Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Verwenden der Paketerfassung zur Analyse des Netzwerkverkehrs

Paketerfassung – Übersicht

Die Paketerfassung ist ein Tool, mit dem Sie den Netzwerkverkehr analysieren und Netzwerkprobleme beheben können. Das Paketerfassungstool erfasst Echtzeit-Datenpakete, die über das Netzwerk übertragen werden, zur Überwachung und Protokollierung.

HINWEIS:

Die Paketerfassung wird auf physischen Schnittstellen, reth-Schnittstellen und Tunnelschnittstellen wie gr, ip, st0 und lsq-/ls unterstützt.

Pakete werden als Binärdaten ohne Modifikation erfasst. Sie können die Paketinformationen offline mit einem Paketanalysator wie Wireshark oder tcpdump lesen. Wenn Sie Pakete, die für die Routing-Engine bestimmt sind oder von ihr stammen, schnell erfassen und online analysieren müssen, können Sie das J-Web-Paketerfassungs-Diagnosetool verwenden.

HINWEIS:

Das Paketerfassungstool unterstützt die IPv6-Paketerfassung nicht.

Sie können entweder den J-Web-Konfigurationseditor oder den CLI-Konfigurationseditor verwenden, um die Paketerfassung zu konfigurieren.

Netzwerkadministratoren und Sicherheitstechniker verwenden die Paketerfassung, um die folgenden Aufgaben auszuführen:

  • Überwachen Sie den Netzwerkverkehr und analysieren Sie Datenverkehrsmuster.

  • Identifizieren und beheben Sie Netzwerkprobleme.

  • Erkennen Sie Sicherheitslücken im Netzwerk, wie z. B. unbefugtes Eindringen, Spyware-Aktivitäten oder Ping-Scans.

Die Paketerfassung funktioniert wie das Traffic-Sampling auf dem Gerät, mit dem Unterschied, dass ganze Pakete einschließlich des Layer-2-Headers erfasst und der Inhalt in einer Datei im libpcap-Format gespeichert wird. Bei der Paketerfassung werden auch IP-Fragmente erfasst.

Es ist nicht möglich, die Paketerfassung und das Sampling des Datenverkehrs gleichzeitig auf dem Gerät zu aktivieren. Im Gegensatz zur Datenverkehrsstichprobenerstellung gibt es bei der Paketerfassung keine Ablaufverfolgungsvorgänge.

HINWEIS:

Sie können Paketerfassung und Portspiegelung gleichzeitig auf einem Gerät aktivieren.

Dieser Abschnitt enthält die folgenden Themen:

Paketerfassung auf Geräteschnittstellen

Die Paketerfassung wird auf den Schnittstellen T1, T3, E1, E3, seriell, Gigabit Ethernet, ADSL, G.SHDSL, PPPoE und ISDN unterstützt.

Um Pakete auf einer ISDN-Schnittstelle zu erfassen, konfigurieren Sie die Paketerfassung auf der Dialer-Schnittstelle. Um Pakete auf einer PPPoE-Schnittstelle zu erfassen, konfigurieren Sie die Paketerfassung auf der logischen PPPoE-Schnittstelle.

Die Paketerfassung unterstützt PPP, Cisco HDLC, Frame Relay und andere ATM-Kapselungen. Die Paketerfassung unterstützt auch Multilink PPP (MLPPP), Multilink Frame Relay End-to-End (MLFR) und Multilink Frame Relay UNI/NNI (MFR)-Kapselungen.

Sie können alle IPv4-Pakete erfassen, die auf einer Schnittstelle in eingehender oder ausgehender Richtung fließen. Bei Datenverkehr, der das Flow-Softwaremodul umgeht (Protokollpakete wie ARP, OSPF und PIM), werden die von der Routing-Engine generierten Pakete jedoch nur erfasst, wenn Sie einen Firewall-Filter auf der Schnittstelle in ausgehender Richtung konfiguriert und angewendet haben.

Tunnelschnittstellen unterstützen die Paketerfassung nur in ausgehender Richtung.

Verwenden Sie den J-Web-Konfigurationseditor oder den CLI-Konfigurationseditor, um die maximale Paketgröße, den Dateinamen, der zum Speichern der erfassten Pakete verwendet werden soll, die maximale Dateigröße, die maximale Anzahl von Paketerfassungsdateien und die Dateiberechtigungen anzugeben.

