Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Verwendung von Paketerfassung zur Analyse des Netzwerkverkehrs

Paketerfassung – Überblick

Die Paketerfassung ist ein Tool, mit dem Sie den Netzwerkverkehr analysieren und Netzwerkprobleme beheben können. Das Paketerfassungstool erfasst Datenpakete in Echtzeit, die zur Überwachung und Protokollierung über das Netzwerk wandern.

HINWEIS:

Die Paketerfassung wird auf physischen Schnittstellen, Reth-Schnittstellen und Tunnelschnittstellen wie gr, ip, st0 und lsq-/ls unterstützt.

Pakete werden ohne Änderungen als binäre Daten erfasst. Sie können die Paketinformationen offline mit einem Paketanalysator wie Wireshark oder tcpdump lesen. Wenn Sie Pakete, die für die Routing-Engine bestimmt sind oder von dieser stammen, schnell erfassen und online analysieren müssen, können Sie das J-Web-Paketerfassungs-Diagnosetool verwenden.

HINWEIS:

Das Paketerfassungstool unterstützt keine IPv6-Paketerfassung.

Sie können entweder den J-Web-Konfigurations-Editor oder den CLI-Konfigurations-Editor verwenden, um die Paketerfassung zu konfigurieren.

Netzwerkadministratoren und Sicherheitsingenieure nutzen die Paketerfassung, um die folgenden Aufgaben auszuführen:

  • Überwachung des Netzwerkverkehrs und Analyse von Datenverkehrsmustern.

  • Identifizieren und beheben Sie Netzwerkprobleme.

  • Erkennen Sie Sicherheitsverletzungen im Netzwerk, wie z. B. unbefugtes Eindringen, Spyware-Aktivitäten oder Ping-Scans.

Die Paketerfassung funktioniert wie das Sampling des Datenverkehrs auf dem Gerät, außer dass sie ganze Pakete einschließlich des Layer-2-Header erfasst und den Inhalt in einer Datei im libpcap-Format speichert. Paketerfassung erfasst auch IP-Fragmente. Sie können die Paketerfassung und das Sampling des Datenverkehrs auf dem Gerät nicht gleichzeitig aktivieren. Im Gegensatz zum Sampling des Datenverkehrs gibt es keine Ablaufverfolgungsvorgänge für die Paketerfassung.

HINWEIS:

Sie können die Paketerfassung und Portspiegelung gleichzeitig auf einem Gerät aktivieren.

Dieser Abschnitt enthält die folgenden Themen:

Paketerfassung auf Geräteschnittstellen

Die Paketerfassung wird auf den Schnittstellen T1, T3, E1, E3, seriell, Gigabit Ethernet, ADSL, G.SHDSL, PPPoE und ISDN unterstützt.

Um Pakete auf einer ISDN-Schnittstelle zu erfassen, konfigurieren Sie die Paketerfassung auf der Dialer-Schnittstelle. Um Pakete auf einer PPPoE-Schnittstelle zu erfassen, konfigurieren Sie die Paketerfassung auf der logischen PPPoE-Schnittstelle.

Packet Capture unterstützt PPP, Cisco HDLC, Frame Relay und andere ATM-Kapselungen. Paketerfassung unterstützt auch Multilink PPP (MLPPP), Multilink Frame Relay End-to-End (MLFR) und Multilink Frame Relay UNI/NNI (MFR)-Kapselungen.

Sie können alle IPv4-Pakete erfassen, die auf einer Schnittstelle in eingehender oder ausgehender Richtung fließen. Bei Datenverkehr, der das Datenstrom-Softwaremodul umgeht (Protokollpakete wie ARP, OSPF und PIM), werden von der Routing-Engine generierte Pakete jedoch nur dann erfasst, wenn Sie einen Firewall-Filter in ausgehender Richtung auf die Schnittstelle konfiguriert und angewendet haben.

Tunnelschnittstellen können die Paketerfassung nur in ausgehender Richtung unterstützen.

Verwenden Sie den J-Web-Konfigurations-Editor oder den CLI-Konfigurations-Editor, um die maximale Paketgröße, den Dateinamen für die Speicherung der erfassten Pakete, die maximale Dateigröße, die maximale Anzahl von Paketerfassungsdateien und die Dateiberechtigungen anzugeben.

