Auf dieser Seite
Grundlegendes zum Debuggen von Datenpfaden für Geräte der SRX-Serie
Grundlegendes zum Sicherheitsdebuggen mithilfe von Ablaufverfolgungsoptionen
Grundlegendes zum Debuggen von Datenströmen mithilfe von Ablaufverfolgungsoptionen
Festlegen von Ablaufverfolgungsoptionen für das Datenflussdebuggen (CLI-Verfahren)
Festlegen von Sicherheitsablaufverfolgungsoptionen (CLI-Verfahren)
Anzeigen der Ausgabe für Sicherheitsablaufverfolgungsoptionen
Beispiel: Konfigurieren des End-to-End-Debuggings auf Geräten der SRX-Serie
Konfigurieren von Datenpfad-Debugging- und Trace-Optionen
Grundlegendes zum Debuggen von Datenpfaden für Geräte der SRX-Serie
Die Unterstützung für das Debuggen von Datenpfaden oder das End-to-End-Debuggen ermöglicht die Ablaufverfolgung und das Debuggen auf mehreren Verarbeitungseinheiten entlang des Paketverarbeitungspfads. Der Paketfilter kann mit minimalen Auswirkungen auf das Produktionssystem ausgeführt werden.
Wenn Sie Paketerfassungen erfassen möchten, empfehlen wir dringend, die in Junos OS Version 19.3R1 eingeführte Paketerfassung im Betriebsmodus zu nutzen. Weitere Informationen finden Sie unter Paketerfassung aus dem Betriebsmodus.
Auf einer Firewall der SRX-Serie durchläuft ein Paket eine Reihe von Ereignissen, an denen verschiedene Komponenten von der Eingangs- bis zur Ausgangsverarbeitung beteiligt sind.
Mit der Funktion zum Debuggen von Datenpfaden können Sie an verschiedenen Datenpunkten entlang des Verarbeitungspfads nachverfolgen und debuggen (Pakete erfassen). Die im Paketverarbeitungspfad verfügbaren Ereignisse sind: NP-Eingang, Load-Balancing-Thread (LBT), jexec, paketordnender Thread (POT) und NP-Ausgang. Sie können auch die Ablaufverfolgung von Datenflussmodulen aktivieren, wenn das Sicherheits-Ablaufverfolgungsflag für ein bestimmtes Modul festgelegt ist.
Bei jedem Ereignis können Sie eine der vier Aktionen angeben (Anzahl, Paketabbild, Paketzusammenfassung und Ablaufverfolgung). Das Debuggen von Datenpfaden bietet Filter, um zu definieren, welche Pakete erfasst werden sollen, und nur die übereinstimmenden Pakete werden verfolgt. Der Paketfilter kann Pakete basierend auf logischer Schnittstelle, Protokoll, Quell-IP-Adresspräfix, Quellport, Ziel-IP-Adresspräfix und Zielport herausfiltern.
Das Debuggen von Datenpfaden wird auf SRX4600, SRX5400, SRX5600 und SRX5800 unterstützt.
Um das End-to-End-Debuggen zu aktivieren, müssen Sie die folgenden Schritte ausführen:
Definieren Sie die Erfassungsdatei und geben Sie die maximale Erfassungsgröße an.
Definieren Sie den Paketfilter so, dass nur ein bestimmter Datenverkehrstyp basierend auf der Anforderung verfolgt wird.
Definieren Sie das Aktionsprofil, das die Position auf dem Verarbeitungspfad angibt, von der aus die Pakete erfasst werden sollen (z. B. LBT- oder NP-Eingang).
Aktivieren Sie das Debuggen des Datenpfads.
Erfassen Sie den Datenverkehr.
Deaktivieren Sie das Debuggen von Datenpfaden.
Zeigen Sie den Bericht an oder analysieren Sie ihn.
