Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Captura de pacotes no dispositivo

A captura de pacotes no dispositivo, ou auto-espelhamento, permite que você tenha pacotes de rede entrando ou saindo de qualquer porta de rede em um dispositivo enviado para a CPU desse dispositivo e salvo em um arquivo.

Captura de pacotes no dispositivo

Visão geral

Espelhamento de porta é uma técnica de monitoramento de rede que permite que você tenha pacotes de rede copiados de uma porta e enviados como entrada para uma porta ou dispositivo de monitoramento. A captura de pacotes no dispositivo, ou auto-espelhamento, permite que você tenha os pacotes de rede copiados enviados para a CPU e salvos em um arquivo PCAP. Esse recurso, a captura de pacotes no dispositivo, pode ajudá-locom análise de protocolo e aplicativos, depuração e solução de problemas de rede, forense de rede, trilhas de auditoria e detecção de ataques de rede.

Para usar esse recurso, você precisa:

  • Configure uma configuração padrão de espelhamento de portas, incluindo instâncias de espelhamento de portas e filtros de firewall.

  • Configure o arquivo PCAP, incluindo nome de arquivo, tamanho máximo do arquivo e modo de gravação.

  • Use os comandos operacionais para iniciar e parar a captura de pacotes no dispositivo (auto-espelhamento) e limpar as estatísticas de auto-espelhamento.

Benefícios

Com a captura de pacotes no dispositivo:

  • Os pacotes amostrados são enviados para a CPU e escritos em um arquivo PCAP, permitindo que você depure e analise problemas em um ambiente ao vivo.

  • Você não precisa ter nenhum dispositivo conectado ao dispositivo de rede no qual você esteja se auto-espelhando os pacotes.

Diretrizes e limitações

Diretrizes

  • Antes de configurar o auto-espelhamento de pacotes, configure as instâncias de espelhamento de portas e o filtro de firewall como você faria para espelhamento de porta padrão.

  • Cada exemplo de espelhamento de porta para auto-espelhamento deve ter sua própria designação "família". As famílias para este recurso são:

    • inet

    • inet6

    • any

  • O arquivo de pacote espelhado capturado estará disponível em /var/tmp/filename.

  • Você pode aplicar rate e max-packet-length valores na configuração de auto-espelhamento da mesma forma que faria para qualquer configuração de espelhamento de porta.

  • Configure uma instância de espelhamento de porta para auto-espelhamento ou para espelhamento geral de porta, mas não para ambas as finalidades de uma só vez.

  • Por padrão, a proteção contra DDOS (negação de serviço distribuída) é habilitada. Os limites do policial de largura de banda 12000, tamanho 15000 e recuperação de policiais 300 são aplicados.

  • Os pacotes espelhados levam até 60 segundos para serem armazenados no arquivo de destino.

  • Se você alterar quaisquer parâmetros de auto-espelhamento enquanto o arquivo PCAP estiver gravando, a gravação não será afetada. Se você alterar o nome do arquivo enquanto o arquivo estiver gravando, um novo arquivo é criado e a gravação será concluída no novo arquivo.

Limitações

  • Se a taxa de amostragem for agressiva (1:1), ela afeta a taxa de transferência do sistema à medida que os pacotes são capturados, e aumenta a carga sobre os recursos do sistema. Você pode restringir o tamanho do arquivo capturado configurando o comprimento do arquivo, ou pode desabilitar a captura de pacotes emitindo o disable comando ou o request forwarding-options port-mirroring instance instance-name self-mirror-stop comando.

  • As ações de espelhamento e descarte de portas na direção da saída não são suportadas.

  • O self-mirroring não é suportado com as seguintes configurações:

    • forwarding-class

    • policer

    • Várias instâncias de auto-espelhamento com o mesmo nome de arquivo

    • Espelhamento remoto de porta e auto-espelhamento aplicados na mesma instância

  • Cópias espelhadas de várias interfaces exigem um arquivo capturado por interface ou sessão.

  • O número máximo de instâncias espelhadas de porta é de 15.

Configure a captura de pacotes no dispositivo

Antes de configurar o auto-espelhamento de pacotes, configure as instâncias de espelhamento de portas e o filtro de firewall como você faria para espelhamento de porta padrão.

Para configurar a captura de pacotes no dispositivo, forneça um nome de arquivo de saída e especifique opcionalmente o modo de gravação para o arquivo e o tamanho máximo do arquivo:
Nota:

O modo de gravação do arquivo de saída determina se o arquivo está escrito em:

  • circular — O padrão; não especifique um modo se quiser usar o modo "circular". No modo circular, o arquivo é sobreescrito se o tamanho configurado e os valores máximos do arquivo forem excedidos. O tamanho padrão do arquivo é de 5MB e o número máximo de arquivos é de 10.

  • linear — Especifique o modo linear se quiser que a escrita no arquivo pare se o tamanho do arquivo exceder o valor máximo configurado.
  1. definir o arquivo de saída da família family-name de instâncias instance-name de espelhamento de portas com opções de encaminhamento file-name
  2. definir o arquivo file-name de saída da família family-namede instâncias instance-name de espelhamento de porta de opções de encaminhamento (nenhum | linear) em tamanho máximo value

Iniciar, parar ou limpar a captura de pacotes no dispositivo

Para iniciar, parar ou limpar a captura de pacotes no dispositivo, use os seguintes comandos operacionais conforme necessário:
Nota:

  • Você não precisa especificar uma família em nenhum dos três comandos; fazer isso é opcional.

  • A duração de segundos antes do início é de 1-1800.

  • Você não precisa especificar uma instância no clear comando; fazer isso é opcional.

  • O clear comando limpa estatísticas de auto-espelhamento e apaga os arquivos PCAP associados.

  1. solicitar encaminhamento de opções de espelhamento de porta da família instance-namefamily-name self-mirror-start start-duration-seconds
  2. solicitar encaminhamento de opções de espelhamento de porta instância auto-espelhamento instance-name da família family-name self-mirror-stop
  3. família clara de instâncias de espelhamento instance-name de porta com opções de encaminhamento family-name

Veja o estado de transição auto-espelhamento, início/parada e estatísticas

Para ver a configuração:
Nota:

Os pacotes espelhados capturados no arquivo retêm o cabeçalho L2 na interface WAN.