Auf dieser Seite
Grundlegendes zum Debuggen von Datenpfaden für Geräte der SRX-Serie
Grundlegendes zum Debuggen von Sicherheit mithilfe von Ablaufverfolgungsoptionen
Grundlegendes zum Debuggen von Datenflüssen mithilfe von Ablaufverfolgungsoptionen
Beispiel: Konfiguration des End-to-End-Debuggings auf Geräten der SRX-Serie
Konfigurieren von Debugging- und Trace-Optionen für Datenpfade
Grundlegendes zum Debuggen von Datenpfaden für Geräte der SRX-Serie
Die Unterstützung für das Debuggen von Datenpfaden oder das End-to-End-Debuggen ermöglicht die Ablaufverfolgung und das Debuggen auf mehreren Verarbeitungseinheiten entlang des Paketverarbeitungspfads. Der Paketfilter kann mit minimalen Auswirkungen auf das Produktionssystem ausgeführt werden.
Auf einer Firewall der SRX-Serie durchläuft ein Paket eine Reihe von Ereignissen, an denen verschiedene Komponenten von der Eingangs- bis zur Ausgangsverarbeitung beteiligt sind.
Mit der Funktion zum Debuggen von Datenpfaden können Sie an verschiedenen Datenpunkten entlang des Verarbeitungspfads nachverfolgen und debuggen (Pakete erfassen). Die im Paketverarbeitungspfad verfügbaren Ereignisse sind: NP-Eingang, Load-Balancing-Thread (LBT), jexec, paketordnender Thread (POT) und NP-Ausgang. Sie können auch die Ablaufverfolgung von Datenflussmodulen aktivieren, wenn das Sicherheits-Ablaufverfolgungsflag für ein bestimmtes Modul festgelegt ist.
Bei jedem Ereignis können Sie eine der vier Aktionen angeben (Anzahl, Paketabbild, Paketzusammenfassung und Ablaufverfolgung). Das Debuggen von Datenpfaden bietet Filter, um zu definieren, welche Pakete erfasst werden sollen, und nur die übereinstimmenden Pakete werden verfolgt. Der Paketfilter kann Pakete basierend auf logischer Schnittstelle, Protokoll, Quell-IP-Adresspräfix, Quellport, Ziel-IP-Adresspräfix und Zielport herausfiltern.
Das Debuggen von Datenpfaden wird auf SRX4600, SRX5400, SRX5600 und SRX5800 unterstützt.
Um das End-to-End-Debuggen zu aktivieren, müssen Sie die folgenden Schritte ausführen:
Definieren Sie die Erfassungsdatei und geben Sie die maximale Erfassungsgröße an.
Definieren Sie den Paketfilter so, dass nur ein bestimmter Datenverkehrstyp basierend auf der Anforderung verfolgt wird.
Definieren Sie das Aktionsprofil, das die Position auf dem Verarbeitungspfad angibt, von der aus die Pakete erfasst werden sollen (z. B. LBT- oder NP-Eingang).
Aktivieren Sie das Debuggen des Datenpfads.
Erfassen Sie den Datenverkehr.
Deaktivieren Sie das Debuggen von Datenpfaden.
Zeigen Sie den Bericht an oder analysieren Sie ihn.
Das Paketfilterverhalten für die Port- und Schnittstellenoptionen lautet wie folgt:
Der Paketfilter verfolgt sowohl IPv4- als auch IPv6-Datenverkehr, wenn nur port angegeben wird.
Der Paketfilter verfolgt IPv4-, IPV6- und Nicht-IP-Datenverkehr, wenn nur interface angegeben wird.
Grundlegendes zum Debuggen von Sicherheit mithilfe von Ablaufverfolgungsoptionen
Die Ablaufverfolgungsfunktion von Junos OS ermöglicht es Anwendungen, Informationen zur Sicherheitsdebuggierung in eine Datei zu schreiben. Die Informationen, die in dieser Datei angezeigt werden, basieren auf den von Ihnen festgelegten Kriterien. Sie können diese Informationen verwenden, um Probleme mit Sicherheitsanwendungen zu analysieren.