Das Paketfilterverhalten für die Port- und Schnittstellenoptionen lautet wie folgt:
Der Paketfilter verfolgt sowohl IPv4- als auch IPv6-Datenverkehr, wenn nur angegeben wird.port
Der Paketfilter verfolgt IPv4-, IPV6- und Nicht-IP-Datenverkehr, wenn nur angegeben wird.interface
Paketerfassung aus dem Betriebsmodus
Das Debuggen von Datenpfaden oder End-to-End-Debuggen ermöglicht die Ablaufverfolgung und das Debuggen auf mehreren Verarbeitungseinheiten entlang des Paketverarbeitungspfads. Die Paketerfassung ist eine der Funktionen zum Debuggen von Datenpfaden. Sie können die Paketerfassung aus dem Betriebsmodus mit minimalen Auswirkungen auf das Produktionssystem ausführen, ohne die Konfigurationen festschreiben zu müssen.
Sie können die Pakete mithilfe von Filtern erfassen, um zu definieren, welche Pakete erfasst werden sollen. Der Paketfilter kann Pakete basierend auf logischer Schnittstelle, Protokoll, Quell-IP-Adresspräfix, Quellport, Ziel-IP-Adresspräfix und Zielport herausfiltern. Sie können den Dateinamen, den Dateityp, die Dateigröße und die Erfassungsgröße der Paketerfassungsausgabe ändern. Sie können die Filter auch in zwei Filter erweitern und die Werte der Filter vertauschen.
Die Paketerfassung aus dem Betriebsmodus wird auf SRX4600, SRX5400, SRX5600 und SRX5800 unterstützt.
Um Pakete aus dem Betriebsmodus zu erfassen, müssen Sie die folgenden Schritte ausführen:
- Definieren Sie im Betriebsmodus den Paketfilter, um den Datenverkehrstyp basierend auf Ihren Anforderungen mithilfe des CLI-Befehls zu verfolgen.
request packet-capture startWeitere Informationen finden Sie unter die verfügbaren Filteroptionen für die Paketerfassung.request packet-capture start - Erfassen Sie die erforderlichen Pakete.
- Sie können entweder den CLI-Befehl verwenden, um die Paketerfassung zu stoppen, oder nachdem Sie die angeforderte Anzahl von Paketen erfasst haben, wird die Paketerfassung automatisch beendet.
request packet-capture stop - Zeigen Sie den erfassten Paketdatenbericht an oder analysieren Sie ihn.
Einschränkungen beim Erfassen von Paketen aus dem Betriebsmodus sind:
Die Paketerfassung im Konfigurationsmodus und die Paketerfassung im Betriebsmodus können nicht nebeneinander existieren.
Die Paketerfassung im Betriebsmodus ist ein einmaliger Vorgang, und das System speichert den Verlauf dieses Befehls nicht.
Sie sollten den Betriebsmodus Paketerfassung bei niedriger Datenverkehrsrate verwenden.
Siehe auch
Grundlegendes zum Sicherheitsdebuggen mithilfe von Ablaufverfolgungsoptionen
Die Ablaufverfolgungsfunktion von Junos OS ermöglicht es Anwendungen, Informationen zur Sicherheitsdebuggierung in eine Datei zu schreiben. Die Informationen, die in dieser Datei angezeigt werden, basieren auf den von Ihnen festgelegten Kriterien. Sie können diese Informationen verwenden, um Probleme mit Sicherheitsanwendungen zu analysieren.
Die Trace-Funktion arbeitet verteilt, wobei jeder Thread in seinen eigenen Trace-Puffer schreibt. Diese Trace-Puffer werden dann an einem bestimmten Punkt gesammelt, sortiert und in Trace-Dateien geschrieben. Trace-Nachrichten werden über das IPC-Protokoll (InterProcess Communications) übermittelt. Eine Trace-Nachricht hat eine niedrigere Priorität als die von Kontrollprotokollpaketen wie BGP, OSPF und IKE, sodass die Zustellung nicht als so zuverlässig angesehen wird.
Grundlegendes zum Debuggen von Datenströmen mithilfe von Ablaufverfolgungsoptionen
Für Flow-Trace-Optionen können Sie einen Paketfilter definieren, indem Sie Kombinationen aus , , , , und .destination-portdestination-prefixinterfaceprotocolsource-portsource-prefix Wenn das Sicherheits-Flow-Trace-Flag für ein bestimmtes Modul festgelegt ist, löst das Paket, das dem spezifischen Paketfilter entspricht, die Flow-Ablaufverfolgung aus und schreibt Debugging-Informationen in die Trace-Datei.