HINWEIS:

Bei Paketen, die auf T1-, T3-, E1-, E3-, seriellen und ISDN-Schnittstellen in ausgehender Richtung (Ausgangsrichtung) erfasst werden, kann die Größe des erfassten Pakets aufgrund des PLP-Bits (Packet Loss Priority) um 1 Byte kleiner sein als die maximal konfigurierte Paketgröße.

Um die Kapselung auf einer Schnittstelle mit konfigurierter Paketerfassung zu ändern, müssen Sie die Paketerfassung deaktivieren.

Firewall-Filter für die Paketerfassung

Wenn Sie die Paketerfassung auf einem Gerät aktivieren, werden alle Pakete, die in die in der Paketerfassungskonfiguration angegebene Richtung fließen (eingehend, ausgehend oder beides), erfasst und gespeichert. Die Konfiguration einer Schnittstelle, die alle Pakete erfasst, kann die Leistung des Geräts beeinträchtigen. Sie können die Anzahl der Pakete, die auf einer Schnittstelle erfasst werden, mit Firewall-Filtern steuern und verschiedene Kriterien angeben, um Pakete für bestimmte Datenverkehrsflüsse zu erfassen.

Sie müssen auch geeignete Firewallfilter auf der Schnittstelle konfigurieren und anwenden, wenn Sie vom Hostgerät generierte Pakete erfassen müssen, da das Schnittstellen-Sampling keine Pakete erfasst, die vom Hostgerät stammen.

Paketerfassungsdateien

Wenn die Paketerfassung auf einer Schnittstelle aktiviert ist, wird das gesamte Paket einschließlich des Layer-2-Headers erfasst und in einer Datei gespeichert. Sie können die maximale Größe des zu erfassenden Pakets angeben, bis zu 1500 Byte. Bei der Paketerfassung wird für jede physische Schnittstelle eine Datei erstellt.

Die Dateierstellung und -speicherung erfolgt auf folgende Weise. Angenommen, Sie nennen die Paketerfassungsdatei .pcap-file Bei der Paketerfassung werden mehrere Dateien (eine pro physischer Schnittstelle) erstellt, wobei jeder Datei der Name der physischen Schnittstelle angehängt wird. zum Beispiel für die Gigabit-Ethernet-Schnittstelle .pcap-file.fe-0.0.1fe-0.0.1 Wenn die Datei mit dem Namen die maximale Größe erreicht, wird die Datei umbenannt .pcap-file.fe-0.0.1pcap-file.fe-0.0.1.0 Wenn die benannte Datei wieder die maximale Größe erreicht, wird die benannte Datei umbenannt und umbenannt .pcap-file.fe-0.0.1pcap-file.fe-0.0.1.0pcap-file.fe-0.0.1.1pcap-file.fe-0.0.1pcap-file.fe-0.0.1.0 Dieser Vorgang wird so lange fortgesetzt, bis die maximale Anzahl von Dateien überschritten und die älteste Datei überschrieben wird. Die Datei ist immer die neueste Datei.pcap-file.fe-0.0.1

Paketerfassungsdateien werden auch nach dem Deaktivieren der Paketerfassung auf einer Schnittstelle nicht entfernt.

Analyse von Paketerfassungsdateien

Paketerfassungsdateien werden im libpcap-Format im Verzeichnis gespeichert./var/tmp Sie können Benutzer- oder Administratorrechte für die Dateien festlegen.

Paketerfassungsdateien können offline mit tcpdump oder einem beliebigen Paketanalysator, der das libpcap-Format erkennt, geöffnet und analysiert werden. Sie können auch FTP oder das Session Control Protocol (SCP) verwenden, um die Paketerfassungsdateien auf ein externes Gerät zu übertragen.

HINWEIS:

Deaktivieren Sie die Paketerfassung, bevor Sie die Datei zur Analyse öffnen oder die Datei mit FTP oder SCP auf ein externes Gerät übertragen. Durch das Deaktivieren der Paketerfassung wird sichergestellt, dass der interne Dateipuffer geleert wird und alle erfassten Pakete in die Datei geschrieben werden.

Beispiel: Aktivieren der Paketerfassung auf einem Gerät

In diesem Beispiel wird gezeigt, wie die Paketerfassung auf einem Gerät aktiviert, der Netzwerkverkehr analysiert und Netzwerkprobleme behoben werden.

