Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration des options de débogage et de traçage des chemins de données

Comprendre le débogage des chemins de données pour SRX Series périphériques

Le débogage de chemin de données, ou le débogage de bout en bout, assure le traçage et le débogage sur plusieurs unités de traitement le long du chemin de traitement des paquets. Le filtre de paquet peut être exécuté avec un impact minimal sur le système de production.

Si votre objectif est de collecter des captures de paquets, nous vous recommandons vivement d’utiliser la capture des paquets du mode Junos OS version 19.3R1. Découvrez la capture de paquets à partir du mode opérationnel.

Sur un équipement SRX Series, un paquet passe par une série d’événements impliquant différents composants, du traitement de l’entrée à la sortie.

Grâce à la fonctionnalité de débogage du chemin de données, vous pouvez tracer et déboguer (capturer des paquets) à différents points de données le long du chemin de traitement. Les événements disponibles dans le chemin de traitement des paquets sont les ci-après: Entrée NP, thread d’équilibrage de charge (LBT), jexec, fil de commande de paquets (POT) et sortie NP. Vous pouvez également activer la trace du module de flux si l’indicateur de trace du flux de sécurité d’un certain module est mis en place.

À chaque événement, vous pouvez spécifier l’une des quatre actions (compte, vidage des paquets, résumé des paquets et trace). Le débogage de chemin de données fournit des filtres pour définir les paquets à capturer, et seuls les paquets correspondance sont suivis. Le filtre de paquets peut filtrer les paquets en fonction de l’interface logique, du protocole, du préfixe d’adresse IP source, du port source, du préfixe d’adresse IP de destination et du port de destination.

Le débogage de chemin de données est pris en charge sur les SRX1400, SRX3400, SRX3600, SRX4600, SRX5400, SRX5600 et SRX5800.

Pour activer le débogage de bout en bout, vous devez effectuer les étapes suivantes:

  1. Définissez le fichier de capture et spécifiez la taille de capture maximale.

  2. Définissez le filtre de paquet pour ne suivre qu’un certain type de trafic en fonction de l’exigence.

  3. Définissez le profil d’action en spécifiant l’emplacement du chemin de traitement à partir de l’emplacement où capturer les paquets (par exemple, LBT ou le paquet d’entrée NP).

  4. Permet le débogage du chemin de données.

  5. Capturez le trafic.

  6. Désactivez le débogage des chemins de données.

  7. Consultez ou analysez le rapport.

Le comportement de filtrage des paquets pour le port et les options d’interface est le suivant:

  • Le filtre de paquets trace à la fois le trafic IPv4 et IPv6 si seulement port est spécifié.

  • Le filtre de paquets trace le trafic IPv4, IPV6 et non IP si seulement interface est spécifié.

Capture de paquets à partir du mode opérationnel

Le débogage de chemin de données ou le débogage de bout en bout assurent le traçage et le débogage sur plusieurs unités de traitement le long du chemin de traitement des paquets. La capture de paquets fait partie de la fonction de débogage du chemin de données. Vous pouvez exécuter la capture des paquets depuis le mode opérationnel avec un impact minimal sur le système de production sans validation des configurations.

Vous pouvez capturer les paquets à l’aide de filtres pour définir les paquets à capturer. Le filtre de paquets peut filtrer les paquets en fonction de l’interface logique, du protocole, du préfixe d’adresse IP source, du port source, du préfixe d’adresse IP de destination et du port de destination. Vous pouvez modifier le nom du fichier, le type de fichier, la taille du fichier et la taille de capture de la sortie de capture des paquets. Vous pouvez également étendre les filtres en deux filtres et permuter les valeurs de filtres.

Pour capturer des paquets depuis le mode opérationnel, vous devez effectuer les étapes suivantes:

  1. Depuis le mode opérationnel, définissez le filtre de paquets pour suivre le type de trafic en fonction de vos besoins à l’aide request packet-capture start CLI commande. Voir request packet-capture start les options de filtre de capture de paquets disponibles.
  2. Capturez les paquets requis.
  3. Vous pouvez utiliser la CLI pour arrêter la capture des paquets ou, après avoir collecté le nombre de paquets demandé, la capture des paquets s’arrête request packet-capture stop automatiquement.
  4. Visualisez ou analysez le rapport sur les données de paquets capturés.

Les limites de la capture des paquets à partir du mode opérationnel sont les:

  1. La capture des paquets en mode de configuration et la capture du paquet en mode opérationnel ne peuvent coexister.

  2. La capture des paquets en mode opérationnel se fait à une seule fois et le système ne stocke pas l’historique de cette commande.