Debuggen des Datenpfads (CLI-Verfahren)
Das Debuggen von Datenpfaden wird auf SRX5400, SRX5600 und SRX5800 unterstützt.
So konfigurieren Sie das Gerät für das Debuggen von Datenpfaden:
Festlegen von Ablaufverfolgungsoptionen für das Datenflussdebuggen (CLI-Verfahren)
In den folgenden Beispielen werden die Optionen angezeigt, die Sie mithilfe von festlegen können.security flow traceoptions
Verwenden Sie die folgende Anweisung, um den imap-Zielport für den Paketfilter filter1 abzugleichen:
[edit] user@host# set security flow traceoptions packet-filter filter1 destination-port imap
Verwenden Sie die folgende Anweisung, um die IPv4-Zielpräfixadresse 1.2.3.4 für den Paketfilter filter1 festzulegen:
[edit] user@host# set security flow traceoptions packet-filter filter1 destination-prefix 1.2.3.4
Verwenden Sie die folgende Anweisung, um die logische fxp0-Schnittstelle für den Paketfilter filter1 festzulegen:
[edit] user@host# set security flow traceoptions packet-filter filter1 interface fxp0
Verwenden Sie die folgende Anweisung, um das TCP-IP-Protokoll für den Paketfilter filter1 abzugleichen:
[edit] user@host# set security flow traceoptions packet-filter filter1 protocol tcp
Verwenden Sie die folgende Anweisung, um den HTTP-Quellport für den Paketfilter filter1 abzugleichen:
[edit] user@host# set security flow traceoptions packet-filter filter1 source-port http
Verwenden Sie die folgende Anweisung, um die IPv4-Präfixadresse 5.6.7.8 für den Paketfilter filter1 festzulegen:
[edit] user@host# set security flow traceoptions packet-filter filter1 source-prefix 5.6.7.8
Festlegen von Sicherheitsablaufverfolgungsoptionen (CLI-Verfahren)
Verwenden Sie die folgenden Konfigurationsanweisungen, um Sicherheitsablaufverfolgungsoptionen im CLI-Konfigurationseditor zu konfigurieren.
Geben Sie die folgende Anweisung ein, um die Remoteablaufverfolgung zu deaktivieren:
[edit] user@host# set security traceoptions no-remote-trace
Geben Sie die folgende Anweisung ein, um Ablaufverfolgungsmeldungen in eine lokale Datei zu schreiben. Das System speichert die Trace-Datei imVerzeichnis. /var/log/
[edit] user@host# set security traceoptions use-local-files
Geben Sie die folgende Anweisung ein, um einen Namen für die Ablaufverfolgungsdatei anzugeben. Gültige Werte sind zwischen 1 und 1024 Zeichen. Der Name darf keine Leerzeichen, /- oder %-Zeichen enthalten. Der Standarddateiname ist security.
[edit] user@host# set security traceoptions file filename
Geben Sie die folgende Anweisung ein, um die maximale Anzahl von Ablaufverfolgungsdateien anzugeben, die sich ansammeln können. Gültige Werte liegen zwischen 2 und 1000. Der Standardwert ist 3.
[edit] user@host# set security traceoptions file files 3
Geben Sie die folgende Anweisung ein, um die Übereinstimmungskriterien anzugeben, die das System beim Protokollieren von Informationen in der Datei verwenden soll. Geben Sie einen regulären Ausdruck ein. Platzhalterzeichen (*) werden akzeptiert.
[edit] user@host# set security traceoptions file match *thread
Geben Sie die Anweisung ein, damit jeder Benutzer die Ablaufverfolgungsdatei lesen kann.
world-readableAndernfalls geben Sie die Anweisung ein.no-world-readable[edit] user@host# set security traceoptions file world-readable user@host# set security traceoptions file no-world-readable
Geben Sie die folgende Anweisung ein, um die maximale Größe anzugeben, auf die die Ablaufverfolgungsdatei anwachsen kann. Sobald die Datei die angegebene Größe erreicht hat, wird sie komprimiert und in 0.gz umbenannt , die nächste Datei erhält den Namen 1.gz usw.filenamefilename Gültige Werte liegen zwischen 10240 und 1.073.741.824.
