设备端数据包捕获
设备端数据包捕获或自我镜像允许您将进出设备上任何网络端口的网络数据包发送到该设备的 CPU 并保存到文件中。
设备端数据包捕获
概述
端口镜像是一种网络监控技术,允许您从端口复制网络数据包,并将其作为输入发送到监控端口或设备。设备端数据包捕获或自镜像允许您将复制的网络数据包发送到 CPU 并保存到 PCAP 文件中。此功能( 即设备端数据包捕获)可以帮助您进行协议和应用分析、网络调试和故障排除、网络取证、审计跟踪和网络攻击检测。
若要使用此功能,您需要:
-
配置标准端口镜像设置,包括端口镜像实例和防火墙过滤器。
-
配置 PCAP 文件,包括文件名、文件最大大小和写入模式。
-
使用作命令启动和停止设备端数据包捕获(自镜像)并清除自镜像统计信息。
优势
使用设备端数据包捕获功能:
-
取样数据包被发送到 CPU 并写入 PCAP 文件,允许您在实时环境中调试和分析问题。
- 无需将任何设备连接到要对数据包进行自我镜像的网络设备。
准则和限制
指引
-
在配置数据包的自镜像之前,请像配置标准端口镜像一样配置端口镜像实例和防火墙过滤器。
-
每个用于自镜像的端口镜像实例都必须有自己的“家族”名称。此功能的系列包括:
-
inet -
inet6 -
any
-
-
捕获的镜像数据包文件将在 /var/tmp/filename提供。
-
您可以在自镜像配置中应用
rate和max-packet-length值,就像应用任何端口镜像配置一样。 -
配置端口镜像实例以进行自镜像或常规端口镜像,但不能同时用于这两种目的。
-
默认情况下,DDOS(分布式拒绝服务)保护处于启用状态。应用带宽 12000、突发大小 15000 和监管器恢复 300 的监管器限制。
-
镜像数据包最多需要 60 秒才能存储在目标文件中。
-
如果在录制 PCAP 文件时更改任何自镜像参数,则录制不会受到影响。如果在录制文件时更改文件名,则会创建一个新文件,并在新文件中完成录制。
局限性
-
如果采样率过高 (1:1),则在捕获数据包时会影响系统的吞吐量,并增加系统资源的负载。您可以通过设置文件长度来限制捕获的文件大小,也可以通过发出
disable命令或request forwarding-options port-mirroring instance instance-name self-mirror-stop命令来禁用数据包捕获。 -
不支持出口方向上的端口镜像和丢弃作。
-
以下配置不支持自镜像:
-
forwarding-class -
policer -
使用相同文件名的多个自我镜像实例
-
远程端口镜像和自镜像应用于同一实例
-
-
多个接口的镜像副本需要为每个接口或会话捕获一个文件。
-
端口镜像实例的最大数量为 15。
配置设备端数据包捕获
在配置数据包的自镜像之前,请像配置标准端口镜像一样配置端口镜像实例和防火墙过滤器。
要配置设备端数据包捕获,请提供输出文件名,并可选择指定文件的写入模式和文件的最大大小:输出文件的写入模式决定了文件是否被写入:
-
Circular - 默认值;如果要使用“循环”模式,请不要指定模式。在循环模式下,如果超过配置的大小和最大文件值,则文件将被覆盖。默认文件大小为 5MB,最大文件数为 10。
- 线性 - 如果希望在文件大小超过配置的最大大小值时停止写入文件,请指定线性模式。
- set forwarding-options port-mirroring 实例 instance-name 族 family-name 输出文件 file-name
- 设置转发选项 端口镜像实例 instance-name 系列 family-name 输出文件 file-name (无 | 线性) 最大大小 value
启动、停止或清除设备端数据包捕获
-
您不必在三个命令中的任何一个中指定族;这样做是可选的。
-
开始前的秒数持续时间为 1–1800。
-
您不必在
clear命令中指定实例;这样做是可选的。 -
命令
clear将清除自镜像统计信息并删除关联的 PCAP 文件。
查看自镜像转换状态、开始/停止和统计信息
文件中捕获的镜像数据包将保留 WAN 接口上的 L2 标头。
- 显示转发选项 端口镜像 自镜像
- show forwarding-options port-mirroring self-mirror 统计信息
- 显示转发选项 端口镜像 自镜像启动
- 显示转发选项 端口镜像 自镜像停止