在工業(yè)自動(dòng)化中，以太網(wǎng)使用方便，通訊能力強(qiáng)大，有著非常廣泛的應(yīng)用。但是以太網(wǎng)通訊出現(xiàn)故障以后，一般在排查硬件故障（網(wǎng)線，交換機(jī)，設(shè)備）以后，還是很難解決，這個(gè)時(shí)候，就需要Wireshark軟件來抓包，Wireshark是一個(gè)免費(fèi)網(wǎng)絡(luò)包分析軟件，它能擷取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。

要抓到有用的數(shù)據(jù)包還是要有正確的步驟和方法，本文是講述如何配置工業(yè)管理型交換機(jī)的端口鏡像功能，使用Wireshark來抓取2個(gè)PLC以太網(wǎng)通訊的數(shù)據(jù)包的方法。

一、實(shí)驗(yàn)設(shè)備

M580 CPU BMEH582040：

CPU自帶網(wǎng)口，支持MODBUS TCP通訊

Quantum PLC 140CPU67160：

140NOE77101以太網(wǎng)模塊：

也支持MODBUS TCP通訊

工業(yè)管理型交換機(jī)TCSESM083F2CUO：

2個(gè)光口，6個(gè)電口，支持端口鏡像的功能

安裝有Wireshark的PC，網(wǎng)線若干

二、網(wǎng)絡(luò)架構(gòu)

140NOE77101接入交換機(jī)端口5，BMEH582040的第一個(gè)網(wǎng)口接入交換機(jī)的端口6，PC接入交換機(jī)的端口8。在下文中，將介紹如何將交換機(jī)的端口6設(shè)置為端口鏡像的源端口，8設(shè)置為端口鏡像的目標(biāo)端口。即將端口6的數(shù)據(jù)，鏡像到端口8。

三、管理型交換機(jī)的設(shè)置（以施耐德的管理型交換機(jī)TCSESM083F2CUO為例）

3.1、關(guān)閉電腦的防火墻（如果有殺毒軟件，電腦管家助手等，也都關(guān)閉或者退出），下圖是施耐德的公司電腦關(guān)閉McAfee的防火墻的截圖，僅供參考。

3.2、使用施耐德的交換機(jī)的專用工具Ethernet Switch Configurator，獲取交換機(jī)的IP。

如果是未設(shè)置IP的交換機(jī)，第一次需要使用這個(gè)工具給交換機(jī)分配IP地址。

掃描IP的時(shí)候，將電腦的網(wǎng)線插到交換機(jī)上，然后打開軟件開始掃描，注意選擇電腦本地網(wǎng)口來掃描網(wǎng)絡(luò)，如下圖顯示，掃描到這個(gè)交換機(jī)的IP地址是10.177.121.2，這個(gè)是交換機(jī)的IP地址，接入這個(gè)交換機(jī)的網(wǎng)絡(luò)設(shè)備的IP不要和交換機(jī)的IP沖突。

3.3、將電腦的的本地網(wǎng)口的IP設(shè)置為10.177.121.123（和交換機(jī)一個(gè)網(wǎng)段），使用IE登錄到交換機(jī)的配置網(wǎng)頁(yè)，這個(gè)需要電腦安裝和交換機(jī)相匹配的JAVA版本，注意TCSESM的交換機(jī)需要安裝32位JAVA，然后按照下面的步驟登錄到交換機(jī)的網(wǎng)頁(yè)。

交換機(jī)默認(rèn)管理員賬號(hào)admin 密碼private

3.4 、如圖所示，在Port Mirroring里面，設(shè)置Operation 為On，圖中的設(shè)置是將源端口6的發(fā)送（TX）和接收（RX）的數(shù)據(jù)，鏡像到目標(biāo)端口8（抓包時(shí)插電腦的端口）。端口5不用設(shè)置為源端口，因?yàn)橥ㄓ嵤窍嗷サ?，只鏡像通訊的一方就可以了。

設(shè)置完成后，load/Save變成黃色三角符號(hào)，是提示修改了配置后，需要保存到交換機(jī)，需要點(diǎn)擊圖中的Save，將配置保存到交換機(jī)。

保存完成后，Load/Save變成磁盤圖標(biāo)，表示保存已經(jīng)完成。

四、M580使用READ_VAR和WIRTE_VAR和Quantum的PLC進(jìn)行MODBUS TCP通訊

4.1、M580編寫程序讀寫Quantum的PLC

4.2 在線監(jiān)控程序程序通訊正常，recp1[1]是讀取的從站的數(shù)據(jù)

4.3 打開wireshark，選擇電腦的網(wǎng)口（不要選錯(cuò)了），開始抓包，確保電腦防火墻關(guān)閉

啟動(dòng)抓包工具后，抓取一段時(shí)間的數(shù)據(jù)包，抓到需要的數(shù)據(jù)包后，先點(diǎn)擊紅色的“停止”按鈕，然后點(diǎn)文件，選擇保存，將數(shù)據(jù)包保存為默認(rèn)的pcapng格式，抓包完成。

五、數(shù)據(jù)包的簡(jiǎn)單分析

以本例中的數(shù)據(jù)包為例

第4到7行是一次16功能碼寫入的數(shù)據(jù)包：

第4行，M580的192.168.10.1的IP，向140NOE77101的192.168.10.222的IP，發(fā)送了TCP的請(qǐng)求，請(qǐng)求里面包含了MAC地址，IP地址，502端口等信息。

第5行，192.168.10.1向192.168.10.222發(fā)送了Modbus/TCP的請(qǐng)求，對(duì)方的單元ID默認(rèn)是255，功能碼16，寫多個(gè)寄存器。寄存器的首地址，寫的長(zhǎng)度的等等。

第6行，是192.168.10.222返回的第4行的TCP請(qǐng)求的信息。

第7行，是192.168.10.222返回的第5行的Modbus/TCP請(qǐng)求的信息，通訊完成。

同樣，第8到第11行，是一次03功能碼讀取的數(shù)據(jù)包

如果是施耐德的產(chǎn)品通訊出現(xiàn)了問題，抓到了數(shù)據(jù)包以后，可以通過施耐德400熱線，聯(lián)系熱線工程師，將數(shù)據(jù)包發(fā)過來，施耐德有L3的高級(jí)工程師，可以通過分析抓取的數(shù)據(jù)包，來找出通訊故障的原因。

六、總結(jié)

1、抓包的時(shí)候，一定要關(guān)閉電腦的防火墻，殺毒軟件，管家助手等。

2、需要有端口鏡像功能設(shè)備才可以抓包，比如本例中的管理型交換機(jī)。

3、設(shè)置端口鏡像時(shí)，注意選擇目標(biāo)端口和源端口，確保抓到的數(shù)據(jù)是有效的。

4、如果是需要診斷網(wǎng)絡(luò)故障而抓包，那么一定要抓到發(fā)生網(wǎng)絡(luò)故障時(shí)候的數(shù)據(jù)包，要不然是沒有辦法診斷的。

原文標(biāo)題：使用WIRESHARK抓以太網(wǎng)數(shù)據(jù)包

文章出處：【微信公眾號(hào)：施耐德自動(dòng)化】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。

責(zé)任編輯：haq