[edit] user@host# set security traceoptions file size 10240
Um Ablaufverfolgungsoptionen zu aktivieren und mehr als einen Ablaufverfolgungsvorgang auszuführen, legen Sie die folgenden Flags fest.
[edit] user@host# set security traceoptions flag all user@host# set security traceoptions flag compilation user@host# set security traceoptions flag configuration user@host# set security traceoptions flag routing-socket
Geben Sie die folgenden Anweisungen ein, um die Gruppen anzugeben, für die diese Trace-Optionseinstellungen gelten oder nicht:
[edit] user@host# set security traceoptions apply-groups value user@host# set security traceoptions apply-groups-except value
Anzeigen von Protokoll- und Ablaufverfolgungsdateien
Geben Sie den Befehl ein, um Ergänzungen zu Systemprotokollen und Trace-Dateien in Echtzeit anzuzeigen:monitor start
user@host> monitor start filename
Wenn das Gerät der durch angegebenen Datei einen Datensatz hinzufügt, wird der Datensatz auf dem Bildschirm angezeigt.filename Wenn Sie z. B. eine Systemprotokolldatei mit dem Namen konfiguriert haben (indem Sie die Anweisung auf der Hierarchieebene [] einfügen), können Sie den Befehl eingeben, um die Datensätze anzuzeigen, die dem Systemprotokoll hinzugefügt wurden.system-logsyslogedit systemmonitor start system-log
Um eine Liste der überwachten Dateien anzuzeigen, geben Sie den Befehl ein.monitor list Um die Anzeige von Datensätzen für eine bestimmte Datei zu stoppen, geben Sie den Befehl ein.monitor stop filename
Anzeigen der Ausgabe für Sicherheitsablaufverfolgungsoptionen
Zweck
Zeigen Sie die Ausgabe für Sicherheits-Trace-Optionen an.
Was
Verwenden Sie den Befehl, um die Ausgabe Ihrer Ablaufverfolgungsdateien anzuzeigen.show security traceoptions Hier einige Zahlen zum Generationswechsel:
[edit] user@host # show security traceoptions file usp_trace user@host # show security traceoptions flag all user@host # show security traceoptions rate-limit 888
Die Ausgabe für dieses Beispiel lautet wie folgt:
Apr 11 16:06:42 21:13:15.750395:CID-906489336:FPC-01:PIC-01:THREAD_ID-01:PFE:now update 0x3607edf8df8in 0x3607e8d0 Apr 11 16:06:42 21:13:15.874058:CID-1529687608:FPC-01:PIC-01:THREAD_ID-01:CTRL:Enter Function[util_ssam_handler] Apr 11 16:06:42 21:13:15.874485:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default1: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874538:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default1: Destination ID set to 1 Apr 11 16:06:42 21:13:15.874651:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default2: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874832:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default2: Destination ID set to 1 Apr 11 16:06:42 21:13:15.874942:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default3: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874997:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default3: Destination ID set to 1
Anzeigen von Multicast-Trace-Vorgängen
Geben Sie den folgenden Befehl ein, um Multicast-Trace-Vorgänge zu überwachen und anzuzeigen:mtrace monitor
user@host> mtrace monitor
Mtrace query at Apr 21 16:00:54 by 192.1.30.2, resp to 224.0.1.32, qid 2a83aa packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:00:57 by 192.1.30.2, resp to 224.0.1.32, qid 25dc17 packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:01:00 by 192.1.30.2, resp to same, qid 20e046 packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:01:10 by 192.1.30.2, resp to same, qid 1d25ad packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60)
In diesem Beispiel werden nur Abfragen angezeigt.mtrace Wenn das Gerät jedoch eine Antwort erfasst, ist die Anzeige ähnlich, aber es wird auch die vollständige Antwort angezeigt (genau so, wie sie in der Befehlsausgabe angezeigt wird).mtracemtracemtrace from-source
Tabelle 1 Fasst die Ausgabefelder der Anzeige zusammen.
