port 3721
#从本机的ens192网卡，显示ip，抓3个包，只抓tcp的包
tcpdump -i ens192 -n -c 3 tcp
#从本机的ens192网卡，显示ip，抓1000个包，抓取所有包，最后保存成文件kahn.cap
tcpdump -i ens192 -n -c 1000 > kahn.cap

转载请注明：运维博客 » 在centos7上使用tcpdump抓包

CentOS7的网卡设备的传统命名方式是 eth0、eth1、eth2等，而 CentOS7 提供了不同的命名规则，默认是基于固件、拓扑、位置信息来分配。这样做的优点是命名全自动的、可预知的，缺点是比 eth0、wlan0 更难读，比如 ens33 。

CentOS7 网卡命名规则

#规则1：
对于板载设备命名合并固件或 BIOS 提供的索引号，如果来自固件或 BIOS 的信息可读就命名，比如eno1，这种命名是比较常见的，否则使用规则2。
#规则2：
命名合并固件或 BIOS 提供的 PCI-E 热插拔口索引号，比如 ens1，如果信息可读就使用，否则使用规则3。
#规则3：
命名合并硬件接口的物理位置，比如 enp2s0，可用就命名，失败直接到方案5。
#规则4：
命名合并接口的 MAC 地址，比如 enx78e7d1ea46da，默认不使用，除非用户选择使用此方案。
#规则5：
使用传统的方案，如果所有的方案都失败，使用类似 eth0 这样的样式。

CentOS7 网卡命名规范

有两种命名规范：biosdevname和net.ifnames

#net.ifnames命名规范为:
设备类型+设备位置+数字
#设备类型：
en 表示Ethernet
wl 表示WLAN
ww 表示无线广域网WWAN
#设备位置:
o<index>:板载网卡
s<slot>:热插拔网卡
x<MAC>:硬件MAC
P<bus>:PDC网卡
#实际的例子:
eno1 板载网卡
enp0s2  pci网卡
ens33   pci网卡
wlp3s0  PCI无线网卡
wwp0s29f7u2i2   4G modem
wlp0s2f1u4u1   连接在USB Hub上的无线网卡
enx78e7d1ea46da pci网卡

#biosdevname的命名规范为:
板载网络接口：em[1,2,3,4……]
PDC网络接口：p<slot>p<port>
虚拟网络接口：p<slot>p<port>_<虚拟接口>
#实际的例子:
em1 板载网卡
p3p4 pci网卡
p3p4_1 虚拟网卡

转载请注明：运维博客 » CentOS7 网卡命名规则和网卡命名规范

UDP不像TCP有握手机制，所以不能只在客户端单方面测试到达服务端某个UDP端口是否通畅。一般做法是在服务端监听一个端口，客户端连接这个端口。客户端发送数据给服务端，在服务端观察是否可以收到数据。

2.windows系统测试UDP端口

windows可以用可视化工具，sokit-1.3-win32-chs.zip。既能做服务端，也能做客户端。自行百度，操作简单。

3.linux系统测试UDP端口

3.1.服务端监听指定UDP端口：

nc -ul 514
#或者使用
netcat -ul -p 514

3.2.客户端链接该端口，然后随便输入文字：

nc -u x.x.x.x 1080
#或者使用
netcat -u x.x.x.x 1080

4.网上的其他错误案例

4.1.客户端使用nc -uvz

[root@local]$ nc -uvz 8.8.8.8 514
Ncat: Version 7.50 ( https://nmap.org/ncat )
Ncat: Connected to 8.8.8.8:514.
Ncat: UDP packet sent successfully
Ncat: 1 bytes sent, 0 bytes received in 2.01 seconds.

这里一定要注意：回显success只是表示发送出去了，至于服务端收到没，不知道。

4.2.客户端使用nmap -sU

[root@local]# nmap -sU 8.8.8.8 -p 514 -Pn
Starting Nmap 6.40 ( http://nmap.org ) at 2023-02-25 01:06 CST
Nmap scan report for 8.8.8.8
Host is up.
PORT STATE SERVICE
514/udp open|filtered syslog
Nmap done: 1 IP address (1 host up) scanned in 2.06 seconds