  3. Vous devriez utiliser la capture des paquets en mode opérationnel dans un flux de trafic à faible débit.

Comprendre le débogage de sécurité à l’aide des options de traçage

La fonction Junos OS trace permet aux applications d’écrire des informations de débogage de sécurité sur un fichier. Les informations qui apparaissent dans ce fichier sont basées sur des critères définis. Vous pouvez utiliser ces informations pour analyser les problèmes des applications de sécurité.

La fonction de trace fonctionne de manière distribuée, chaque thread écrivant sur son propre tampon de trace. Ces tampons de trace sont ensuite collectés à un point donné, triés et écrits pour suivre les fichiers. Les messages de traçabilité sont envoyés via le protocole IPC (InterProcess Communications). Un message de suivi a une priorité moindre que les paquets de protocoles de contrôle tels que les paquets de protocoles BGP, OSPF et IKE. Par conséquent, leur distribution n’est pas considérée comme étant aussi fiable.

Comprendre le débogage des flux à l’aide des options de traçage

Pour les options de traçabilité des flux, vous pouvez définir un filtre de paquets à l’aide de combinaisons de destination-portdestination-prefix , , et interfaceprotocolsource-portsource-prefix . Si le trace flag d’un module de sécurité est placé, le paquet correspondant au filtre de paquet spécifique déclenche le traçage des flux et écrit les informations de débogage dans le fichier de trace.

Débogage du chemin de données (CLI)

Le débogage de chemin de données est pris en charge SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 et SRX5800.

Pour configurer l’équipement pour le débogage des chemins de données:

  1. Indiquez la commande de requête suivante pour définir le débogage du chemin de données pour les diverses unités de traitement le long du chemin de traitement des paquets:
  2. Indiquez les options de traçage du chemin de données à l’aide de la commande suivante:
  3. À l’aide de la commande de filtrage de paquets de sécurité, vous pouvez définir le filtre de paquets pour spécifier les paquets associés afin d’effectuer une action de débogage de chemin de données. Quatre filtres maximum sont pris en charge en même temps. Par exemple, la commande suivante définit le premier filtre de paquets:
  4. À l’aide de la commande request security action-profile, vous pouvez définir l’action de la correspondance des paquets pour un filtre spécifié. Seul le profil d’action par défaut est pris en charge, qui est l’option de traçabilité pour l’entrée de la puce réseau, la sortie ezchip, spu.lbt et spu.pot:

Définition des options de trace de débogage des flux (CLI)

Les exemples suivants affichent les options que vous pouvez définir à l’aide security flow traceoptions de .

  • Pour faire correspondre le port de destination imap du filtre de paquet 1, utilisez l’instruction suivante:

  • Pour définir l’adresse de préfixe IPv4 de destination 1.2.3.4 du filtre de paquets filtre1, utilisez l’instruction suivante:

  • Pour définir l’interface logique Fxp0 pour le filtre de paquet filtre1, utilisez l’instruction suivante:

  • Pour correspondre au protocole IP TCP du filtre de paquet 1, utilisez l’instruction suivante:

  • Pour correspondre au port source HTTP du filtre de paquet filtre 1, utilisez l’instruction suivante:

  • Pour définir l’adresse de préfixe IPv4 5.6.7.8 pour le filtre de paquets filtre1, utilisez l’instruction suivante:

Définition des options de trace de sécurité (CLI)

Utilisez les instructions de configuration suivantes pour configurer les options de suivi de sécurité dans l’CLI de configuration.

  • Pour désactiver le suivi à distance, saisissez l’énoncé suivant:

  • Pour écrire des messages de suivi dans un fichier local, saisissez la déclaration suivante. Le système enregistre les traces dans /var/log/ le répertoire.

  • Pour spécifier un nom pour le fichier de traçabilité, saisissez la déclaration suivante. Les valeurs valides sont de 1 et 1 024 caractères. Le nom ne peut inclure des espaces, /ou % de caractères. Le nom du fichier par défaut est sécurité.

  • Pour spécifier le nombre maximal de fichiers traces qui peuvent s’accumuler, saisissez l’énoncé suivant. Les valeurs valides sont de 2 à 1 000. La valeur par défaut est 3.

  • Pour spécifier les critères de correspondance que vous souhaitez que le système utilise lors de la journalisation des informations dans le fichier, saisissez la déclaration suivante. Saisissez une expression régulière. Les caractères génériques (*) sont acceptés.