Feld |
Beschreibung |
|---|---|
|
|
|
IP-Adresse des Hosts, der die Abfrage ausgibt. |
|
|
|
|
|
|
|
|
|
|
|
|
Anzeigen einer Geräteliste
Um eine Liste der Geräte zwischen dem Gerät und einem angegebenen Zielhost anzuzeigen, geben Sie den Befehl mit der folgenden Syntax ein:traceroute
user@host> traceroute host <interface interface-name> <as-number-lookup> <bypass-routing> <gateway address> <inet | inet6> <no-resolve> <routing-instance routing-instance-name> <source source-address> <tos number> <ttl number> <wait seconds>
Tabelle 2 Beschreibt die Befehlsoptionen.traceroute
Option |
Beschreibung |
|---|---|
|
Sendet Traceroute-Pakete an den von Ihnen angegebenen Hostnamen oder die angegebene IP-Adresse. |
|
(Optional) Sendet die Traceroute-Pakete an die von Ihnen angegebene Schnittstelle. Wenn Sie diese Option nicht angeben, werden Traceroute-Pakete an allen Schnittstellen gesendet. |
|
(Optional) Zeigt die AS-Nummer (Autonomous System) jedes Zwischen-Hops zwischen dem Gerät und dem Zielhost an. |
|
(Optional) Umgeht die Routing-Tabellen und sendet die Traceroute-Pakete nur an Hosts auf direkt angeschlossenen Schnittstellen. Wenn sich der Host nicht auf einer direkt angeschlossenen Schnittstelle befindet, wird eine Fehlermeldung zurückgegeben. Verwenden Sie diese Option, um eine Route zu einem lokalen System über eine Schnittstelle anzuzeigen, über die keine Route geführt wird. |
|
(Optional) Verwendet das Gateway, das Sie für das Routing angeben. |
|
(Optional) Erzwingt, dass die Traceroute-Pakete an ein IPv4-Ziel gesendet werden. |
|
(Optional) Erzwingt die Traceroute-Pakete an ein IPv6-Ziel. |
|
(Optional) Unterdrückt die Anzeige der Hostnamen der Hops entlang des Pfads. |
|
(Optional) Verwendet die Routing-Instanz, die Sie für die Traceroute angeben. |
|
(Optional) Verwendet die Quelladresse, die Sie im Traceroute-Paket angeben. |
|
(Optional) Legt den TOS-Wert (Type-of-Service) im IP-Header des Traceroute-Pakets fest. Geben Sie einen Wert von bis an . |
|
(Optional) Legt den TTL-Wert (Time-to-Live) für das Traceroute-Paket fest. Geben Sie eine Hopanzahl von bis an . |
|
(Optional) Legt die maximale Wartezeit auf eine Antwort fest. |
Um den Befehl zu beenden, drücken Sie Strg-C.traceroute
Im Folgenden finden Sie ein Beispiel für die Ausgabe eines Befehls:traceroute
user@host> traceroute host2
traceroute to 173.24.232.66 (172.24.230.41), 30 hops max, 40 byte packets 1 173.18.42.253 (173.18.42.253) 0.482 ms 0.346 ms 0.318 ms 2 host4.site1.net (173.18.253.5) 0.401 ms 0.435 ms 0.359 ms 3 host5.site1.net (173.18.253.5) 0.401 ms 0.360 ms 0.357 ms 4 173.24.232.65 (173.24.232.65) 0.420 ms 0.456 ms 0.378 ms 5 173.24.232.66 (173.24.232.66) 0.830 ms 0.779 ms 0.834 ms
Die Felder in der Anzeige sind identisch mit denen, die vom J-Web Traceroute-Diagnosetool angezeigt werden.