HINWEIS:

Bei Paketen, die auf T1-, T3-, E1-, E3-, seriellen und ISDN-Schnittstellen in ausgehender (Ausgangs-)Richtung erfasst werden, kann die Größe des erfassten Pakets 1 Byte geringer sein als die maximale Paketgröße, die aufgrund des PLP-Bits (Packet Loss Priority) konfiguriert wurde.

Um die Kapselung auf einer Schnittstelle zu ändern, die die Paketerfassung konfiguriert hat, müssen Sie zuerst die Paketerfassung deaktivieren.

Firewall-Filter für Paketerfassung

Wenn Sie die Paketerfassung auf einem Gerät aktivieren, werden alle Pakete erfasst und gespeichert, die in der in der Paketerfassungskonfiguration angegebenen Richtung fließen (eingehende, ausgehende oder beides). Die Konfiguration einer Schnittstelle zur Erfassung aller Pakete kann die Leistung des Geräts beeinträchtigen. Sie können die Anzahl der auf einer Schnittstelle erfassten Pakete mit Firewall-Filtern steuern und verschiedene Kriterien für die Paketerfassung für bestimmte Datenverkehrsströme angeben.

Sie müssen auch die entsprechenden Firewall-Filter auf der Schnittstelle konfigurieren und anwenden, wenn Sie vom Hostgerät generierte Pakete erfassen müssen, da das Schnittstellen-Sampling keine Pakete erfasst, die vom Hostgerät stammen.

Paketerfassungsdateien

Wenn die Paketerfassung auf einer Schnittstelle aktiviert wird, wird das gesamte Paket einschließlich des Layer-2-Headers erfasst und in einer Datei gespeichert. Sie können die maximale Größe des zu erfassenden Pakets angeben, bis zu 1500 Bytes. Paketerfassung erstellt eine Datei für jede physische Schnittstelle. Sie können den Zieldateinamen, die maximale Größe der Datei und die maximale Anzahl von Dateien angeben.

Die Erstellung und Speicherung von Dateien erfolgt auf folgende Weise. Nehmen wir an, Sie nennen die Paketerfassungsdatei pcap-file. Die Paketerfassung erstellt mehrere Dateien (eine pro physische Schnittstelle), wobei jede Datei mit dem Namen der physischen Schnittstelle versehen wird. zum Beispiel pcap-file.fe-0.0.1 für die Gigabit-Ethernet-Schnittstellefe-0.0.1. Wenn die Datei mit dem Namen pcap-file.fe-0.0.1 die maximale Größe erreicht, wird die Datei umbenannt pcap-file.fe-0.0.1.0. Wenn die Datei mit dem Namen pcap-file.fe-0.0.1 wieder die maximale Größe erreicht, wird die benannte pcap-file.fe-0.0.1.0 Datei umbenannt pcap-file.fe-0.0.1.1 und pcap-file.fe-0.0.1 umbenannt pcap-file.fe-0.0.1.0. Dieser Prozess wird fortgesetzt, bis die maximale Anzahl von Dateien überschritten und die älteste Datei überschrieben wird. Die pcap-file.fe-0.0.1 Datei ist immer die neueste Datei.

Paketerfassungsdateien werden auch dann nicht entfernt, wenn Sie die Paketerfassung auf einer Schnittstelle deaktivieren.

Analyse von Paketerfassungsdateien

Paketerfassungsdateien werden im libpcap-Format im /var/tmp Verzeichnis gespeichert. Sie können Benutzer- oder Administratorrechte für die Dateien angeben.

Paketerfassungsdateien können offline mit tcpdump oder einem beliebigen Paketanalysator, der das libpcap-Format erkennt, geöffnet und analysiert werden. Sie können auch FTP oder das Session Control Protocol (SCP) verwenden, um die Paketerfassungsdateien auf ein externes Gerät zu übertragen.

HINWEIS:

Deaktivieren Sie die Paketerfassung, bevor Sie die Datei zur Analyse öffnen oder die Datei mit FTP oder SCP auf ein externes Gerät übertragen. Durch die Deaktivierung der Paketerfassung wird sichergestellt, dass der interne Dateipuffer überspült wird und alle erfassten Pakete in die Datei geschrieben werden.

