Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

온디바이스 패킷 캡처

기기 내 패킷 캡처 또는 자체 미러링을 사용하면 디바이스의 네트워크 포트에서 들어오고 나가는 네트워크 패킷을 해당 디바이스의 CPU로 전송하고 파일에 저장할 수 있습니다.

온디바이스 패킷 캡처

개요

포트 미러링은 네트워크 패킷을 포트에서 복사하여 모니터링 포트나 디바이스에 입력으로 전송할 수 있는 네트워크 모니터링 기법입니다. 디바이스 내 패킷 캡처 또는 자체 미러링을 사용하면 복사한 네트워크 패킷을 CPU로 전송하고 PCAP 파일에 저장할 수 있습니다. 이 온디바이스 패킷 캡처기능은 프로토콜 및 애플리케이션 분석, 네트워크 디버깅 및 문제 해결, 네트워크 포렌식, 감사 추적, 네트워크 공격 탐지에 도움이 될 수 있습니다.

이 기능을 사용하려면 다음을 수행해야 합니다.

  • 포트 미러링 인스턴스 및 방화벽 필터를 포함한 표준 포트 미러링 설정을 구성합니다.

  • 파일 이름, 파일의 최대 크기 및 쓰기 모드를 포함하여 PCAP 파일을 구성합니다.

  • 작동 명령을 사용하여 디바이스 내 패킷 캡처(셀프 미러링)를 시작 및 중지하고 셀프 미러링 통계를 삭제합니다.

이점

온디바이스 패킷 캡처 사용:

  • 샘플링된 패킷은 CPU로 전송되고 PCAP 파일에 기록되므로 실제 환경에서 문제를 디버깅하고 분석할 수 있습니다.

  • 패킷을 자체 미러링하는 네트워크 디바이스에 어떤 디바이스도 연결할 필요가 없습니다.

지침 및 제한 사항

지침

  • 패킷의 자체 미러링을 구성하기 전에 표준 포트 미러링과 마찬가지로 포트 미러링 인스턴스와 방화벽 필터를 구성합니다.

  • 셀프 미러링을 위한 각 포트 미러링 인스턴스는 고유한 "제품군" 지정을 가져야 합니다. 이 기능의 제품군은 다음과 같습니다.

    • inet

    • inet6

    • any

  • 캡처된 미러링된 패킷 파일은 에서 사용할 수 있습니다 /var/tmp/filename.

  • 다른 포트 미러링 구성과 마찬가지로 셀프 미러링 구성에서 및 max-packet-length 값을 적용할 rate수 있습니다.

  • 자체 미러링 또는 일반 포트 미러링을 위해 포트 미러링 인스턴스를 구성하되 한 번에 두 가지 목적을 모두 위해 구성하지는 않습니다.

  • 기본적으로 DDOS(분산 서비스 거부) 보호가 활성화되어 있습니다. 대역폭 12000, 버스트 크기 15000, 폴리서 복구 300의 폴리서 제한이 적용됩니다.

  • 미러링된 패킷이 대상 파일에 저장되는 데 최대 60초가 걸립니다.

  • PCAP 파일이 레코딩되는 동안 자체 미러링 매개변수를 변경해도 레코딩은 영향을 받지 않습니다. 파일을 기록하는 동안 파일 이름을 변경하면 새 파일이 만들어지고 새 파일에서 녹음이 완료됩니다.

제한

  • 샘플링 속도가 적극적이면(1:1) 패킷이 캡처될 때 시스템의 처리량에 영향을 미치고 시스템 리소스의 부하를 증가시킵니다. 파일 길이를 설정하여 캡처한 파일 크기를 제한하거나 명령 또는 명령을 실행하여 패킷 캡처를 disable 비활성화할 request forwarding-options port-mirroring instance instance-name self-mirror-stop 수 있습니다.

  • 송신 방향의 포트 미러링 및 폐기 작업은 지원되지 않습니다.

  • 자체 미러링은 다음 구성에서 지원되지 않습니다.

    • forwarding-class

    • policer

    • 동일한 파일 이름을 가진 여러 개의 자체 미러링 인스턴스

    • 동일한 인스턴스에 적용되는 원격 포트 미러링과 자체 미러링

  • 여러 인터페이스의 미러링된 복사본에는 인터페이스 또는 세션당 캡처된 파일이 필요합니다.

  • 포트 미러링 인스턴스의 최대 수는 15개입니다.

디바이스 내 패킷 캡처 구성

패킷의 자체 미러링을 구성하기 전에 표준 포트 미러링과 마찬가지로 포트 미러링 인스턴스와 방화벽 필터를 구성합니다.

디바이스에서 패킷 캡처를 구성하려면 출력 파일명을 제공하고 선택적으로 파일의 쓰기 모드와 파일의 최대 크기를 지정합니다.
주:

출력 파일의 쓰기 모드는 파일이 덮어쓰여지는지 여부를 결정합니다.

  • circular - 기본값입니다. "원형" 모드를 사용하려면 모드를 지정하지 마십시오. 순환 모드에서는 구성된 크기 및 최대 파일 값이 초과되면 파일을 덮어씁니다. 기본 파일 크기는 5MB이고 최대 파일 수는 10개입니다.

  • linear - 파일 크기가 구성된 maximum-size 값을 초과하는 경우 파일에 대한 쓰기를 중지하려면 선형 모드를 지정합니다.
  1. set forwarding-options port-mirroring instance instance-name family family-name 출력 파일 file-name
  2. set forwarding-options port-mirroring instance instance-name family family-name 출력 파일 file-name (none | linear) max-size value

온디바이스 패킷 캡처 시작, 중지 또는 지우기

디바이스 내 패킷 캡처를 시작, 중지 또는 삭제하려면 필요에 따라 다음 운영 명령을 사용합니다.
주:

  • 세 명령 중 어느 것에도 패밀리를 지정할 필요가 없습니다. 이렇게 하는 것은 선택 사항입니다.

  • 시작 전 시간(초)은 1-1800입니다.

  • 명령에서 clear 인스턴스를 지정할 필요는 없으며, 선택 사항입니다.

  • clear 명령은 자체 미러링 통계를 지우고 연관된 PCAP 파일을 삭제합니다.

  1. forwarding-options port-mirroring instance instance-name family family-name self-mirror-start 요청 start-duration-seconds
  2. forwarding-options port-mirroring instance instance-name family family-name self-mirror-stop 요청
  3. clear forwarding-options port-mirroring 인스턴스 instance-name 패밀리 family-name

셀프 미러링 전환 상태, 시작/중지 및 통계 보기

구성을 보려면 다음을 수행합니다.
주:

파일에서 캡처된 미러링된 패킷은 WAN 인터페이스의 L2 헤더를 유지합니다.