Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

デバイス上のパケットキャプチャ

デバイス上の入力します(セルフミラーリング)を使用すると、デバイスの任意のネットワークポートに出入りするネットワークパケットを、そのデバイスのCPUに送信してファイルに保存できます。

デバイス上のパケットキャプチャ

概要

ポートミラーリングは、ネットワークパケットをポートからコピーし、監視ポートまたはデバイスに入力として送信できるようにするネットワーク監視技術です。デバイス上の入力します(セルフミラーリング)を使用すると、コピーされたネットワークパケットをCPUに送信し、PCAPファイルに保存することができます。この機能、 オンデバイスパケット入力しますは、プロトコルとアプリケーションの分析、ネットワークのデバッグとトラブルシューティング、ネットワークフォレンジック、監査証跡、ネットワーク攻撃の検出に役立ちます。

この機能を使用するには、次のことを行う必要があります。

  • ポートミラーリングインスタンスとファイアウォールフィルターを含む、標準ポートミラーリング設定を設定します。

  • ファイル名、ファイルの最大サイズ、書き込みモードなど、PCAPファイルを設定します。

  • 操作コマンドを使用して、デバイス上の入力します(セルフミラーリング)を開始および停止し、セルフミラーリングの統計情報をクリアします。

メリット

オンデバイス入力します使用時:

  • サンプリングされたパケットはCPUに送信されてPCAPファイルに書き込まれるため、ライブ環境での問題のデバッグと分析が可能になります。

  • パケットをセルフミラーリングするネットワーク デバイスにデバイスを接続する必要はありません。

ガイドラインと制限事項

ガイドライン

  • パケットのセルフミラーリングを設定する前に、標準のポートミラーリングと同様に、ポートミラーリングインスタンスとファイアウォールフィルターを設定します。

  • セルフミラーリングの各ポートミラーリングインスタンスには、独自の「ファミリー」指定が必要です。この機能のファミリは次のとおりです。

    • inet

    • inet6

    • any

  • キャプチャされたミラーリングされたパケットファイルは、 /var/tmp/filenameから利用できるようになります。

  • セルフミラーリング設定では、ポートミラーリング設定の場合と同様に、 rate 値と max-packet-length 値を適用できます。

  • ポートミラーリングインスタンスを、セルフミラーリングまたは一般的なポートミラーリングのいずれかに設定します。ただし、両方の目的を同時に行うことはできません。

  • デフォルトでは、DDOS(分散型サービス拒否)保護は有効になっています。帯域幅 12000、バースト サイズ 15000、およびポリサー リカバリー 300 のポリサー制限が適用されます。

  • ミラーリングされたパケットが宛先ファイルに保存されるまでに最大60秒かかります。

  • PCAP ファイルの記録中にセルフミラーリング パラメータを変更しても、記録は影響を受けません。ファイルの記録中にファイル名を変更すると、新しいファイルが作成され、新しいファイルで記録が終了します。

限界

  • サンプリング レートがアグレッシブ(1:1)の場合、パケットがキャプチャされるときにシステムのスループットに影響を与え、システム リソースの負荷が増加します。ファイル長を設定してキャプチャー・ファイル・サイズを制限したり、 disable コマンドや request forwarding-options port-mirroring instance instance-name self-mirror-stop コマンドを発行して入力しますを無効にすることができます。

  • エグレス方向のポートミラーリングと破棄アクションはサポートされていません。

  • セルフミラーリングは、次の構成ではサポートされていません。

    • forwarding-class

    • policer

    • 同じファイル名のセルフミラーリングの複数のインスタンス

    • 同じインスタンスに適用されたリモートポートミラーリングとセルフミラーリング

  • 複数のインターフェイスのミラー コピーには、インターフェイスまたはセッションごとにキャプチャされたファイルが必要です。

  • ポートミラーインスタンスの最大数は15です。

デバイス上のパケットキャプチャを設定する

パケットのセルフミラーリングを設定する前に、標準のポートミラーリングと同様に、ポートミラーリングインスタンスとファイアウォールフィルターを設定します。

デバイス上の入力しますを設定するには、出力ファイル名を指定し、必要に応じてファイルの書き込みモードとファイルの最大サイズを指定します。
注:

出力ファイルの書き込みモードによって、ファイルが上書きされるかどうかが決まります。

  • circular:デフォルト。「循環」モードを使用する場合は、モードを指定しないでください。循環モードでは、設定されたサイズと最大ファイル値を超えると、ファイルが上書きされます。デフォルトのファイルサイズは5MBで、最大ファイル数は10です。

  • linear—ファイルサイズが設定された最大サイズ値を超えた場合にファイルへの書き込みを停止する場合は、線形モードを指定します。
  1. set forwarding-options port-mirroring instance instance-name family family-name 出力ファイル file-name
  2. 転送オプションのセット ポートミラーリングインスタンス instance-name ファミリー family-name 出力ファイル file-name (なし|リニア)最大サイズ value

デバイス上のパケットキャプチャを開始、停止、またはクリアする

デバイス上の入力しますを開始、停止、またはクリアするには、必要に応じて次の操作コマンドを使用します。
注:

  • 3 つのコマンドのいずれでもファミリを指定する必要はありません。これは任意です。

  • 開始までの秒数は 1 から 1800 です。

  • clear コマンドでインスタンスを指定する必要はありません。指定は任意です。

  • clear コマンドは、セルフミラーリングの統計情報をクリアし、関連する PCAP ファイルを削除します。

  1. request forwarding-options port-mirroring instance instance-name family family-name self-mirror-start start-duration-seconds
  2. request forwarding-options port-mirroring instance instance-name family family-name self-mirror-stop
  3. clear forwarding-options ポートミラーリングインスタンス instance-name ファミリー family-name

セルフミラーリングの遷移状態、開始/停止、統計情報の表示

設定を表示するには:
注:

ファイル内のキャプチャされたミラーリングされたパケットは、WANインターフェイスのL2ヘッダーを保持します。