Beispiel: Aktivieren der Paketerfassung auf einem Gerät

Dieses Beispiel zeigt, wie Sie die Paketerfassung auf einem Gerät aktivieren, um den Netzwerkverkehr zu analysieren und Netzwerkprobleme zu beheben.

Anforderungen

Bevor Sie beginnen:

Überblick

In diesem Beispiel legen Sie die maximale Paketaufnahmegröße in jeder Datei auf 500 Bytes fest. Der Bereich reicht von 68 bis 1500, der Standard ist 68 Bytes. Sie geben den Zieldateinamen für die Paketerfassungsdatei als PCAP-Datei an. Sie geben dann die maximale Anzahl von Dateien, die erfasst werden sollen, als 100 an. Der Bereich reicht von 2 bis 10.000, und der Standard ist 10 Dateien. Sie legen die maximale Größe jeder Datei auf 1024 Bytes fest. Der Bereich reicht von 1.024 bis 104.857.600, und der Standard ist 512.000 Bytes. Abschließend geben Sie an, dass alle Benutzer die Berechtigung zum Lesen der Paketerfassungsdateien haben.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So aktivieren Sie die Paketerfassung auf einem Gerät:

  1. Legen Sie die maximale Größe der Paketerfassung fest.

  2. Geben Sie den Zieldateinamen an.

  3. Geben Sie die maximale Anzahl von Dateien an, die erfasst werden sollen.

  4. Geben Sie die maximale Größe jeder Datei an.

  5. Geben Sie an, dass alle Benutzer die Berechtigung zum Lesen der Datei haben.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show forwarding-options Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung der Paketerfassungskonfiguration

Zweck

Stellen Sie sicher, dass die Paketerfassung auf dem Gerät konfiguriert ist.

Aktion

Geben Sie im Konfigurationsmodus den show forwarding-options Befehl ein. Stellen Sie sicher, dass in der Ausgabe die für die Paketerfassung vorgesehene Dateikonfiguration angezeigt wird.

Verifizieren der erfassten Pakete

Zweck

Stellen Sie sicher, dass die Paketerfassungsdatei unter dem /var/tmp Verzeichnis gespeichert ist und die Pakete offline analysiert werden können.

Aktion
  1. Deaktivieren Sie die Paketerfassung.

    Übertragen Sie beispielsweise eine Paketerfassungsdatei mithilfe von FTP auf einen Server, 126b.fe-0.0.1auf dem Sie Tools für die Paketanalyse installiert haben (z. B tools-server.).

    1. Vom Konfigurationsmodus aus mit FTP verbinden tools-server .

    2. Navigieren Sie zu dem Verzeichnis, in dem Paketerfassungsdateien auf dem Gerät gespeichert sind.

    3. Kopieren Sie die Paketerfassungsdatei, die Sie analysieren möchten, auf den Server, z. B 126b.fe-0.0.1. .

    4. Zurück zum Konfigurationsmodus.

  2. Öffnen Sie die Paketerfassungsdatei auf dem Server mit tcpdump oder einem beliebigen Paketanalysator, der das libpcap-Format unterstützt, und überprüfen Sie die Ausgabe.

Beispiel: Konfigurieren der Paketerfassung auf einer Schnittstelle

Dieses Beispiel zeigt, wie Sie die Paketerfassung auf einer Schnittstelle konfigurieren, um den Datenverkehr zu analysieren.

Anforderungen

Bevor Sie beginnen:

Überblick

In diesem Beispiel erstellen Sie eine Schnittstelle namens fe-0/0/1. Anschließend konfigurieren Sie die Richtung des Datenverkehrs, für den Sie die Paketerfassung auf der logischen Schnittstelle als ein- und ausgehend aktivieren.

HINWEIS:

Bei Datenverkehr, der das Datenstrom-Softwaremodul umgeht (Protokollpakete wie ARP, OSPF und PIM), werden von der Routing-Engine generierte Pakete nur dann erfasst, wenn Sie einen Firewall-Filter in Der Ausgaberichtung auf die Schnittstelle konfiguriert und angewendet haben.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie die Paketerfassung auf einer Schnittstelle:

  1. Erstellen Sie eine Schnittstelle.

  2. Konfigurieren Sie die Richtung des Datenverkehrs.

  3. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.