Die Trace-Funktion arbeitet verteilt, wobei jeder Thread in seinen eigenen Trace-Puffer schreibt. Diese Trace-Puffer werden dann an einem bestimmten Punkt gesammelt, sortiert und in Trace-Dateien geschrieben. Trace-Nachrichten werden über das IPC-Protokoll (InterProcess Communications) übermittelt. Eine Trace-Nachricht hat eine niedrigere Priorität als die von Kontrollprotokollpaketen wie BGP, OSPF und IKE, sodass die Zustellung nicht als so zuverlässig angesehen wird.
Grundlegendes zum Debuggen von Datenflüssen mithilfe von Ablaufverfolgungsoptionen
Für Flow-Trace-Optionen können Sie einen Paketfilter definieren, indem Sie Kombinationen aus destination-port, destination-prefix, interface, protocolsource-port, und source-prefix. Wenn das Sicherheits-Flow-Trace-Flag für ein bestimmtes Modul festgelegt ist, löst das Paket, das dem spezifischen Paketfilter entspricht, die Flow-Ablaufverfolgung aus und schreibt Debugging-Informationen in die Trace-Datei.
Debugging von Datenpfaden festlegen (CLI-Verfahren)
Das Debuggen von Datenpfaden wird auf SRX5400, SRX5600 und SRX5800 unterstützt.
So konfigurieren Sie das Gerät für das Debuggen von Datenpfaden:
Festlegen von Flow-Debugging-Trace-Optionen (CLI-Verfahren)
In den folgenden Beispielen werden die Optionen angezeigt, die Sie mithilfe von security flow traceoptionsfestlegen können.
Verwenden Sie die folgende Anweisung, um den imap-Zielport für den Paketfilter filter1 abzugleichen:
[edit] user@host# set security flow traceoptions packet-filter filter1 destination-port imap
Verwenden Sie die folgende Anweisung, um die IPv4-Zielpräfixadresse 1.2.3.4 für den Paketfilter filter1 festzulegen:
[edit] user@host# set security flow traceoptions packet-filter filter1 destination-prefix 1.2.3.4
Verwenden Sie die folgende Anweisung, um die logische fxp0-Schnittstelle für den Paketfilter filter1 festzulegen:
[edit] user@host# set security flow traceoptions packet-filter filter1 interface fxp0
Verwenden Sie die folgende Anweisung, um das TCP-IP-Protokoll für den Paketfilter filter1 abzugleichen:
[edit] user@host# set security flow traceoptions packet-filter filter1 protocol tcp
Verwenden Sie die folgende Anweisung, um den HTTP-Quellport für den Paketfilter filter1 abzugleichen:
[edit] user@host# set security flow traceoptions packet-filter filter1 source-port http
Verwenden Sie die folgende Anweisung, um die IPv4-Präfixadresse 5.6.7.8 für den Paketfilter filter1 festzulegen:
[edit] user@host# set security flow traceoptions packet-filter filter1 source-prefix 5.6.7.8
Festlegen von Sicherheits-Trace-Optionen (CLI-Verfahren)
Verwenden Sie die folgenden Konfigurationsanweisungen, um Sicherheitsablaufverfolgungsoptionen im CLI-Konfigurationseditor zu konfigurieren.
Geben Sie die folgende Anweisung ein, um die Remoteablaufverfolgung zu deaktivieren:
[edit] user@host# set security traceoptions no-remote-trace
Geben Sie die folgende Anweisung ein, um Ablaufverfolgungsmeldungen in eine lokale Datei zu schreiben. Das System speichert die Trace-Datei im /var/log/ Verzeichnis.
[edit] user@host# set security traceoptions use-local-files
Geben Sie die folgende Anweisung ein, um einen Namen für die Ablaufverfolgungsdatei anzugeben. Gültige Werte sind zwischen 1 und 1024 Zeichen. Der Name darf keine Leerzeichen, /- oder %-Zeichen enthalten. Der Standarddateiname ist security.
[edit] user@host# set security traceoptions file filename
Geben Sie die folgende Anweisung ein, um die maximale Anzahl von Ablaufverfolgungsdateien anzugeben, die sich ansammeln können. Gültige Werte liegen zwischen 2 und 1000. Der Standardwert ist 3.
[edit] user@host# set security traceoptions file files 3
Geben Sie die folgende Anweisung ein, um die Übereinstimmungskriterien anzugeben, die das System beim Protokollieren von Informationen in der Datei verwenden soll. Geben Sie einen regulären Ausdruck ein. Platzhalterzeichen (*) werden akzeptiert.
[edit] user@host# set security traceoptions file match *thread
Geben Sie die
world-readableAnweisung ein, damit jeder Benutzer die Ablaufverfolgungsdatei lesen kann. Andernfalls geben Sie dieno-world-readableAnweisung ein.[edit] user@host# set security traceoptions file world-readable user@host# set security traceoptions file no-world-readable
Geben Sie die folgende Anweisung ein, um die maximale Größe anzugeben, auf die die Ablaufverfolgungsdatei anwachsen kann. Sobald die Datei die angegebene Größe erreicht hat, wird sie komprimiert und 0.gz umbenannt filename, die nächste Datei erhält den Namen filename1.gz usw. Gültige Werte liegen zwischen 10240 und 1.073.741.824.
[edit] user@host# set security traceoptions file size 10240
Um Ablaufverfolgungsoptionen zu aktivieren und mehr als einen Ablaufverfolgungsvorgang auszuführen, legen Sie die folgenden Flags fest.
[edit] user@host# set security traceoptions flag all user@host# set security traceoptions flag compilation user@host# set security traceoptions flag configuration user@host# set security traceoptions flag routing-socket
Geben Sie die folgenden Anweisungen ein, um die Gruppen anzugeben, für die diese Trace-Optionseinstellungen gelten oder nicht:
[edit] user@host# set security traceoptions apply-groups value user@host# set security traceoptions apply-groups-except value
Anzeigen von Protokoll- und Trace-Dateien
Geben Sie den monitor start Befehl ein, um Ergänzungen zu Systemprotokollen und Trace-Dateien in Echtzeit anzuzeigen:
user@host> monitor start filename
Wenn das Gerät der durch filenameangegebenen Datei einen Datensatz hinzufügt, wird der Datensatz auf dem Bildschirm angezeigt. Wenn Sie z. B. eine Systemprotokolldatei mit dem Namen system-log konfiguriert haben (indem Sie die syslog Anweisung auf der Hierarchieebene [edit system] einfügen), können Sie den monitor start system-log Befehl eingeben, um die Datensätze anzuzeigen, die dem Systemprotokoll hinzugefügt wurden.
Um eine Liste der überwachten Dateien anzuzeigen, geben Sie den monitor list Befehl ein. Um die Anzeige von Datensätzen für eine bestimmte Datei zu stoppen, geben Sie den monitor stop filename Befehl ein.
Ausgabe für Sicherheits-Trace-Optionen anzeigen
Zweck
Zeigen Sie die Ausgabe für Sicherheits-Trace-Optionen an.
Action!
Verwenden Sie den show security traceoptions Befehl, um die Ausgabe Ihrer Ablaufverfolgungsdateien anzuzeigen. Zum Beispiel:
[edit] user@host # show security traceoptions file usp_trace user@host # show security traceoptions flag all user@host # show security traceoptions rate-limit 888
Die Ausgabe für dieses Beispiel lautet wie folgt:
Apr 11 16:06:42 21:13:15.750395:CID-906489336:FPC-01:PIC-01:THREAD_ID-01:PFE:now update 0x3607edf8df8in 0x3607e8d0 Apr 11 16:06:42 21:13:15.874058:CID-1529687608:FPC-01:PIC-01:THREAD_ID-01:CTRL:Enter Function[util_ssam_handler] Apr 11 16:06:42 21:13:15.874485:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default1: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874538:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default1: Destination ID set to 1 Apr 11 16:06:42 21:13:15.874651:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default2: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874832:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default2: Destination ID set to 1 Apr 11 16:06:42 21:13:15.874942:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default3: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874997:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default3: Destination ID set to 1
Anzeigen von Multicast-Ablaufverfolgungsvorgängen
Geben Sie den mtrace monitor folgenden Befehl ein, um Multicast-Trace-Vorgänge zu überwachen und anzuzeigen:
user@host> mtrace monitor
Mtrace query at Apr 21 16:00:54 by 192.1.30.2, resp to 224.0.1.32, qid 2a83aa packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:00:57 by 192.1.30.2, resp to 224.0.1.32, qid 25dc17 packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:01:00 by 192.1.30.2, resp to same, qid 20e046 packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:01:10 by 192.1.30.2, resp to same, qid 1d25ad packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60)
In diesem Beispiel werden nur mtrace Abfragen angezeigt. Wenn das Gerät jedoch eine mtrace Antwort erfasst, ist die Anzeige ähnlich, aber es wird auch die vollständige mtrace Antwort angezeigt (genau so, wie sie in der mtrace from-source Befehlsausgabe angezeigt wird).
Tabelle 1 Fasst die Ausgabefelder der Anzeige zusammen.
Feld |
Beschreibung |
|---|---|
|
|
|
IP-Adresse des Hosts, der die Abfrage ausgibt. |
|
|
|
|
|
|
|
|
|
|
|
|
Anzeigen einer Liste von Geräten
Um eine Liste der Geräte zwischen dem Gerät und einem angegebenen Zielhost anzuzeigen, geben Sie den traceroute Befehl mit der folgenden Syntax ein:
user@host> traceroute host <interface interface-name> <as-number-lookup> <bypass-routing> <gateway address> <inet | inet6> <no-resolve> <routing-instance routing-instance-name> <source source-address> <tos number> <ttl number> <wait seconds>
Tabelle 2 Beschreibt die traceroute Befehlsoptionen.
Option |
Beschreibung |
|---|---|
|
Sendet Traceroute-Pakete an den von Ihnen angegebenen Hostnamen oder die angegebene IP-Adresse. |
|
(Optional) Sendet die Traceroute-Pakete an die von Ihnen angegebene Schnittstelle. Wenn Sie diese Option nicht angeben, werden Traceroute-Pakete an allen Schnittstellen gesendet. |
|
(Optional) Zeigt die AS-Nummer (Autonomous System) jedes Zwischen-Hops zwischen dem Gerät und dem Zielhost an. |
|
(Optional) Umgeht die Routing-Tabellen und sendet die Traceroute-Pakete nur an Hosts auf direkt angeschlossenen Schnittstellen. Wenn sich der Host nicht auf einer direkt angeschlossenen Schnittstelle befindet, wird eine Fehlermeldung zurückgegeben. Verwenden Sie diese Option, um eine Route zu einem lokalen System über eine Schnittstelle anzuzeigen, über die keine Route geführt wird. |
|
(Optional) Verwendet das Gateway, das Sie für das Routing angeben. |
|
(Optional) Erzwingt, dass die Traceroute-Pakete an ein IPv4-Ziel gesendet werden. |
|
(Optional) Erzwingt die Traceroute-Pakete an ein IPv6-Ziel. |
|
(Optional) Unterdrückt die Anzeige der Hostnamen der Hops entlang des Pfads. |
|
(Optional) Verwendet die Routing-Instanz, die Sie für die Traceroute angeben. |
|
(Optional) Verwendet die Quelladresse, die Sie im Traceroute-Paket angeben. |
|
(Optional) Legt den TOS-Wert (Type-of-Service) im IP-Header des Traceroute-Pakets fest. Geben Sie einen Wert von |
|
(Optional) Legt den TTL-Wert (Time-to-Live) für das Traceroute-Paket fest. Geben Sie eine Hopanzahl von |
|
(Optional) Legt die maximale Wartezeit auf eine Antwort fest. |
Um den traceroute Befehl zu beenden, drücken Sie Strg-C.
Im Folgenden finden Sie ein Beispiel für die Ausgabe eines traceroute Befehls:
user@host> traceroute host2
traceroute to 173.24.232.66 (172.24.230.41), 30 hops max, 40 byte packets 1 173.18.42.253 (173.18.42.253) 0.482 ms 0.346 ms 0.318 ms 2 host4.site1.net (173.18.253.5) 0.401 ms 0.435 ms 0.359 ms 3 host5.site1.net (173.18.253.5) 0.401 ms 0.360 ms 0.357 ms 4 173.24.232.65 (173.24.232.65) 0.420 ms 0.456 ms 0.378 ms 5 173.24.232.66 (173.24.232.66) 0.830 ms 0.779 ms 0.834 ms
Die Felder in der Anzeige sind identisch mit denen, die vom J-Web Traceroute-Diagnosetool angezeigt werden.
Beispiel: Konfiguration des End-to-End-Debuggings auf Geräten der SRX-Serie
Dieses Beispiel zeigt, wie Sie eine Paketerfassung auf einer High-End-Firewall der SRX-Serie konfigurieren und das End-to-End-Debugging auf einer Firewall der SRX-Serie mit einem SRX5K-MPC aktivieren.
- Anforderungen
- Überblick
- Konfiguration
- Beispiel: Konfigurieren der Paketerfassung für das Debuggen von Datenpfaden
- Aktivieren des Debuggens von Datenpfaden
- Verifizierung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
SRX5600 Gerät mit einem SRX5K-MPC mit 100-Gigabit-Ethernet-CFP-Transceiver
Junos OS Version 12.1X47-D15 oder höher für Firewalls der SRX-Serie
Bevor Sie beginnen:
Weitere Informationen finden Sie unter Grundlegendes zum Debuggen von Datenpfaden für Geräte der SRX-Serie.
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
Das Debuggen von Datenpfaden verbessert die Fehlerbehebungsfunktionen, indem es Ablaufverfolgung und Debuggen an mehreren Verarbeitungseinheiten entlang des Paketverarbeitungspfads bereitstellt. Mit der Funktion zum Debuggen von Datenpfaden können Sie an verschiedenen Datenpunkten entlang des Verarbeitungspfads nachverfolgen und debuggen (Pakete erfassen). Bei jedem Ereignis können Sie eine Aktion angeben (Anzahl, Paketdump, Paketzusammenfassung und Ablaufverfolgung) und Sie können Filter festlegen, um zu definieren, welche Pakete erfasst werden sollen.
In diesem Beispiel definieren Sie einen Datenverkehrsfilter und wenden dann ein Aktionsprofil an. Das Aktionsprofil spezifiziert eine Vielzahl von Aktionen auf der Verarbeitungseinheit. Der ein- und ausgehende Datenverkehr wird als Position auf dem Verarbeitungspfad angegeben, um die Daten für ein- und ausgehenden Datenverkehr zu erfassen.
Als Nächstes aktivieren Sie das Debuggen von Datenpfaden im Betriebsmodus, und schließlich zeigen Sie den Datenerfassungsbericht an.
Das Debuggen von Datenpfaden wird auf SRX5400, SRX5600 und SRX5800 unterstützt.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security datapath-debug traceoptions file e2e.trace size 10m set security datapath-debug capture-file e2e.pcap format pcap set security datapath-debug maximum-capture-size 1500 set security datapath-debug capture-file files 10 set security datapath-debug action-profile profile-1 preserve-trace-order set security datapath-debug action-profile profile-1 record-pic-history set security datapath-debug action-profile profile-1 event np-ingress trace set security datapath-debug action-profile profile-1 event np-ingress count set security datapath-debug action-profile profile-1 event np-ingress packet-summary set security datapath-debug action-profile profile-1 event np-egress trace set security datapath-debug action-profile profile-1 event np-egress count set security datapath-debug action-profile profile-1 event np-egress packet-summary
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch .
So konfigurieren Sie das Debuggen von Datenpfaden:
Bearbeiten Sie die Option zum Debuggen des Sicherheitsdatenpfads für die mehreren Verarbeitungseinheiten entlang des Paketverarbeitungspfads:
[edit] user@host# edit security datapath-debug
Aktivieren Sie die Aufnahmedatei, das Dateiformat, die Dateigröße und die Anzahl der Dateien.
[edit security datapath-debug] user@host# set traceoptions file e2e.trace size 10m user@host# set capture-file e2e.pcap format pcap; user@host# set maximum-capture-size 1500 user@host# set capture-file files 10
Konfigurieren Sie das Aktionsprofil, den Ereignistyp und die Aktionen für das Aktionsprofil.
[edit security datapath-debug] user@host# set action-profile profile-1 preserve-trace-order user@host# set action-profile profile-1 record-pic-history user@host# set action-profile profile-1 event np-ingress trace user@host# set action-profile profile-1 event np-ingress count user@host# set action-profile profile-1 event np-ingress packet-summary user@host# set action-profile profile-1 event np-egress trace user@host# set action-profile profile-1 event np-egress count user@host# set action-profile profile-1 event np-egress packet-summary
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security datapath-debug Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
traceoptions {
file e2e.trace size 10m;
}
capture-file e2e.pcap format pcap;
maximum-capture-size 1500;
capture-file files 10;
action-profile {
profile-1 {
preserve-trace-order;
record-pic-history;
event np-ingress {
trace;
packet-summary;
packet-dump;
}
event np-egress {
trace;
packet-summary;
packet-dump;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Beispiel: Konfigurieren der Paketerfassung für das Debuggen von Datenpfaden
In diesem Beispiel wird gezeigt, wie die Paketerfassung konfiguriert wird, um den Datenverkehr zu überwachen, der das Gerät passiert. Die Paketerfassung gibt die Pakete dann in ein PCAP-Dateiformat aus, das später vom Dienstprogramm tcpdump untersucht werden kann.
Anforderungen
Bevor Sie beginnen, finden Sie weitere Informationen unter Debuggen von Datenpfaden festlegen (CLI-Verfahren).
Überblick
Ein Filter wird definiert, um den Datenverkehr zu filtern. Anschließend wird ein Aktionsprofil auf den gefilterten Datenverkehr angewendet. Das Aktionsprofil spezifiziert eine Vielzahl von Aktionen auf der Verarbeitungseinheit. Eine der unterstützten Aktionen ist der Paketdump, der das Paket an die Routing-Engine sendet und es in proprietärer Form speichert, damit es mit dem show security datapath-debug capture Befehl gelesen werden kann.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security datapath-debug capture-file my-capture set security datapath-debug capture-file format pcap set security datapath-debug capture-file size 1m set security datapath-debug capture-file files 5 set security datapath-debug maximum-capture-size 400 set security datapath-debug action-profile do-capture event np-ingress packet-dump set security datapath-debug packet-filter my-filter action-profile do-capture set security datapath-debug packet-filter my-filter source-prefix 10.2.3.4/32
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie die Paketerfassung:
Bearbeiten Sie die Option security datapath-debug für die mehreren Verarbeitungseinheiten entlang des Paketverarbeitungspfads:
[edit] user@host# edit security datapath-debug
Aktivieren Sie die Aufnahmedatei, das Dateiformat, die Dateigröße und die Anzahl der Dateien. Die Größenzahl begrenzt die Größe der Erfassungsdatei. Wenn die Dateinummer angegeben ist, wird die Erfassungsdatei nach Erreichen der begrenzten Größe auf Dateinamen xgedreht, wo x sie automatisch inkrementiert wird, bis sie den angegebenen Index erreicht und dann auf Null zurückkehrt. Wenn kein Dateiindex angegeben ist, werden die Pakete verworfen, nachdem die Größenbeschränkung erreicht ist. Die Standardgröße beträgt 512 Kilobyte.
[edit security datapath-debug] user@host# set capture-file my-capture format pcap size 1m files 5 [edit security datapath-debug] user@host# set maximum-capture-size 400
Aktivieren Sie das Aktionsprofil, und legen Sie das Ereignis fest. Legen Sie das Aktionsprofil auf do-capture und den Ereignistyp auf np-ingress fest:
[edit security datapath-debug] user@host# edit action-profile do-capture [edit security datapath-debug action-profile do-capture] user@host# edit event np-ingress
Aktivieren Sie den Paketabzug für das Aktionsprofil:
[edit security datapath-debug action-profile do-capture event np-ingress] user@host# set packet-dump
Aktivieren Sie Paketfilter-, Aktions- und Filteroptionen. Der Paketfilter ist auf my-filter, das Aktionsprofil auf do-capture und die Filteroption auf source-prefix 10.2.3.4/32 festgelegt.
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter action-profile do-capture
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter source-prefix 10.2.3.4/32
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security datapath-debug Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
security {
datapath-debug {
capture-file {
my-capture
format pcap
size 1m
files 5;
}
}
maximum-capture-size 100;
action-profile do-capture {
event np-ingress {
packet-dump
}
}
packet-filter my-filter {
source-prefix 10.2.3.4/32
action-profile do-capture
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der Paketerfassung
- Überprüfen der Debugging-Erfassung von Datenpfaden
- Überprüfen des Indikators für das Debuggen von Datenpfaden
Überprüfen der Paketerfassung
Zweck
Überprüfen Sie, ob die Paketerfassung funktioniert.
Action!
Geben Sie im Betriebsmodus den Befehl zum Starten der request security datapath-debug capture start Paketerfassung und den Befehl zum Stoppen der request security datapath-debug capture stop Paketerfassung ein.
Um die Ergebnisse anzuzeigen, greifen Sie im CLI-Betriebsmodus auf die lokale UNIX-Shell zu und navigieren Sie zum Verzeichnis /var/log/my-capture. Das Ergebnis kann mit dem Dienstprogramm tcpdump gelesen werden.
Überprüfen der Debugging-Erfassung von Datenpfaden
Zweck
Überprüfen Sie die Details der Erfassungsdatei für das Debuggen des Datenpfads.
Action!
Geben Sie im Betriebsmodus den show security datapath-debug capture Befehl ein.
user@host> show security datapath-debug capture
Wenn Sie mit der Fehlerbehebung fertig sind, stellen Sie sicher, dass Sie alle Traceoptions-Konfigurationen (nicht beschränkt auf Flow-Trace-Optionen) und die vollständige Zeilengruppe für die Sicherheitsdatenpfad-Debug-Konfiguration entfernen oder deaktivieren. Wenn Debugkonfigurationen aktiv bleiben, verwenden sie weiterhin die CPU- und Speicherressourcen des Geräts.
Überprüfen des Indikators für das Debuggen von Datenpfaden
Zweck
Überprüfen Sie die Details des Datenpfad-Debugindikators.
Action!
Geben Sie im Betriebsmodus den show security datapath-debug counter Befehl ein.
Aktivieren des Debuggens von Datenpfaden
Verfahren
Schritt-für-Schritt-Anleitung
Nachdem Sie das Debuggen des Datenpfads konfiguriert haben, müssen Sie den Prozess auf dem Gerät aus dem Betriebsmodus starten.
Aktivieren Sie das Debuggen von Datenpfaden.
user@host> request security datapath-debug capture start
datapath-debug capture started on file datapcap
Bevor Sie die Konfiguration überprüfen und die Berichte anzeigen, müssen Sie das Debuggen des Datenpfads deaktivieren.
user@host> request security datapath-debug capture stop
datapath-debug capture succesfully stopped, use show security datapath-debug capture to view
HINWEIS:Sie müssen den Debugvorgang beenden, nachdem Sie die Erfassung der Daten abgeschlossen haben. Wenn Sie versuchen, die erfassten Dateien zu öffnen, ohne den Debugvorgang zu stoppen, können die abgerufenen Dateien nicht über Software von Drittanbietern (z. B. tcpdump und wireshark) geöffnet werden.
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen der Details zur Paketerfassung beim Debuggen des Datenpfads
Zweck
Überprüfen Sie die erfassten Daten, indem Sie die Konfiguration für das Debuggen des Datenpfads aktivieren.
Action!
Geben Sie im Betriebsmodus den show security datapath-debug capture Befehl ein.
Packet 8, len 152: (C2/F2/P0/SEQ:57935:np-ingress) 00 10 db ff 10 02 00 30 48 83 8d 4f 08 00 45 00 00 54 00 00 40 00 40 01 9f c7 c8 07 05 69 c8 08 05 69 08 00 91 1f 8f 03 2a a2 ae 66 85 53 8c 7d 02 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 Packet 9, len 152: (C2/F2/P0/SEQ:57935:np-egress) 00 30 48 8d 1a bf 00 10 db ff 10 03 08 00 45 00 00 54 00 00 40 00 3f 01 a0 c7 c8 07 05 69 c8 08 05 69 08 00 91 1f 8f 03 2a a2 ae 66 85 53 8c 7d 02 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37....
Der Kürze halber wird die show Befehlsausgabe gekürzt, sodass nur wenige Beispiele angezeigt werden. Zusätzliche Samples wurden durch Ellipsen (...) ersetzt.
Um die Ergebnisse anzuzeigen, greifen Sie im CLI-Betriebsmodus auf die lokale UNIX-Shell zu, und navigieren Sie zum Verzeichnis /var/log/<file-name>. Das Ergebnis kann mit dem tcpdump Dienstprogramm gelesen werden.
user@host>start shell %tcpdump -nr/var/log/e2e.pcap
21:50:04.288767 C0/F3 event:1(np-ingress) SEQ:1 IP 192.168.14.2 > 192.168.13.2: ICMP echo request, id 57627, seq 0, length 64 21:50:04.292590 C0/F3 event:2(np-egress) SEQ:1 IP 192.168.14.2 > 192.168.13.2: ICMP echo request, id 57627, seq 0, length 64 1:50:04.295164 C0/F3 event:1(np-ingress) SEQ:2 IP 192.168.13.2 > 192.168.14.2: ICMP echo reply, id 57627, seq 0, length 64 21:50:04.295284 C0/F3 event:2(np-egress) SEQ:2 IP 192.168.13.2 > 192.168.14.2: ICMP echo reply, id 57627, seq 0, length 64
Wenn Sie mit der Fehlerbehebung beim Debuggen des Datenpfads fertig sind, entfernen Sie alle traceoptions (nicht beschränkt auf Flow-Trace-Optionen) und die vollständige Datenpfad-Debug-Konfiguration, einschließlich der Datenpfad-Debug-Konfiguration für die Paketerfassung (Paket-Dump), die manuell gestartet/gestoppt werden muss. Wenn ein Teil der Debugging-Konfiguration aktiv bleibt, werden weiterhin die Ressourcen des Geräts (CPU/Arbeitsspeicher) verwendet.