Beispiel: Konfigurieren des End-to-End-Debuggings auf Geräten der SRX-Serie
Dieses Beispiel zeigt, wie das End-to-End-Debugging auf einer Firewall der SRX-Serie mit einem SRX5K-MPC konfiguriert und aktiviert wird.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
SRX5600 Gerät mit einem SRX5K-MPC mit 100-Gigabit-Ethernet-CFP-Transceiver
Junos OS Version 12.1X47-D15 oder höher für Firewalls der SRX-Serie
Bevor Sie beginnen:
Weitere Informationen finden Sie unter Grundlegendes zum Debuggen von Datenpfaden für Geräte der SRX-Serie.
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
Das Debuggen von Datenpfaden verbessert die Fehlerbehebungsfunktionen, indem es Ablaufverfolgung und Debuggen an mehreren Verarbeitungseinheiten entlang des Paketverarbeitungspfads bereitstellt. Mit der Funktion zum Debuggen von Datenpfaden können Sie an verschiedenen Datenpunkten entlang des Verarbeitungspfads nachverfolgen und debuggen (Pakete erfassen). Bei jedem Ereignis können Sie eine Aktion angeben (Anzahl, Paketdump, Paketzusammenfassung und Ablaufverfolgung) und Sie können Filter festlegen, um zu definieren, welche Pakete erfasst werden sollen.
In diesem Beispiel definieren Sie einen Datenverkehrsfilter und wenden dann ein Aktionsprofil an. Das Aktionsprofil spezifiziert eine Vielzahl von Aktionen auf der Verarbeitungseinheit. Der ein- und ausgehende Datenverkehr wird als Position auf dem Verarbeitungspfad angegeben, um die Daten für ein- und ausgehenden Datenverkehr zu erfassen.
Als Nächstes aktivieren Sie das Debuggen von Datenpfaden im Betriebsmodus, und schließlich zeigen Sie den Datenerfassungsbericht an.
Das Debuggen von Datenpfaden wird auf SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 und SRX5800 unterstützt.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit
set security datapath-debug traceoptions file e2e.trace size 10m set security datapath-debug capture-file e2e.pcap format pcap set security datapath-debug maximum-capture-size 1500 set security datapath-debug capture-file files 10 set security datapath-debug action-profile profile-1 preserve-trace-order set security datapath-debug action-profile profile-1 record-pic-history set security datapath-debug action-profile profile-1 event np-ingress trace set security datapath-debug action-profile profile-1 event np-ingress count set security datapath-debug action-profile profile-1 event np-ingress packet-summary set security datapath-debug action-profile profile-1 event np-egress trace set security datapath-debug action-profile profile-1 event np-egress count set security datapath-debug action-profile profile-1 event np-egress packet-summary
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imJunos OS CLI-Benutzerhandbuch .Verwenden des CLI-Editors im Konfigurationsmodus
So konfigurieren Sie das Debuggen von Datenpfaden:
Bearbeiten Sie die Option zum Debuggen des Sicherheitsdatenpfads für die mehreren Verarbeitungseinheiten entlang des Paketverarbeitungspfads:
[edit] user@host# edit security datapath-debug
Aktivieren Sie die Aufnahmedatei, das Dateiformat, die Dateigröße und die Anzahl der Dateien.
[edit security datapath-debug] user@host# set traceoptions file e2e.trace size 10m user@host# set capture-file e2e.pcap format pcap; user@host# set maximum-capture-size 1500 user@host# set capture-file files 10
Konfigurieren Sie das Aktionsprofil, den Ereignistyp und die Aktionen für das Aktionsprofil.
[edit security datapath-debug] user@host# set action-profile profile-1 preserve-trace-order user@host# set action-profile profile-1 record-pic-history user@host# set action-profile profile-1 event np-ingress trace user@host# set action-profile profile-1 event np-ingress count user@host# set action-profile profile-1 event np-ingress packet-summary user@host# set action-profile profile-1 event np-egress trace user@host# set action-profile profile-1 event np-egress count user@host# set action-profile profile-1 event np-egress packet-summary
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security datapath-debug Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
traceoptions {
file e2e.trace size 10m;
}
capture-file e2e.pcap format pcap;
maximum-capture-size 1500;
capture-file files 10;
action-profile {
profile-1 {
preserve-trace-order;
record-pic-history;
event np-ingress {
trace;
packet-summary;
packet-dump;
}
event np-egress {
trace;
packet-summary;
packet-dump;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Aktivieren des Debuggens von Datenpfaden
Verfahren
Schritt-für-Schritt-Anleitung
Nachdem Sie das Debuggen des Datenpfads konfiguriert haben, müssen Sie den Prozess auf dem Gerät aus dem Betriebsmodus starten.