Überprüfung

Überprüfung der Paketerfassungskonfiguration

Zweck

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Stellen Sie sicher, dass die Paketerfassung auf der Schnittstelle konfiguriert ist.

Aktion

Geben Sie im Konfigurationsmodus den show interfaces fe-0/0/1 Befehl ein.

Beispiel: Konfigurieren eines Firewall-Filters für die Paketerfassung

Dieses Beispiel zeigt, wie Sie einen Firewall-Filter für die Paketerfassung konfigurieren und auf eine logische Schnittstelle anwenden.

Anforderungen

Bevor Sie beginnen:

Überblick

In diesem Beispiel setzen Sie einen Firewall-Filter namens dest-all und einen Begriffsnamen namens dest-term, um Pakete von einer bestimmten Zieladresse zu erfassen, nämlich 192.168.1.1/32. Sie definieren die Übereinstimmungsbedingung, um die stichprobenierten Pakete zu akzeptieren. Schließlich wenden Sie den Dest-all-Filter auf alle ausgehenden Pakete auf der Schnittstelle fe-0/0/1 an.

HINWEIS:

Wenn Sie einen Firewall-Filter auf der Loopback-Schnittstelle anwenden, wirkt sich dies auf den gesamten Datenverkehr zur und von der Routing-Engine aus. Wenn der Firewall-Filter eine sample Aktion hat, werden Pakete zur und von der Routing-Engine abgetastet. Wenn die Paketerfassung aktiviert ist, werden Pakete zur und von der Routing-Engine in den Dateien erfasst, die für die Ein- und Ausgabeschnittstellen erstellt wurden.

Topologie

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch .

So konfigurieren Sie einen Firewall-Filter für die Paketerfassung und wenden ihn auf eine logische Schnittstelle an:

  1. Geben Sie den Firewall-Filter und seine Zieladresse an.

  2. Definieren Sie die Übereinstimmungsbedingung und ihre Aktion.

  3. Wenden Sie den Filter auf alle ausgehenden Pakete an.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show firewall filter dest-all Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Überprüfung

Überprüfen des Firewall-Filters für die Paketerfassungskonfiguration

Zweck

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Stellen Sie sicher, dass der Firewall-Filter für die Paketerfassung konfiguriert ist.

Aktion

Geben Sie im Konfigurationsmodus den show firewall filter dest-all Befehl ein. Stellen Sie sicher, dass in der Ausgabe die beabsichtigte Konfiguration des Firewall-Filters für die Erfassung von Paketen angezeigt wird, die an die Zieladresse gesendet werden.

Beispiel: Konfigurieren der Paketerfassung für das Datenpath-Debugging

Dieses Beispiel zeigt, wie Sie die Paketerfassung konfigurieren, um den Datenverkehr zu überwachen, der das Gerät passiert. Die Paketerfassung gibt die Pakete dann in ein PCAP-Dateiformat ab, das später vom Tcpdump-Dienstprogramm untersucht werden kann.

Anforderungen

Bevor Sie beginnen, erfahren Sie unter Debuggen des Datenpfads (CLI-Prozedur).

Überblick

Es wird ein Filter definiert, um den Datenverkehr zu filtern. dann wird ein Aktionsprofil auf den gefilterten Datenverkehr angewendet. Das Aktionsprofil gibt eine Vielzahl von Aktionen für die Verarbeitungseinheit an. Eine der unterstützten Aktionen ist Packet Dump, das das Paket an die Routing-Engine sendet und es in proprietärer Form speichert, um mit dem show security datapath-debug capture Befehl gelesen zu werden.

HINWEIS:

Das Debuggen von Datenpfaden wird auf SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 und SRX5800 unterstützt.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodusim Junos OS CLI-Benutzerhandbuch.

