| ARP协议 |
arp |
查看实时ARP请求/响应 |
| IPv6邻居发现 |
icmp6 and ip6[40] == 135 or 136 |
跟踪ND请求和通告报文 |
| LLDP协议 |
ether proto 0x88cc |
可视化邻居发现过程 |
| STP(802.1D) |
ether proto 0x010b |
观察拓扑变化/阻塞状态 |
| OSPF协议 |
proto 89 |
监控Hello报文、LSA和邻接关系建立 |
| BGP协议 |
tcp port 179 |
跟踪会话建立和更新报文 |
| ICMP协议 |
icmp |
Ping、traceroute或通用ICMP流量 |
| TCP协议 |
tcp |
通用TCP流量 |
| UDP协议 |
udp |
通用UDP流量 |
| VLAN(802.1Q) |
vlan |
过滤带VLAN标签的帧 |
| VXLAN(UDP 4789) |
udp port 4789 |
查看VXLAN封装流量 |
| VXLAN示例(172.16.10.1 → 8.8.8.8) |
udp port 4789 and src 172.16.10.1 and dst 8.8.8.8 |
跟踪特定源/目的的VXLAN流量 |
| 仅ARP请求 |
arp and arp[6:2] = 1 |
检测未解析的IP到MAC地址查询 |
| 仅ARP响应 |
arp and arp[6:2] = 2 |
验证ARP解析是否成功 |
| 免费ARP |
arp and src host 0.0.0.0 |
高可用故障转移或IP接管测试 |
| ICMP目标不可达 |
icmp[0] = 3 |
路由或防火墙丢弃问题诊断 |
| ICMP需要分片 |
icmp[0] = 3 and icmp[1] = 4 |
MTU和PMTUD故障排查 |
| Traceroute(ICMP TTL超时) |
icmp[0] = 11 |
实验室环境中的路径检测 |
| 仅TCP三次握手 |
tcp[tcpflags] & (tcp-syn |
tcp-ack) != 0 |
| TCP重传(启发式) |
tcp[tcpflags] & tcp-ack != 0 |
数据包丢失或拥塞症状 |
| TCP FIN/会话关闭 |
tcp[tcpflags] & tcp-fin != 0 |
优雅的会话终止 |
| 非对称路由检查 |
tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack == 0 |
有SYN报文但无响应 |
| 仅DNS查询 |
udp port 53 and udp[10] & 0x80 = 0 |
客户端域名解析问题 |
| 仅DNS响应 |
udp port 53 and udp[10] & 0x80 != 0 |
验证DNS服务器行为 |
| DHCP发现 |
udp[247:1] = 1 |
客户端请求IP地址 |
| DHCP提供 |
udp[247:1] = 2 |
验证DHCP服务器可用性 |
| HTTP GET请求 |
tcp port 80 and tcp[((tcp[12] & 0xf0) >> 2):4] = 0x47455420 |
应用层故障排查 |
| HTTP POST请求 |
tcp port 80 and tcp[((tcp[12] & 0xf0) >> 2):4] = 0x504f5354 |
API或表单提交跟踪 |
| BGP保活报文 |
tcp port 179 and tcp[32:1] = 4 |
验证BGP会话稳定性 |
| OSPF Hello报文 |
ip proto 89 and ip[24] = 1 |
邻接关系建立故障排查 |
| OSPF LSA报文 |
ip proto 89 and ip[24] != 1 |
拓扑传播分析 |
| VRRP通告 |
ip proto 112 |
网关冗余测试 |
| RTP媒体流 |
udp portrange 10000-20000 |
语音质量故障排查 |
| IPsec ESP流量 |
ip proto 50 |
验证加密VPN流量转发 |
| IPsec AH流量 |
ip proto 51 |
验证认证头 |
| IKE/ISAKMP |
udp port 500 or udp port 4500 |
VPN协商/隧道建立故障排查 |
| MPLS LDP发现 |
udp port 646 |
标签分发协议会话 |
| MPLS Ping/带标签流量 |
mpls |
MPLS封装/转发故障排查 |
| EVPN BGP Type-2(MAC-IP)更新 |
tcp port 179 and tcp[32:1] = 2 |
EVPN MAC/IP学习验证 |
| EVPN Type-5(IP前缀)更新 |
tcp port 179 and tcp[32:1] = 5 |
EVPN路由覆盖验证 |
| Kubernetes API请求 |
tcp port 6443 |
控制平面访问故障排查 |
| VXLAN泛洪/BUM流量 |
udp port 4789 and (dst net 239.0.0.0/8 or dst ff:ff:ff:ff:ff:ff) |
排查覆盖网络中的广播、未知单播、组播复制问题 |
| MPLS OAM/LSP Ping ICMP |
mpls and icmp |
MPLS故障排查中验证LSP连续性 |
| VXLAN ARP抑制 |
udp port 4789 and arp |
检查ARP抑制/VTEP学习是否生效 |
| MPLS上的Ping/ICMP |
ip proto 1 and mpls |
验证端到端MPLS可达性 |
| BGP路由刷新 |
tcp port 179 and tcp[32:1] = 5 |
强制并调试动态路由更新 |
| VXLAN组播加入/离开 |
udp port 4789 and ip multicast |
调试VTEP组播复制 |
| 覆盖网络控制平面(EVPN/BGP) |
tcp port 179 and (src net 10.0.0.0/24 or dst net 10.0.0.0/24) |
聚焦覆盖网络控制平面报文 |
| Kubernetes Kubelet节点流量 |
tcp port 10250 or 10255 |
节点代理通信检查 |
| 容器间Pod流量 |
tcp and src net 10.244.0.0/16 |
验证Pod网络连通性 |
| 防火墙NAT转换检查 |
tcp and dst host |
确保NAT转换正确应用 |
| 防火墙策略命中 |
tcp or udp and src host |
检查流量匹配的规则 |
| 高可用集群心跳 |
udp port 702 |
设备高可用集群心跳检测 |
| VTEP上的VXLAN BFD |
udp port 3784 |
检查覆盖网络中的快速故障检测 |
| Kubernetes NodePort流量 |
tcp dst portrange 30000-32767 |
NodePort服务的外部访问 |
| Kubernetes Ingress控制器 |
tcp port 80 or tcp port 443 and dst |
跟踪Ingress流量转发 |
| VXLAN ARP/MAC学习验证 |
udp port 4789 and arp |
检查VTEP是否正确学习MAC地址 |
| BGP路由抖动/撤销 |
tcp port 179 and tcp[32:1] = 3 |
监控BGP路由撤销 |