Anforderungen

Bevor Sie beginnen:

Überblick

In diesem Beispiel legen Sie die maximale Paketerfassungsgröße in jeder Datei auf 500 Byte fest. Der Bereich liegt zwischen 68 und 1500, und der Standardwert ist 68 Byte. Sie geben den Zieldateinamen für die Paketerfassungsdatei als pcap-file an. Anschließend geben Sie die maximale Anzahl der zu erfassenden Dateien als 100 an. Der Bereich liegt zwischen 2 und 10.000, und der Standardwert ist 10 Dateien. Sie legen die maximale Größe jeder Datei auf 1024 Byte fest. Der Bereich liegt zwischen 1.024 und 104.857.600, und der Standardwert ist 512.000 Byte. Schließlich geben Sie an, dass alle Benutzer über die Berechtigung zum Lesen der Paketerfassungsdateien verfügen.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.Verwenden des CLI-Editors im Konfigurationsmodus

So aktivieren Sie die Paketerfassung auf einem Gerät:

  1. Legen Sie die maximale Paketerfassungsgröße fest.

  2. Geben Sie den Namen der Zieldatei an.

  3. Geben Sie die maximale Anzahl der zu erfassenden Dateien an.

  4. Geben Sie die maximale Größe jeder Datei an.

  5. Geben Sie an, dass alle Benutzer über die Berechtigung zum Lesen der Datei verfügen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.run show forwarding-options Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der Paketerfassungskonfiguration

Zweck

Stellen Sie sicher, dass die Paketerfassung auf dem Gerät konfiguriert ist.

Was

Geben Sie im Konfigurationsmodus den Befehl ein.run show forwarding-options Stellen Sie sicher, dass die Ausgabe die beabsichtigte Dateikonfiguration zum Erfassen von Paketen anzeigt.

Verifizieren von abgefangenen Paketen

Zweck

Stellen Sie sicher, dass die Paketerfassungsdatei im Verzeichnis gespeichert ist und die Pakete offline analysiert werden können./var/tmp

Was
  1. Deaktivieren Sie die Paketerfassung.

    Übertragen Sie mithilfe von FTP eine Paketerfassungsdatei (z. B. ) an einen Server, auf dem Sie Paketanalysetools installiert haben (z. B. ).126b.fe-0.0.1tools-server

    1. Stellen Sie im Konfigurationsmodus eine Verbindung über FTP her .tools-server

    2. Navigieren Sie zu dem Verzeichnis, in dem Paketerfassungsdateien auf dem Gerät gespeichert sind.

    3. Kopieren Sie die Paketerfassungsdatei, die Sie analysieren möchten, auf den Server, z. B . .126b.fe-0.0.1

    4. Kehren Sie in den Konfigurationsmodus zurück.

  2. Öffnen Sie die Paketerfassungsdatei auf dem Server mit tcpdump oder einem beliebigen Paketanalysator, der das libpcap-Format unterstützt, und überprüfen Sie die Ausgabe.

Beispiel: Konfigurieren der Paketerfassung auf einer Schnittstelle

In diesem Beispiel wird gezeigt, wie die Paketerfassung auf einer Schnittstelle konfiguriert wird, um Datenverkehr zu analysieren.

Anforderungen

Bevor Sie beginnen:

Überblick

In diesem Beispiel erstellen Sie eine Schnittstelle mit dem Namen fe-0/0/1 und konfigurieren dann die Richtung des Datenverkehrs, für den Sie die Paketerfassung auf der logischen Schnittstelle aktivieren, als eingehend und ausgehend.

HINWEIS:

Bei Datenverkehr, der das Flow-Softwaremodul umgeht (Protokollpakete wie ARP, OSPF und PIM), werden die von der Routing-Engine generierten Pakete nicht erfasst, es sei denn, Sie haben einen Firewall-Filter auf der Schnittstelle in Ausgaberichtung konfiguriert und angewendet.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.Verwenden des CLI-Editors im Konfigurationsmodus

So konfigurieren Sie die Paketerfassung auf einer Schnittstelle:

  1. Erstellen Sie eine Schnittstelle.

  2. Konfigurieren Sie die Richtung des Datenverkehrs.

  3. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.