Aktivieren Sie das Debuggen von Datenpfaden.
user@host> request security datapath-debug capture start
datapath-debug capture started on file datapcap
Bevor Sie die Konfiguration überprüfen und die Berichte anzeigen, müssen Sie das Debuggen des Datenpfads deaktivieren.
user@host> request security datapath-debug capture stop
datapath-debug capture succesfully stopped, use show security datapath-debug capture to view
HINWEIS:Sie müssen den Debugvorgang beenden, nachdem Sie die Erfassung der Daten abgeschlossen haben. Wenn Sie versuchen, die erfassten Dateien zu öffnen, ohne den Debugvorgang zu stoppen, können die abgerufenen Dateien nicht über Software von Drittanbietern (z. B. tcpdump und wireshark) geöffnet werden.
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen der Details zur Paketerfassung beim Debuggen des Datenpfads
Zweck
Überprüfen Sie die erfassten Daten, indem Sie die Konfiguration für das Debuggen des Datenpfads aktivieren.
Was
Geben Sie im Betriebsmodus den Befehl ein.show security datapath-debug capture
Packet 8, len 152: (C2/F2/P0/SEQ:57935:np-ingress) 00 10 db ff 10 02 00 30 48 83 8d 4f 08 00 45 00 00 54 00 00 40 00 40 01 9f c7 c8 07 05 69 c8 08 05 69 08 00 91 1f 8f 03 2a a2 ae 66 85 53 8c 7d 02 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 Packet 9, len 152: (C2/F2/P0/SEQ:57935:np-egress) 00 30 48 8d 1a bf 00 10 db ff 10 03 08 00 45 00 00 54 00 00 40 00 3f 01 a0 c7 c8 07 05 69 c8 08 05 69 08 00 91 1f 8f 03 2a a2 ae 66 85 53 8c 7d 02 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37....
Der Kürze halber wird die Befehlsausgabe gekürzt, sodass nur wenige Beispiele angezeigt werden.show Zusätzliche Samples wurden durch Ellipsen (...) ersetzt.
Um die Ergebnisse anzuzeigen, greifen Sie im CLI-Betriebsmodus auf die lokale UNIX-Shell zu, und navigieren Sie zum Verzeichnis ./var/log/<file-name> Das Ergebnis kann mit dem Dienstprogramm gelesen werden.tcpdump
user@host>start shell %tcpdump -nr/var/log/e2e.pcap
21:50:04.288767 C0/F3 event:1(np-ingress) SEQ:1 IP 192.168.14.2 > 192.168.13.2: ICMP echo request, id 57627, seq 0, length 64 21:50:04.292590 C0/F3 event:2(np-egress) SEQ:1 IP 192.168.14.2 > 192.168.13.2: ICMP echo request, id 57627, seq 0, length 64 1:50:04.295164 C0/F3 event:1(np-ingress) SEQ:2 IP 192.168.13.2 > 192.168.14.2: ICMP echo reply, id 57627, seq 0, length 64 21:50:04.295284 C0/F3 event:2(np-egress) SEQ:2 IP 192.168.13.2 > 192.168.14.2: ICMP echo reply, id 57627, seq 0, length 64
Wenn Sie mit der Fehlerbehebung beim Debuggen des Datenpfads fertig sind, entfernen Sie alle (nicht beschränkt auf Flow-Trace-Optionen) und die vollständige Datenpfad-Debug-Konfiguration, einschließlich der Datenpfad-Debug-Konfiguration für die Paketerfassung (Paket-Dump), die manuell gestartet/gestoppt werden muss.traceoptions Wenn ein Teil der Debugging-Konfiguration aktiv bleibt, werden weiterhin die Ressourcen des Geräts (CPU/Arbeitsspeicher) verwendet.