So konfigurieren Sie die Paketerfassung:

  1. Bearbeiten Sie die Option "Security DataPath-Debug" für mehrere Verarbeitungseinheiten entlang des Paketverarbeitungspfads:

  2. Aktivieren Sie die Aufnahmedatei, das Dateiformat, die Dateigröße und die Anzahl der Dateien. Die Größe der Aufnahmedatei begrenzt die Größe der Aufnahmedatei. Wenn die Maximale Größe erreicht ist, wird die Aufnahmedatei, wenn die Datei angegeben ist, in dateiname xgedreht, wo x sie automatisch inkrementiert wird, bis sie den angegebenen Index erreicht und dann auf Null zurückgeht. Wenn kein Dateiindex angegeben wird, werden die Pakete verworfen, nachdem die Größenbeschränkung erreicht wurde. Die Standardgröße ist 512 KB.

  3. Aktivieren Sie das Aktionsprofil und legen Sie das Ereignis fest. Legen Sie das Aktionsprofil als Do-Capture und den Ereignistyp als np-ingress:

  4. Aktivierung von Paketabzug für das Aktionsprofil:

  5. Aktivieren Sie Paketfilter-, Aktions- und Filteroptionen. Der Paketfilter ist auf My-Filter festgelegt, das Aktionsprofil auf Do-Capture und die Filteroption auf Quellpräfix 1.2.3.4/32 festgelegt.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security datapath-debug Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren. Der folgende Befehl wirdshow security datapath-debug ausgegeben show security datapath-debug :

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Verifizieren der Paketerfassung

Zweck

Überprüfen Sie, ob die Paketerfassung funktioniert.

Aktion

Geben Sie im Betriebsmodus den Befehl ein, um die request security datapath-debug capture start Paketerfassung zu starten, und geben Sie den Befehl zum Stoppen der request security datapath-debug capture stop Paketerfassung ein.

Um die Ergebnisse aus dem CLI-Betriebsmodus anzuzeigen, greifen Sie auf die lokale UNIX-Shell und navigieren Sie zum Verzeichnis /var/log/my-capture. Das Ergebnis kann mithilfe des Dienstprogramms tcpdump gelesen werden.

Überprüfung der Datenpfad-Debugging-Erfassung

Zweck

Überprüfen Sie die Details der Datenpfad-Erfassungsdatei.

Aktion

Geben Sie im Betriebsmodus den show security datapath-debug capture Befehl ein.

WARNUNG:

Wenn Sie mit der Fehlerbehebung fertig sind, stellen Sie sicher, dass Sie alle Traceoptionskonfigurationen (nicht beschränkt auf Ablaufverfolgungsoptionsoptionen) und die vollständige Sicherheits-Datapath-Debug-Konfigurationsstrophe entfernen oder deaktivieren. Wenn Debugging-Konfigurationen weiterhin aktiv bleiben, werden weiterhin die CPU- und Speicherressourcen des Geräts verwendet.

Datenpfad-Debugging-Zähler überprüfen

Zweck

Überprüfen Sie die Details des Datenpfad-Debugging-Zählers.

Aktion

Geben Sie im Betriebsmodus den show security datapath-debug counter Befehl ein.

Deaktivierung der Paketerfassung

Sie müssen die Paketerfassung deaktivieren, bevor Sie die Paketerfassungsdatei zur Analyse oder Übertragung der Datei auf ein externes Gerät öffnen. Durch die Deaktivierung der Paketerfassung wird sichergestellt, dass der interne Dateipuffer überspült wird und alle erfassten Pakete in die Datei geschrieben werden.

Um die Paketerfassung zu deaktivieren, geben Sie im Konfigurationsmodus folgendes ein:

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Löschen von Paketerfassungsdateien

Durch das Löschen von Paketerfassungsdateien aus dem Verzeichnis /var/tmp werden die Paketerfassungsdateien nur vorübergehend entfernt. Paketerfassungsdateien für die Schnittstelle werden automatisch erneut erstellt, wenn eine Konfigurationsänderung für die Paketerfassung vorgenommen wird, oder im Rahmen einer Paketerfassungsdateirotation.