Überprüfung

Überprüfen der Paketerfassungskonfiguration

Zweck

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Stellen Sie sicher, dass die Paketerfassung auf der Schnittstelle konfiguriert ist.

Was

Geben Sie im Konfigurationsmodus den Befehl ein.run show interfaces fe-0/0/1

Beispiel: Konfigurieren eines Firewallfilters für die Paketerfassung

In diesem Beispiel wird gezeigt, wie ein Firewallfilter für die Paketerfassung konfiguriert und auf eine logische Schnittstelle angewendet wird.

Anforderungen

Bevor Sie beginnen:

Überblick

In diesem Beispiel legen Sie einen Firewallfilter mit dem Namen "dest-all" und einen Begriffsnamen mit dem Namen "dest-term" fest, um Pakete von einer bestimmten Zieladresse zu erfassen, nämlich 192.168.1.1/32. Sie definieren die Übereinstimmungsbedingung, um die abgetasteten Pakete zu akzeptieren. Schließlich wenden Sie den Filter "Alles ziel" auf alle ausgehenden Pakete auf der Schnittstelle fe-0/0/1 an.

HINWEIS:

Wenn Sie einen Firewall-Filter auf die Loopback-Schnittstelle anwenden, wirkt sich dies auf den gesamten Datenverkehr zur und von der Routing-Engine aus. Wenn der Firewallfilter über eine Aktion verfügt, werden Pakete zur und von der Routing-Engine abgetastet.sample Wenn die Paketerfassung aktiviert ist, werden Pakete zu und von der Routing-Engine in den Dateien erfasst, die für die Eingabe- und Ausgabeschnittstellen erstellt wurden.

Topologie

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imJunos OS CLI-Benutzerhandbuch .Verwenden des CLI-Editors im Konfigurationsmodus

So konfigurieren Sie einen Firewallfilter für die Paketerfassung und wenden ihn auf eine logische Schnittstelle an:

  1. Geben Sie den Firewall-Filter und seine Zieladresse an.

  2. Definieren Sie die Übereinstimmungsbedingung und ihre Aktion.

  3. Wenden Sie den Filter auf alle ausgehenden Pakete an.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.run show firewall filter dest-all Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Überprüfung

Überprüfen des Firewallfilters für die Paketerfassungskonfiguration

Zweck

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Stellen Sie sicher, dass der Firewallfilter für die Paketerfassung konfiguriert ist.

Was

Geben Sie im Konfigurationsmodus den Befehl ein.run show firewall filter dest-all Stellen Sie sicher, dass die Ausgabe die beabsichtigte Konfiguration des Firewallfilters zum Erfassen von Paketen anzeigt, die an die Zieladresse gesendet werden.

Beispiel: Konfigurieren der Paketerfassung für das Debuggen von Datenpfaden

In diesem Beispiel wird gezeigt, wie die Paketerfassung konfiguriert wird, um den Datenverkehr zu überwachen, der das Gerät passiert. Die Paketerfassung gibt die Pakete dann in ein PCAP-Dateiformat aus, das später vom Dienstprogramm tcpdump untersucht werden kann.

Anforderungen

Bevor Sie beginnen, lesen Sie Debuggen des Datenpfads (CLI-Verfahren).

Überblick

Ein Filter wird definiert, um den Datenverkehr zu filtern. Anschließend wird ein Aktionsprofil auf den gefilterten Datenverkehr angewendet. Das Aktionsprofil spezifiziert eine Vielzahl von Aktionen auf der Verarbeitungseinheit. Eine der unterstützten Aktionen ist der Paketdump, der das Paket an die Routing-Engine sendet und es in proprietärer Form speichert, damit es mit dem Befehl gelesen werden kann.show security datapath-debug capture

HINWEIS:

Das Debuggen von Datenpfaden wird auf SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 und SRX5800 unterstützt.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imJunos OS CLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodus

So konfigurieren Sie die Paketerfassung:

  1. Bearbeiten Sie die Option security datapath-debug für die mehreren Verarbeitungseinheiten entlang des Paketverarbeitungspfads:

  2. Aktivieren Sie die Aufnahmedatei, das Dateiformat, die Dateigröße und die Anzahl der Dateien. Die Größenzahl begrenzt die Größe der Erfassungsdatei. Wenn die Dateinummer angegeben ist, wird die Erfassungsdatei nach Erreichen der begrenzten Größe auf Dateinamen gedreht, wo sie automatisch inkrementiert wird, bis sie den angegebenen Index erreicht und dann auf Null zurückkehrt.xx Wenn kein Dateiindex angegeben ist, werden die Pakete verworfen, nachdem die Größenbeschränkung erreicht ist. Die Standardgröße beträgt 512 Kilobyte.