  • Pour permettre à tout utilisateur de lire le fichier trace, saisissez world-readable l’énoncé. Sinon, saisissez no-world-readable l’énoncé.

  • Pour spécifier la taille maximale à laquelle le fichier de trace peut évoluer, saisissez l’instruction suivante. Une fois la taille spécifiée atteinte, le fichier est compressé et rebapté nom de fichier 0.gz, le fichier suivant s’appelle filename1.gz, etc. Les valeurs valides vont de 1 0240 à 1 073 741 824.

  • Pour activer les options de traçage et effectuer plusieurs opérations de traçage, définissez les indicateurs suivants.

  • Pour spécifier les groupes que ces paramètres d’option de traçabilité font ou ne s’appliquent pas, saisissez les instructions suivantes:

Affichage des fichiers journaux et traces

Saisissez la commande pour afficher les ajouts en temps réel aux journaux système et monitor start aux fichiers de suivi:

Lorsque l’équipement ajoute un enregistrement au fichier spécifié filename par, l’enregistrement s’affiche à l’écran. Par exemple, si vous avez configuré un fichier journal système nommé (en incluant l’instruction au niveau hiérarchique [ ], vous pouvez saisir la commande pour afficher les enregistrements ajoutés au journal system-logsyslogedit systemmonitor start system-log système.

Pour afficher une liste de fichiers surveillés, saisissez la monitor list commande. Pour arrêter l’affichage des enregistrements d’un fichier spécifié, saisissez la monitor stop filename commande.

Affichage de la sortie pour les options de traçage de sécurité

But

Affichez la sortie pour afficher les options de suivi de sécurité.

Action

Utilisez la show security traceoptions commande pour afficher le résultat de vos fichiers trace. Quelques chiffres clés :

La sortie de cet exemple est la suivante:

Affichage des opérations de trace multicast

Pour surveiller et afficher les opérations de suivi multicast, saisissez la mtrace monitor commande:

Cet exemple n’affiche que mtrace les requêtes. Cependant, lorsque l’équipement capture une réponse, l’affichage est similaire, mais la réponse complète s’affiche également (exactement comme elle apparaît dans mtracemtrace la mtrace from-source commande).

Tableau 1 résume les champs de sortie de l’affichage.

Tableau 1 : CLI synthétiser les sorties de commande avec mtrace

Champ

Description

Mtrace operation-type at time-of-day

  • operation-type—Type de suivi multicast: query ou response .

  • time-of-day—Date et heure de capture de la requête ou de la réponse multicast.

by

Adresse IP de l’hôte qui délivre la requête.

resp to address

address—Adresse de destination de la réponse.

qid qid

qid—Numéro d’ID de la requête.

packet from source to destination

  • source—Adresse IP de la source de la requête ou de la réponse.

  • destination—Adresse IP de la destination de la requête ou de la réponse.

from source to destination

  • source—Adresse IP de la source multicast.

  • destination—Adresse IP de la destination du multicast.

via group address

address—Adresse de groupe en cours de traçabilité.

mxhop=number

number—Paramètre de saut maximum.

Affichage d’une liste d’équipements

Pour afficher une liste des équipements entre l’équipement et un hôte de destination spécifié, saisissez la commande avec la traceroute syntaxe suivante:

Tableau 2 décrit les traceroute options de commande.

Tableau 2 : options CLI commande traceroute

Option

Description

host

Envoie des paquets traceroute au nom de l’hôte ou à l’adresse IP que vous spécifiez.

interface interface-name

(Facultatif) Envoie les paquets traceroute sur l’interface que vous spécifiez. Si vous n’avez pas inclus cette option, des paquets traceroute sont envoyés sur toutes les interfaces.

as-number-lookup

(Facultatif) Affiche le numéro de système (AS) de chaque saut intermédiaire entre l’équipement et l’hôte de destination.

bypass-routing

(Facultatif) Contourne les tables de routage et n’envoie les paquets traceroutes qu’aux hôtes sur les interfaces directement reliées. Si l’hôte ne se trouve pas sur une interface directement liée, un message d’erreur est renvoyé.