So löschen Sie eine Paketerfassungsdatei:

  1. Paketerfassung deaktivieren (siehe Deaktivieren der Paketerfassung).
  2. Löschen Sie die Paketerfassungsdatei für die Schnittstelle.
    1. Greifen Sie im Betriebsmodus auf die lokale UNIX-Shell zu.
    2. Navigieren Sie zu dem Verzeichnis, in dem Paketerfassungsdateien gespeichert sind.
    3. Löschen Sie die Paketerfassungsdatei für die Schnittstelle. zum Beispiel pcap-file.fe.0.0.0.
    4. Rückkehr zum Betriebsmodus.
  3. Reenable Packet Capture (siehe Beispiel: Aktivieren der Paketerfassung auf einem Gerät).
  4. Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Ändern der Kapselung auf Schnittstellen mit konfigurierter Paketerfassung

Vor dem Ändern der Kapselung auf einer Geräteschnittstelle, die für die Paketerfassung konfiguriert ist, müssen Sie die Paketerfassung deaktivieren und die neueste Paketerfassungsdatei umbenennen. Andernfalls speichert die Paketerfassung die Pakete mit unterschiedlichen Kapselungen in derselben Paketerfassungsdatei. Paketdateien, die Pakete mit unterschiedlichen Kapselungen enthalten, sind nicht nützlich, da Packet Analyzer-Tools wie tcpdump solche Dateien nicht analysieren können.

Nachdem Sie die Kapselung geändert haben, können Sie die Paketerfassung auf dem Gerät sicher erneut aktivieren.

So ändern Sie die Kapselung von Schnittstellen mit konfigurierter Paketerfassung:

  1. Paketerfassung deaktivieren (siehe Deaktivieren der Paketerfassung).
  2. Geben Sie aus dem Konfigurationsmodus ein commit .
  3. Benennen Sie die neueste Paketerfassungsdatei um, für die Sie die Kapselung mit der .chdsl Erweiterung ändern.
    1. Greifen Sie im Betriebsmodus auf die lokale UNIX-Shell zu.
    2. Navigieren Sie zu dem Verzeichnis, in dem Paketerfassungsdateien gespeichert sind.
    3. Benennen Sie die neueste Paketerfassungsdatei für die Schnittstelle um, auf der Sie die Kapselung ändern. zum Beispiel fe.0.0.0.
    4. Rückkehr zum Betriebsmodus.
  4. Ändern Sie die Kapselung auf der Schnittstelle mit der J-Web-Benutzeroberfläche oder dem CLI-Konfigurations-Editor.
  5. Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
  6. Reenable Packet Capture (siehe Beispiel: Aktivieren der Paketerfassung auf einem Gerät).
  7. Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Anzeige von Paket-Headern

Geben Sie den monitor traffic Befehl ein, um Paket-Header anzuzeigen, die über Netzwerkschnittstellen mit der folgenden Syntax übertragen werden:

HINWEIS:

Die Verwendung des monitor traffic Befehls kann die Systemleistung beeinträchtigen. Es wird empfohlen, Filteroptionen wie count und matchingzu verwenden, um die Auswirkungen auf den Paketdurchsatz auf das System zu minimieren.

Tabelle 1 beschreibt die monitor traffic Befehlsoptionen.

Tabelle 1: Befehlszeilenoptionen für die Überwachung des Datenverkehrs

Option

Beschreibung

absolute-sequence

(Optional) Zeigt die absoluten TCP-Sequenznummern an.

count number

(Optional) Zeigt die angegebene Anzahl von Paket-Headern an. Geben Sie einen Wert von bis 0 .100,000 Der Befehl wird beendet und an die Eingabeaufforderung beendet, nachdem diese Nummer erreicht wurde.

interface interface-name

(Optional) Zeigt Paket-Header für Datenverkehr auf der angegebenen Schnittstelle an. Wenn keine Schnittstelle angegeben wird, wird die Schnittstelle mit der niedrigsten Nummer überwacht.

layer2-headers

(Optional) Zeigt den Link-Layer-Paket-Header in jeder Zeile an.

matching "expression"

(Optional) Zeigt Paket-Header an, die einem Ausdruck entsprechen, der in Anführungszeichen eingeschlossen ist (" "). Tabelle 2 durch Tabelle 4 Listen-Match-Bedingungen, logische Operatoren und arithmetische, binäre und beziehungsweise orientierte Operatoren, die Sie im Ausdruck verwenden können.

no-domain-names

(Optional) Unterdrückt die Anzeige des Domänennamens des Hostnamens.

no-promiscuous

(Optional) Gibt an not , die überwachte Schnittstelle im promiscuous-Modus zu platzieren.