  3. Aktivieren Sie das Aktionsprofil, und legen Sie das Ereignis fest. Legen Sie das Aktionsprofil auf do-capture und den Ereignistyp auf np-ingress fest:

  4. Aktivieren Sie den Paketabzug für das Aktionsprofil:

  5. Aktivieren Sie Paketfilter-, Aktions- und Filteroptionen. Der Paketfilter ist auf my-filter, das Aktionsprofil auf do-capture und die Filteroption auf source-prefix 1.2.3.4/32 festgelegt.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security datapath-debug Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der Paketerfassung

Zweck

Überprüfen Sie, ob die Paketerfassung funktioniert.

Was

Geben Sie im Betriebsmodus den Befehl zum Starten der Paketerfassung und den Befehl zum Stoppen der Paketerfassung ein.request security datapath-debug capture startrequest security datapath-debug capture stop

Um die Ergebnisse anzuzeigen, greifen Sie im CLI-Betriebsmodus auf die lokale UNIX-Shell zu und navigieren Sie zum Verzeichnis /var/log/my-capture. Das Ergebnis kann mit dem Dienstprogramm tcpdump gelesen werden.

Überprüfen der Erfassung des Datenpfaddebuggens

Zweck

Überprüfen Sie die Details der Erfassungsdatei für das Debuggen des Datenpfads.

Was

Geben Sie im Betriebsmodus den Befehl ein.show security datapath-debug capture

WARNUNG:

Wenn Sie mit der Fehlerbehebung fertig sind, stellen Sie sicher, dass Sie alle Traceoptions-Konfigurationen (nicht beschränkt auf Flow-Trace-Optionen) und die vollständige Zeilengruppe für die Sicherheitsdatenpfad-Debug-Konfiguration entfernen oder deaktivieren. Wenn Debugkonfigurationen aktiv bleiben, verwenden sie weiterhin die CPU- und Speicherressourcen des Geräts.

Überprüfen des Debugindikators für Datenpfade

Zweck

Überprüfen Sie die Details des Datenpfad-Debugindikators.

Was

Geben Sie im Betriebsmodus den Befehl ein.show security datapath-debug counter

Paketerfassung deaktivieren

Sie müssen die Paketerfassung deaktivieren, bevor Sie die Paketerfassungsdatei zur Analyse öffnen oder die Datei auf ein externes Gerät übertragen. Durch das Deaktivieren der Paketerfassung wird sichergestellt, dass der interne Dateipuffer geleert wird und alle erfassten Pakete in die Datei geschrieben werden.

Um die Paketerfassung zu deaktivieren, geben Sie im Konfigurationsmodus Folgendes ein:

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Ändern der Kapselung auf Schnittstellen mit konfigurierter Paketerfassung

Bevor Sie die Kapselung auf einer Geräteschnittstelle ändern, die für die Paketerfassung konfiguriert ist, müssen Sie die Paketerfassung deaktivieren und die neueste Paketerfassungsdatei umbenennen. Andernfalls speichert die Paketerfassung die Pakete mit unterschiedlichen Kapselungen in derselben Paketerfassungsdatei. Paketdateien, die Pakete mit unterschiedlichen Kapselungen enthalten, sind nicht nützlich, da Paketanalysetools wie tcpdump solche Dateien nicht analysieren können.

Nachdem Sie die Kapselung geändert haben, können Sie die Paketerfassung auf dem Gerät sicher wieder aktivieren.