原话是：“STATE为open是正常打开的状态，STATE为filtered是被阻断或者没有打开的状态”。

上面的说法就是误导人，你看我测试的STATE为open|filtered，这不就是跟没说一样吗？

转载请注明：运维博客 » 如何测试两个系统的UDP端口通信是否正常？

#今天工作亲身经历，现有一台windows和一台linux，都在一个网络里，同一个网段，跟踪同一个目标地址。
#windows结果如下；
C:\Users\Administrator>tracert 10.206.157.56
通过最多 30 个跃点跟踪到 10.206.157.56 的路由
  1     6 ms    10 ms    10 ms  10.136.153.12
  2     *       *         *
  3     5 ms     4 ms     6 ms  10.136.158.22
  4     *        5 ms     4 ms  10.132.36.156
  5     *        *        *
#linux结果如下
[root@localhost ~]# traceroute 10.206.157.56
traceroute to 10.206.157.56 (10.206.157.56), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *

2.再说原因

windows的tracert是使用icmp来探路，linux的traceroute是使用udp探测，给traceroute加上-I参数就会使用icmp。

3.原理分析

window下的tracert是常用的网络故障排查命令，首先PC会发送一个icmp request且TTL为1的数据包，数据包到达节点A，节点A回应ICMP差错消息(TTL超时)，PC根据发出与接收到数据包的时间差来算出时延，接着发送TTL为2的数据包，以此类推，直到收到目的节点回复的ICMP replay消息。
linux中的traceroute原理与tracert类似，只不过默认把发送的ICMP request数据包更换成了UDP数据包(30000 以上端口)，直到目的主机回应端口不可达(ICMP port unreachable)为止。

4.举一反三

traceroute的问题解决了，再仔细看windows中结果：

  1     6 ms    10 ms    10 ms  10.136.153.12
  2     *       *         *
  3     5 ms     4 ms     6 ms  10.136.158.22
  4     *        5 ms     4 ms  10.132.36.156

4.1.有的中间节点没有回复？是网络异常吗？

网络设备上设置了针对ttl为1的报文进行直接丢弃不回复来节约设备资源。

中间有防火墙之类的安全设备，不会发送icmp的ttl超时报文。

该设备上没有任何可以和互联网进行通信的公网ip地址。

4.2.有的中间节点出现两个*或一个*，是在丢包？

不是，因为网络设备对icmp报文的速率进行了一定的限制。

4.3.结论

tracert和traceroute最大的用处是探测源目节点间的路由走向，而不是探测目的节点网络连通性。
tracepath 使用 UDP 端口或一些随机端口。它类似于 traceroute,没有参数能让tracepath使用ICMP探测。

5.常用参数

tracert
-d     不解析成域名
-h     hops指定到达目标的最大跃点数（最大TTL）
-w     wait等待每个回复的超时时间(毫秒)
-4     强制使用IPv4
-6     强制使用IPv6
traceroute
-n     不解析成域名
-m     指定探测的最大跃点数（最大TTL），默认30
-w     等待超时的时间（秒），默认为5秒
-4     使用IPv4地址
-6     使用IPv6地址
-I     使用ICMP来追踪路由
-T     指定TCP格式，默认为UDP
-p     指定目的地址的端口号
-s     指定源地址
-i     指定发送数据包的网卡接口。默认根据路由表选择接口
-q     每个跃点的探测数（发包个数），默认为3
tracepath
-4    仅使用IPv4。
-6    仅使用IPv6。
-n    以数字形式只显示 IP 地址。
-b    同时显示 IP 地址和主机名。
-l    设置初始化的数据包长度，IPv4 默认为 65535，IPv6 默认为 128000。
-m    设置最大 TTL 值，默认为 30。
-p    设置要使用的初始目标端口。
-V    打印版本并退出。

转载请注明：运维博客 » 同一网络环境，用tracert正常但是用traceroute不正常？tracert/traceroute/tracepath区别

华为高低端防火墙默认都是不允许tracert命令的，但这会影响我们调测过程中排错,以及验收时的主备倒换测试，这时需要开启tracert功能，以便看到每一跳的路径。

2.处理过程

不同的防火墙命令各不相同，需要配置不同的命令进行开启，需要采用以下步骤进行开启tracert功能;

2.1.关闭Tracert报文攻击防范功能：

#USG系列、Eudemon系列命令：
undo firewall defend tracert enable

2.2.防火墙作为中间设备时：

需要配置开启ICMP超时报文功能。

#USG系列命令：
ip ttl-expires enable
#Eudemon系列命令：
icmp ttl-exceeded send

2.3.防火墙作为目的设备：

需要配置开启ICMP目的不可达报文发送功能。

#USG系列命令：
ip unreachables enable
#Eudemon系列命令：
icmp host-unreachable send
icmp port-unreachable send

转载请注明：运维博客 » 华为防火墙开启支持tracert/ping功能的方法