Wireshark MPLS-TP路径追踪：方法

Wireshark MPLS-TP路径追踪：方法

【免费下载链接】wireshark Read-only mirror of Wireshark's Git repository at https://gitlab.com/wireshark/wireshark. ⚠️ GitHub won't let us disable pull requests. ⚠️ THEY WILL BE IGNORED HERE ⚠️ Upload them at GitLab instead. 项目地址: https://gitcode.com/gh_mirrors/wi/wireshark

MPLS-TP（Multiprotocol Label Switching - Transport Profile，多协议标签交换-传输配置文件）作为面向连接的分组传输技术，在电信网络中广泛用于提供可靠的业务承载。Wireshark作为网络分析利器，可通过特定方法追踪MPLS-TP路径，定位网络故障。本文将详细介绍实现MPLS-TP路径追踪的完整流程，包括协议解析原理、关键配置及实战操作。

MPLS-TP协议解析基础

MPLS-TP基于MPLS技术架构，通过标签栈实现数据转发，其帧结构包含MPLS标签、TTL（Time To Live，生存时间）及可选的OAM（Operations, Administration, and Maintenance，操作、管理和维护）字段。Wireshark通过内置的MPLS协议解析器识别这些字段，相关实现位于epan/dissectors/packet-mpls.c。该文件定义了MPLS标签的格式解析逻辑，包括标签值（Label）、流量类别（TC）、栈底指示（S）及TTL字段的提取方法。

在Wireshark中，MPLS-TP相关的显示过滤器字段包括：

• mpls.label：MPLS标签值，用于标识转发路径
• mpls.ttl：TTL值，可辅助判断路径跳数
• mpls.s：栈底标志，指示是否为最底层标签

通过组合这些字段，可构建精确的过滤规则。例如，过滤标签值为100的MPLS-TP报文：mpls.label == 100 && mpls.s == 1。

路径追踪准备工作

捕获MPLS-TP流量

需在MPLS-TP网络的边缘节点或核心节点镜像流量，推荐使用dumpcap工具进行高效捕获，其源码位于dumpcap.c。捕获命令示例：

dumpcap -i eth0 -w mpls_tp_capture.pcap -f "ether proto 0x8847"

其中0x8847为MPLS以太网类型值，确保只捕获MPLS帧。

配置Wireshark协议偏好

为准确解析MPLS-TP，需在Wireshark中启用相关协议支持：

1. 打开菜单编辑 → 首选项 → 协议 → MPLS
2. 勾选“启用MPLS-TP解析”选项
3. 设置MPLS标签范围（默认0-1048575）

相关配置存储在用户偏好文件中，具体实现参考ui/qt/prefs_mpls.cpp。

路径追踪核心方法

基于TTL的跳数分析

MPLS-TP报文在每经过一个LSR（Label Switching Router，标签交换路由器）时，TTL值减1。通过追踪TTL值变化，可推断路径跳数。操作步骤：

1. 打开捕获文件，应用过滤器mpls显示所有MPLS报文
2. 按TTL值排序报文列表（右键点击列标题 → 选中“MPLS TTL”）
3. 分析同一流中TTL值的递减序列，确定路径节点数量

标签栈深度追踪

MPLS-TP支持标签栈嵌套，通过分析标签栈深度变化可识别路径中的标签交换点。在Wireshark的** packet details **面板中，展开“MPLS”字段，查看标签栈结构。例如：

MPLS Label Stack: [200, 300] (S=0)
  Label: 200, TC: 0, S: 0, TTL: 255
  Label: 300, TC: 0, S: 1, TTL: 254

其中S=1表示栈底标签，标签栈从[200, 300]变为[300]的节点即为标签交换点。相关解析逻辑位于epan/dissectors/packet-mpls.c。

OAM报文分析

MPLS-TP定义了丰富的OAM报文（如CV/FFD、LM、DM等），用于路径监控。Wireshark通过epan/dissectors/packet-mpls-oam.c解析这些报文。例如，通过过滤mpls.oam.type == 0x01可提取连续性检查（CV）报文，分析报文中的源MAC和目的MAC，确定OAM流的端点，进而推断业务路径。

实战案例：定位路径异常

场景描述

某运营商网络中，MPLS-TP承载的业务出现间歇性丢包。需通过Wireshark分析报文，定位丢包节点。

分析步骤

1. 过滤目标流：使用mpls.label == 500 && ip.addr == 192.168.1.1过滤特定业务流，其中500为该业务的MPLS标签。
2. 检查TTL跳变：发现TTL值从255跳变为253（缺失TTL=254的报文），表明路径中第二个节点存在丢包。
3. 验证OAM报文：过滤mpls.oam.type == 0x02（LM报文），发现从第二跳节点发出的LM报文丢失率达10%。
4. 定位故障节点：结合网络拓扑，第二跳节点为LSR2，登录该设备检查端口状态，发现物理接口存在误码。

高级功能：自定义MPLS-TP解析

对于私有扩展的MPLS-TP协议，可通过Wireshark的插件机制扩展解析能力。参考doc/plugins.example/中的示例，开发自定义 dissector。关键步骤包括：

1. 定义私有TLV（Type-Length-Value）字段解析逻辑
2. 注册协议解析回调函数
3. 编译插件并放置于Wireshark插件目录（如~/.local/lib/wireshark/plugins/4.0/epan/）

总结与扩展

Wireshark通过MPLS协议解析器、显示过滤器及OAM报文分析，为MPLS-TP路径追踪提供了强大支持。核心方法包括TTL跳数分析、标签栈追踪及OAM报文解析，结合网络拓扑可快速定位故障节点。进阶用户可通过自定义插件扩展功能，满足特定网络环境需求。相关工具的使用细节可参考官方文档doc/wsug_src/wsug_advanced.adoc中的“协议流追踪”章节。

后续可探索Wireshark与Python脚本的结合，通过extcap/框架实现MPLS-TP路径自动发现，进一步提升分析效率。

【免费下载链接】wireshark Read-only mirror of Wireshark's Git repository at https://gitlab.com/wireshark/wireshark. ⚠️ GitHub won't let us disable pull requests. ⚠️ THEY WILL BE IGNORED HERE ⚠️ Upload them at GitLab instead. 项目地址: https://gitcode.com/gh_mirrors/wi/wireshark