So ändern Sie die Kapselung auf Schnittstellen mit konfigurierter Paketerfassung:

  1. Deaktivieren Sie die Paketerfassung (siehe Deaktivieren der Paketerfassung).
  2. Geben Sie den Befehl aus dem Konfigurationsmodus ein .commit
  3. Benennen Sie die letzte Paketerfassungsdatei, in der Sie die Kapselung ändern, mit der Erweiterung um..chdsl
    1. Greifen Sie im Betriebsmodus auf die lokale UNIX-Shell zu.
    2. Navigieren Sie zu dem Verzeichnis, in dem Paketerfassungsdateien gespeichert sind.
    3. Benennen Sie die neueste Paketerfassungsdatei für die Schnittstelle um, auf der Sie die Kapselung ändern. Beispiel: .fe.0.0.0
    4. Kehren Sie in den Betriebsmodus zurück.
  4. Ändern Sie die Kapselung auf der Schnittstelle mithilfe der J-Web-Benutzeroberfläche oder des CLI-Konfigurationseditors.
  5. Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
  6. Aktivieren Sie die Paketerfassung erneut (siehe Beispiel: Aktivieren der Paketerfassung auf einem Gerät).
  7. Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Paketerfassungsdateien löschen

Durch das Löschen von Paketerfassungsdateien aus dem Verzeichnis /var/tmp werden die Paketerfassungsdateien nur vorübergehend entfernt. Paketerfassungsdateien für die Schnittstelle werden automatisch neu erstellt, wenn das nächste Mal ein Commit für eine Änderung der Paketerfassungskonfiguration ausgeführt wird, oder als Teil einer Paketerfassungsdateirotation.

So löschen Sie eine Paketerfassungsdatei:

  1. Deaktivieren Sie die Paketerfassung (siehe Deaktivieren der Paketerfassung).
  2. Löschen Sie die Paketerfassungsdatei für die Schnittstelle.
    1. Greifen Sie im Betriebsmodus auf die lokale UNIX-Shell zu.
    2. Navigieren Sie zu dem Verzeichnis, in dem Paketerfassungsdateien gespeichert sind.
    3. Löschen Sie die Paketerfassungsdatei für die Schnittstelle. Beispiel: .pcap-file.fe.0.0.0
    4. Kehren Sie in den Betriebsmodus zurück.
  3. Aktivieren Sie die Paketerfassung erneut (siehe Beispiel: Aktivieren der Paketerfassung auf einem Gerät).
  4. Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Paket-Header anzeigen

Geben Sie den Befehl ein, um Paketheader anzuzeigen, die über Netzwerkschnittstellen mit der folgenden Syntax übertragen werden:monitor traffic

HINWEIS:

Die Verwendung des Befehls kann die Systemleistung beeinträchtigen.monitor traffic Es wird empfohlen, Filteroptionen wie und zu verwenden, um die Auswirkungen auf den Paketdurchsatz auf dem System zu minimieren.countmatching

Beschreibt die Befehlsoptionen.Tabelle 1monitor traffic

Tabelle 1: CLI-Überwachung des Datenverkehrs Befehlsoptionen

Option

Beschreibung

absolute-sequence

(Optional) Zeigt die absoluten TCP-Sequenznummern an.

count number

(Optional) Zeigt die angegebene Anzahl von Paket-Headern an. Geben Sie einen Wert von bis an .0100,000 Der Befehl wird beendet und an der Eingabeaufforderung beendet, nachdem diese Zahl erreicht wurde.

interface interface-name

(Optional) Zeigt Paketheader für Datenverkehr auf der angegebenen Schnittstelle an. Wenn keine Schnittstelle angegeben ist, wird die Schnittstelle mit der niedrigsten Nummer überwacht.

layer2-headers

(Optional) Zeigt den Link-Layer-Paket-Header in jeder Zeile an.

matching "expression"

(Optional) Zeigt Paketheader an, die mit einem Ausdruck übereinstimmen, der in Anführungszeichen (" ") eingeschlossen ist. Durch Listenübereinstimmungsbedingungen, logische Operatoren und arithmetische, binäre und relationale Operatoren, die Sie im Ausdruck verwenden können.Tabelle 2Tabelle 4

no-domain-names

(Optional) Unterdrückt die Anzeige des Domänennamenteils des Hostnamens.

no-promiscuous

(Optional) Gibt an , dass die überwachte Schnittstelle in den promiskuitiven Modus versetzt werden soll.not

Im Promiscuous-Modus liest die Schnittstelle jedes Paket, das sie erreicht. Im nicht-promiskuitiven Modus liest die Schnittstelle nur die an sie adressierten Pakete.

no-resolve

(Optional) Unterdrückt die Anzeige von Hostnamen.

no-timestamp

(Optional) Unterdrückt die Anzeige von Zeitstempeln im Paket-Header.

print-ascii

(Optional) Zeigt jeden Paket-Header im ASCII-Format an.

print-hex

(Optional) Zeigt jeden Paket-Header (mit Ausnahme der Link-Layer-Header) im Hexadezimalformat an.

size bytes

(Optional) Zeigt die Anzahl der Bytes für jedes Paket an, das Sie angeben. Wenn ein Paket-Header diese Größe überschreitet, wird der angezeigte Paket-Header abgeschnitten. Der Standardwert ist .96

brief

(Optional) Zeigt minimale Paket-Header-Informationen an. Dies ist die Standardeinstellung.

detail

(Optional) Zeigt Paket-Header-Informationen in moderaten Details an. Bei einigen Protokollen müssen Sie auch die Option verwenden, um detaillierte Informationen anzuzeigen.size

extensive

(Optional) Zeigt die umfangreichste Ebene der Paket-Header-Informationen an. Für einige Protokolle müssen Sie auch die Option verwenden, um umfangreiche Informationen anzuzeigen.size

Um den Befehl zu beenden und zur Eingabeaufforderung zurückzukehren, drücken Sie Strg-C.monitor traffic

Um die vom Befehl angezeigten Paket-Header-Informationen einzuschränken, schließen Sie die Option ein.monitor trafficmatching "expression" Ein Ausdruck besteht aus einer oder mehreren Übereinstimmungsbedingungen, die in aufgeführt sind , eingeschlossen in Anführungszeichen (" ").Tabelle 2 Sie können Übereinstimmungsbedingungen kombinieren, indem Sie die logischen Operatoren verwenden, die in (in der Reihenfolge der höchsten bis niedrigsten Priorität) aufgeführt sind.Tabelle 3

Um z. B. TCP- oder UDP-Paket-Header anzuzeigen, geben Sie Folgendes ein:

Um die folgenden Arten von Ausdrücken zu vergleichen, verwenden Sie die relationalen Operatoren, die in (aufgelistet von der höchsten zur niedrigsten Priorität) aufgeführt sind:Tabelle 4

  • Arithmetik: Ausdrücke, die die arithmetischen Operatoren verwenden, die in aufgeführt sind .Tabelle 4

  • Binary: Ausdrücke, die die binären Operatoren verwenden, die in .Tabelle 4

  • Paketdatenaccessor – Ausdrücke, die die folgende Syntax verwenden:

    Ersetzen Sie durch ein beliebiges Protokoll in .protocolTabelle 2 Ersetzen Sie durch den Byte-Offset vom Anfang des Paketheaders, der für den Vergleich verwendet werden soll.byte-offset Der optionale Parameter stellt die Anzahl der Bytes dar, die im Paketheader untersucht werden – 1, 2 oder 4 Byte.size

    Mit dem folgenden Befehl wird beispielsweise der gesamte Multicastdatenverkehr angezeigt:

Tabelle 2: CLI-Überwachung des Datenverkehrs Übereinstimmungsbedingungen

Übereinstimmungsbedingung

Beschreibung

Entitätstyp

host [address | hostname]

Stimmt mit Paket-Headern überein, die die angegebene Adresse oder den angegebenen Hostnamen enthalten. Sie können eine der folgenden Protokollübereinstimmungsbedingungen, gefolgt von einem Leerzeichen, voranstellen:host , , oder eine der Richtungsanpassungsbedingungen.arpiprarp

network address

Stimmt Paket-Header mit Quell- oder Zieladressen ab, die die angegebene Netzwerkadresse enthalten.

network address mask mask

Stimmt mit Paket-Headern überein, die die angegebene Netzwerkadresse und Subnetzmaske enthalten.

port [port-number | port-name]

Stimmt mit Paket-Headern überein, die die angegebene Quell- oder Ziel-TCP- oder UDP-Portnummer oder den Portnamen enthalten.