Im promiscuous-Modus liest die Schnittstelle jedes Paket, das es erreicht. Im nicht-promiscuous-Modus liest die Schnittstelle nur die an sie adressierten Pakete.

no-resolve

(Optional) Unterdrückt die Anzeige von Hostnamen.

no-timestamp

(Optional) Unterdrückt die Anzeige von Paket-Header-Zeitstempeln.

print-ascii

(Optional) Zeigt jeden Paket-Header im ASCII-Format an.

print-hex

(Optional) Zeigt jeden Paket-Header mit Ausnahme von Link-Layer-Headern im hexadezimalen Format an.

size bytes

(Optional) Zeigt die Anzahl der Bytes für jedes angegebene Paket an. Wenn ein Paket-Header diese Größe überschreitet, wird der angezeigte Paket-Header abgeschnitten. Der Standardwert ist 96.

brief

(Optional) Zeigt minimale Paket-Header-Informationen an. Dies ist der Standard.

detail

(Optional) Zeigt Paket-Header-Informationen mit moderaten Details an. Bei einigen Protokollen müssen Sie auch die size Option verwenden, um detaillierte Informationen einsehen zu können.

extensive

(Optional) Zeigt die umfangreichste Ebene an Paket-Header-Informationen an. Bei einigen Protokollen müssen Sie auch die size Option verwenden, um umfangreiche Informationen einsehen zu können.

Um den monitor traffic Befehl zu beenden und zur Eingabeaufforderung zurückzukehren, drücken Sie Strg-C.

Um die vom monitor traffic Befehl angezeigten Paket-Header-Informationen einzuschränken, schließen Sie die Option ein matching "expression" . Ein Ausdruck besteht aus einer oder mehreren Übereinstimmungsbedingungen, die in Tabelle 2, in Anführungszeichen eingeschlossen sind (" "). Sie können Übereinstimmungsbedingungen kombinieren, indem Sie die in aufgeführten Tabelle 3 logischen Operatoren verwenden (angezeigt in der Reihenfolge der höchsten bis niedrigsten Rangfolge).

Geben Sie beispielsweise folgendes ein, um TCP- oder UDP-Paket-Header anzuzeigen:

Um die folgenden Arten von Ausdrücken zu vergleichen, verwenden Sie die in Tabelle 4 aufgeführten Beziehungsoperatoren (aufgeführt von der höchsten bis zur niedrigsten Rangfolge):

  • Arithmetik – Ausdrücke, die die in Tabelle 4.

  • Binär : Ausdrücke, die die in Tabelle 4.

  • Packet Data Accessor – Ausdrücke, die die folgende Syntax verwenden:

    Ersetzen Sie mit protocol jedem Protokoll in Tabelle 2. Ersetzen Sie byte-offset mit dem Byte-Offset vom Anfang des Paket-Headers, um sie für den Vergleich zu verwenden. Der optionale size Parameter stellt die Anzahl der im Paket-Header untersuchten Bytes dar – 1, 2 oder 4 Bytes.

    Der folgende Befehl zeigt beispielsweise den gesamten Multicast-Datenverkehr an:

Tabelle 2: CLI-Überwachung des Datenverkehrs Übereinstimmungsbedingungen

Übereinstimmungsbedingung

Beschreibung

Entitätstyp

host [address | hostname]

Entspricht Paket-Headern, die die angegebene Adresse oder den angegebenen Hostnamen enthalten. Sie können jede der folgenden Bedingungen für die Protokollgleichung und gefolgt von einem Leerzeichen vorpredieren, um host: arp, ip, , rarpoder eine der Bedingungen für die Richtungsgleichung.

network address

Vergleicht Paket-Header mit Quell- oder Zieladressen, die die angegebene Netzwerkadresse enthalten.

network address mask mask

Entspricht Paket-Headern, die die angegebene Netzwerkadresse und Subnetzmaske enthalten.

port [port-number | port-name]

Entspricht Paket-Headern, die die angegebene Quell- oder Ziel-TCP- oder UDP-Portnummer oder den Portnamen enthalten.