Utilisez cette option pour afficher un chemin vers un système local via une interface qui ne la traverse pas.

gateway address

(Facultatif) Utilise la passerelle que vous spécifiez pour passer.

inet

(Facultatif) Force les paquets traceroutes vers une destination IPv4.

inet6

(Facultatif) Force les paquets traceroutes vers une destination IPv6.

no-resolve

(Facultatif) Supprime l’affichage des noms d’hôte des sauts sur le chemin.

routing-instance routing-instance-name

(Facultatif) Utilise l’instance de routage que vous spécifiez pour le traceroute.

source address

(Facultatif) Utilise l’adresse source que vous spécifiez, dans le paquet traceroute.

tos number

(Facultatif) Définit la valeur du type de service (TOS) dans l’en-tête IP du paquet traceroute. Indiquez une valeur de 0 par 255 .

ttl number

(Facultatif) Définit la valeur TTL (time-to-live) du paquet traceroute. Indiquez un nombre de sauts 0 entre les sauts 128 .

wait seconds

(Facultatif) Définit le temps maximum d’attente de réponse.

Pour appuyer sur traceroute Ctrl-C.

Il s’agit de l’exemple de sortie à partir d’une traceroute commande:

Les champs de l’affichage sont identiques à ceux affichés par l’outil de diagnostic traceroute J-Web.

Exemple: Configuration du débogage de bout en bout sur SRX Series périphérique

Cet exemple montre comment configurer et activer le débogage de bout en bout sur un équipement SRX Series avec un SRX5K-MPC.

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants:

  • SRX5600 équipement avec un SRX5K-MPC installé avec un émetteur-récepteur CFP 100 Gigabit Ethernet

  • Junos OS version 12.1X47-D15 ou ultérieure pour les SRX Series périphériques mobiles

Avant de commencer:

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.

Présentation

Le débogage de chemin de données améliore les capacités de dépannage en assurant le traçage et le débogage sur plusieurs unités de traitement le long du chemin de traitement des paquets. Grâce à la fonctionnalité de débogage du chemin de données, vous pouvez tracer et déboguer (capturer des paquets) à différents points de données le long du chemin de traitement. À chaque événement, vous pouvez spécifier une action (nombre, vidage des paquets, résumé des paquets et trace) et définir des filtres pour définir les paquets à capturer.

Dans cet exemple, vous définissez un filtre de trafic, puis appliquez un profil d’action. Le profil d’action spécifie diverses actions sur l’unité de traitement. Les points d’entrée et de sortie sont spécifiés comme emplacements du chemin de traitement pour enregistrer les données relatives au trafic entrant et sortant.

Ensuite, vous activez le débogage de chemin de données en mode opérationnel, et enfin, vous affichez le rapport de capture des données.

Remarque :

Le débogage de chemin de données est pris en charge SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 et SRX5800.

Configuration

Procédure

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le Junos OS CLI User Guide.

Pour configurer le débogage des chemins de données:

  1. Modifier l’option de débogage des chemins de sécurité pour les différentes unités de traitement le long du chemin de traitement des paquets:

  2. Active le fichier de capture, le format du fichier, la taille du fichier et le nombre de fichiers.

  3. Configurez le profil d’action, le type d’événement et les actions pour le profil d’action.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant la show security datapath-debug commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Activer le débogage des chemins de données

Procédure

Procédure étape par étape

Après avoir configuré le débogage des chemins de données, vous devez lancer le processus sur l’équipement à partir du mode opérationnel.

  1. Permet le débogage des chemins de données.

  2. Avant de vérifier la configuration et d’afficher les rapports, vous devez désactiver le débogage du chemin de données.

    Remarque :

    Vous devez arrêter le processus de débogage une fois que vous avez terminé la capture des données. Si vous tentez d’ouvrir les fichiers capturés sans interrompre le processus de débogage, les fichiers obtenus ne peuvent pas être ouverts par un logiciel tiers (ex. tcpdump et wireshark).

Vérification

Vérifier que la configuration fonctionne correctement.

Vérification des détails de capture de paquets de débogage de chemin de données

But

Vérifiez les données capturées en activant la configuration de débogage du chemin de données.

Action

À partir du mode opérationnel, saisissez la show security datapath-debug capture commande.

Par concision, le résultat de la commande est show tronqué pour n’afficher que quelques exemples. D’autres échantillons ont été remplacés par des ellipses (ou ellipses).

Pour afficher les résultats, du mode opérationnel CLI, accédez au shell UNIX local et accédez au /var/log/<file-name> répertoire. Le résultat peut être lu via tcpdump l’utilitaire.

Remarque :

Si vous avez terminé le dépannage du chemin de données débogage, supprimez tout (sans s’y limiter aux traces de flux) et la configuration complète du chemin de débogage des données, y compris la configuration de débogage du chemin de données pour la capture des paquets (suppression de paquets), qui doit être traceoptions lancée/stoppée manuellement. Si une partie de la configuration de débogage reste active, elle continuera d’utiliser les ressources de l’équipement (processeur/mémoire).