Direktionale  

destination

Stimmt mit Paket-Headern überein, die das angegebene Ziel enthalten. Richtungsübereinstimmungsbedingungen können allen Übereinstimmungsbedingungen des Entitätstyps vorangestellt werden, gefolgt von einem Leerzeichen.

source

Stimmt mit Paket-Headern überein, die die angegebene Quelle enthalten.

source and destination

Stimmt mit Paket-Headern überein, die das angegebene Quellziel enthalten.and

source or destination

Stimmt mit Paket-Headern überein, die das angegebene Quellziel enthalten.or

Paketlänge

less bytes

Entspricht Paketen mit einer Länge kleiner oder gleich dem angegebenen Wert in Bytes.

greater bytes

Entspricht Paketen mit einer Länge größer oder gleich dem angegebenen Wert in Byte.

Protokoll

arp

Stimmt mit allen ARP-Paketen überein.

ether

Passend für alle Ethernet-Frames.

ether [broadcast | multicast]

Passt zu Broadcast- oder Multicast-Ethernet-Frames. Dieser Übereinstimmungsbedingung kann oder vorangestellt werden.sourcedestination

ether protocol [address | (\arp | \ip | \rarp)

Stimmt mit Ethernet-Frames mit der angegebenen Adresse oder dem angegebenen Protokolltyp überein. Die Argumente , und sind ebenfalls unabhängige Übereinstimmungsbedingungen, daher muss ihnen ein umgekehrter Schrägstrich (\) vorangestellt werden, wenn sie in der Übereinstimmungsbedingung verwendet werden.arpiprarpether protocol

icmp

Stimmt mit allen ICMP-Paketen überein.

ip

Stimmt mit allen IP-Paketen überein.

ip [broadcast | multicast]

Stimmt mit Broadcast- oder Multicast-IP-Paketen überein.

ip protocol [address | (\icmp | igrp | \tcp | \udp)]

Stimmt IP-Pakete mit der angegebenen Adresse oder dem angegebenen Protokolltyp überein. Die Argumente , und sind ebenfalls unabhängige Übereinstimmungsbedingungen, daher muss ihnen ein umgekehrter Schrägstrich (\) vorangestellt werden, wenn sie in der Übereinstimmungsbedingung verwendet werden.icmptcpudpip protocol

isis

Stimmt mit allen IS-IS-Routing-Nachrichten überein.

rarp

Stimmt mit allen RARP-Paketen überein.

tcp

Stimmt mit allen TCP-Paketen überein.

udp

Stimmt mit allen UDP-Paketen überein.

Tabelle 3: CLI-Überwachung des Datenverkehrs Logische Operatoren

Logischer Operator

Beschreibung

!

Logisch NICHT. Wenn die erste Bedingung nicht zutrifft, wird die nächste Bedingung ausgewertet.

&&

Logisches UND. Wenn die erste Bedingung zutrifft, wird die nächste Bedingung ausgewertet. Wenn die erste Bedingung nicht übereinstimmt, wird die nächste Bedingung übersprungen.

||

Logisches ODER. Wenn die erste Bedingung zutrifft, wird die nächste Bedingung übersprungen. Wenn die erste Bedingung nicht zutrifft, wird die nächste Bedingung ausgewertet.

()

Gruppieren Sie Operatoren, um die Standardrangfolge außer Kraft zu setzen. Klammern sind Sonderzeichen, denen jeweils ein umgekehrter Schrägstrich (\) vorangestellt werden muss.

Tabelle 4: CLI-Überwachung des Datenverkehrs Arithmetische, binäre und relationale Operatoren

Administrator

Beschreibung

Arithmetischer Operator

+

Additions-Operator.

Subtraktionsoperator.

/

Divisionsbetreiber.

Binärer Operator

&

Bitweises UND.

*

Bitweises exklusives ODER.

|

Bitweises inklusives ODER.

Relationaler Operator

<=

Eine Übereinstimmung tritt auf, wenn der erste Ausdruck kleiner oder gleich dem zweiten ist.

>=

Eine Übereinstimmung tritt auf, wenn der erste Ausdruck größer oder gleich dem zweiten ist.

<

Eine Übereinstimmung tritt auf, wenn der erste Ausdruck kleiner als der zweite ist.

>

Eine Übereinstimmung tritt auf, wenn der erste Ausdruck größer als der zweite ist.

=

Eine Übereinstimmung tritt auf, wenn der erste Ausdruck gleich dem zweiten ist.

!=

Eine Übereinstimmung tritt auf, wenn der erste Ausdruck nicht gleich dem zweiten ist.

Im Folgenden finden Sie eine Beispielausgabe des Befehls:monitor traffic