Direktionale  

destination

Entspricht Paket-Headern, die das angegebene Ziel enthalten. Bedingungen für die gerichtete Übereinstimmung können jedem Entitätstyp-Übereinstimmungsbedingungen, gefolgt von einem Leerzeichen, vorgegeben werden.

source

Entspricht Paket-Headern, die die angegebene Quelle enthalten.

source and destination

Entspricht Paket-Headern, die das angegebene Quellziel and enthalten.

source or destination

Entspricht Paket-Headern, die das angegebene Quellziel or enthalten.

Paketlänge

less bytes

Vergleicht Pakete mit längen kleiner oder gleich dem angegebenen Wert in Bytes.

greater bytes

Gleicht Pakete ab, deren Länge größer oder gleich dem angegebenen Wert in Bytes ist.

Protokoll

arp

Entspricht allen ARP-Paketen.

ether

Passt zu allen Ethernet-Frames.

ether [broadcast | multicast]

Passt Broadcast- oder Multicast-Ethernet-Frames ab. Diese Übereinstimmungsbedingung kann mit source oder destination.

ether protocol [address | (\arp | \ip | \rarp)

Vergleicht Ethernet-Frames mit der angegebenen Adresse oder dem angegebenen Protokolltyp. Die Argumente arp, ip, , und rarp sind auch unabhängige Übereinstimmungsbedingungen, sodass ihnen bei Verwendung in der ether protocol Übereinstimmungsbedingung ein Backslash (\) vorangestellt werden muss.

icmp

Entspricht allen ICMP-Paketen.

ip

Entspricht allen IP-Paketen.

ip [broadcast | multicast]

Passt Broadcast- oder Multicast-IP-Pakete ab.

ip protocol [address | (\icmp | igrp | \tcp | \udp)]

Vergleicht IP-Pakete mit der angegebenen Adresse oder dem angegebenen Protokolltyp. Die Argumente icmp, tcp, , und udp sind auch unabhängige Übereinstimmungsbedingungen, sodass ihnen bei Verwendung in der ip protocol Übereinstimmungsbedingung ein Backslash (\) vorangestellt werden muss.

isis

Passt alle IS-IS-Routing-Nachrichten ab.

rarp

Entspricht allen RARP-Paketen.

tcp

Entspricht allen TCP-Paketen.

udp

Entspricht allen UDP-Paketen.

Tabelle 3: CLI-Überwachung des Datenverkehrs Logische Operatoren

Logischer Operator

Beschreibung

!

Logisch NICHT. Wenn die erste Bedingung nicht übereinstimmt, wird die nächste Bedingung ausgewertet.

&&

Logisch UND. Wenn die erste Bedingung übereinstimmt, wird die nächste Bedingung ausgewertet. Wenn die erste Bedingung nicht übereinstimmt, wird die nächste Bedingung übersprungen.

||

Logisches ODER. Wenn die erste Bedingung übereinstimmt, wird die nächste Bedingung übersprungen. Wenn die erste Bedingung nicht übereinstimmt, wird die nächste Bedingung ausgewertet.

()

Gruppenoperatoren, um die Standardreihenfolge zu überschreiben. Klammern sind Sonderzeichen, denen jedem ein backslash (\) vorangestellt werden muss.

Tabelle 4: CLI überwachen den Datenverkehr arithmetische, binäre und beziehungsbezogene Operatoren

Betreiber

Beschreibung

Arithmetischer Operator

+

Zusatzoperator.

Subtraktionsoperator.

/

Abteilungsbetreiber.

Binärer Betreiber

&

Bitweise UND.

*

Bitwise exklusiv ODER.

|

Bitweise inkl. OR.

Beziehungsoperator

<=

Eine Übereinstimmung tritt auf, wenn der erste Ausdruck kleiner oder gleich dem zweiten Ausdruck ist.

>=

Eine Übereinstimmung tritt auf, wenn der erste Ausdruck größer oder gleich dem zweiten Ausdruck ist.

<

Eine Übereinstimmung tritt auf, wenn der erste Ausdruck kleiner ist als der zweite.

>

Eine Übereinstimmung tritt auf, wenn der erste Ausdruck größer ist als der zweite.

=

Eine Übereinstimmung tritt auf, wenn der erste Ausdruck gleich dem zweiten ist.

!=

Eine Übereinstimmung tritt auf, wenn der erste Ausdruck nicht gleich der zweite ist.

Im Folgenden wird eine Beispielausgabe aus dem monitor traffic Befehl angezeigt: