Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurar las opciones de depuración y seguimiento de los trazados de datos

Descripción de la depuración de ruta de datos para dispositivos serie SRX

La depuración de trazados de datos o la depuración de extremo a extremo proporciona el seguimiento y la depuración en varias unidades de procesamiento a lo largo de la ruta de procesamiento de paquetes. El filtro de paquetes puede ejecutarse con un impacto mínimo en el sistema de producción.

Si su objetivo es recopilar capturas de paquetes, recomendamos encarecidamente aprovechar la captura de paquetes en modo operativo introducida en las Junos OS versión 19.3R1. Consulte Captura de paquetes desde el modo operativo.

En un dispositivo serie SRX, un paquete pasa por una serie de sucesos que implican distintos componentes del procesamiento de salida.

Con la característica de depuración de trazados de datos, puede realizar el seguimiento y la depuración (paquetes de captura) en puntos de datos diferentes a lo largo de la ruta de procesamiento. Los sucesos disponibles en la ruta de procesamiento de paquetes son: Entrada de NP, subproceso de equilibrio de carga (LBT), jexec, subproceso de pedido de paquetes (POT) y salida de NP. También se puede activar seguimiento de módulo de flujo si se ha establecido el indicador de seguimiento de flujo de seguridad para un determinado módulo.

En cada caso, puede especificar cualquiera de las cuatro acciones (recuento, volcado de paquetes, Resumen de paquetes y seguimiento). Depuración de trazados de datos proporciona filtros para definir qué paquetes capturar, y solo se rastrean los paquetes coincidentes. El filtro de paquetes puede filtrar paquetes según la interfaz lógica, el protocolo, el prefijo de la dirección IP de origen, el puerto de origen, el prefijo de dirección IP de destino y el puerto de destino.

La depuración de ruta de datos se admite en SRX1400, SRX3400, SRX3600, SRX4600, SRX5400, SRX5600 y SRX5800.

Para habilitar la depuración de extremo a extremo, debe seguir estos pasos:

  1. Defina el archivo de captura y especifique el tamaño máximo de captura.

  2. Defina el filtro de paquetes para trazar únicamente un determinado tipo de tráfico basándose en el requisito.

  3. Defina el perfil de acción que especifica la ubicación en la ruta de procesamiento desde la que se van a capturar los paquetes (por ejemplo, LBT o entrada NP).

  4. Habilite la depuración de trazados de datos.

  5. Capturar el tráfico.

  6. Deshabilita la depuración de trazados de datos.

  7. Ver o analizar el informe.

El comportamiento del filtrado de paquetes para las opciones Port e interfaz es el siguiente:

  • El filtro de paquetes rastrea tanto el tráfico IPv4 como el IPv6 si solo port se especifica.

  • El filtro de paquetes rastrea tráfico IPv4, IPV6 y no IP si solo interface se especifica.

Captura de paquetes desde el modo operativo

La depuración de trazados de datos o depuración de extremo a extremo proporciona seguimiento y depuración en varias unidades de procesamiento a lo largo de la ruta de procesamiento de paquetes. La captura de paquetes es una de las funciones de depuración de ruta de datos. Puede ejecutar la captura de paquetes desde el modo de funcionamiento con un impacto mínimo sobre el sistema de producción sin confirmar las configuraciones.

Puede capturar paquetes utilizando filtros para definir los paquetes que desea capturar. El filtro de paquetes puede filtrar paquetes según la interfaz lógica, el protocolo, el prefijo de la dirección IP de origen, el puerto de origen, el prefijo de dirección IP de destino y el puerto de destino. Puede modificar el nombre de archivo, el tipo de archivo, el tamaño de archivo y capturar el tamaño de la salida de captura de paquetes. También puede extender los filtros en dos filtros e intercambiar los valores de los filtros.

Para capturar paquetes del modo operativo, debe seguir estos pasos:

  1. Desde el modo operativo, defina el filtro de paquetes para trazar el tipo de tráfico en función de sus request packet-capture start necesidades, utilizando el comando de CLI. Consulte request packet-capture start para ver las opciones de filtro de captura de paquetes disponibles.
  2. Capturar los paquetes necesarios.
  3. Puede utilizar el request packet-capture stop comando de CLI para detener la captura de paquetes o después de recopilar el número solicitado de paquetes, por lo que la captura del paquete se detiene automáticamente.
  4. Muestra o analiza el informe de datos de paquetes capturados.

Las limitaciones de la captura de paquetes desde el modo operativo son:

  1. No puede coexistir la captura de paquetes en modo de configuración ni la captura de paquetes del modo operativo.

  2. La captura de paquetes del modo operativo es una operación de una sola vez y el sistema no almacena el historial de este comando.

  3. Debe utilizar la captura de paquetes del modo operativo en el flujo de tráfico bajo.

Descripción de la depuración de seguridad mediante opciones de seguimiento

La función Junos OS Trace permite a las aplicaciones escribir información de depuración de seguridad en un archivo. La información que aparece en este archivo se basa en los criterios establecidos. Puede utilizar esta información para analizar los problemas de las aplicaciones de seguridad.

La función trace funciona de una manera distribuida, en la que cada subproceso escribe en su propio búfer de seguimiento. A continuación, estos búferes de seguimiento se recopilan en un punto, se ordenan y se escriben en los archivos de seguimiento. Los mensajes de seguimiento se entregan mediante el protocolo de comunicaciones entre procesos (IPC). Un mensaje de seguimiento tiene una prioridad más baja que la de los paquetes del Protocolo de control, como BGP, OSPF y ICR, por lo que la entrega no se considera tan confiable.

Descripción de la depuración de flujo mediante opciones de seguimiento

Para las opciones de seguimiento de flujo, puede definir un filtro de paquetes mediante combinaciones de destination-port , , , , y destination-prefixinterfaceprotocolsource-portsource-prefix . Si se establece el indicador de seguimiento de flujo de seguridad para un determinado módulo, el paquete que coincide con el filtro de paquetes específico desencadena el seguimiento de flujo y escribe la información de depuración en el archivo de seguimiento.

Depuración de la ruta de datos (procedimiento de CLI)

La depuración de trazados de datos es compatible con SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 y SRX5800.

Para configurar el dispositivo para la depuración de la ruta de datos:

  1. Especifique el siguiente comando de solicitud para establecer la depuración de ruta de datos para las unidades de procesamiento múltiple a lo largo de la ruta de procesamiento de paquetes:
  2. Especifique las opciones de seguimiento para la ruta de acceso de datos-Debug con el comando siguiente:
  3. Mediante el comando de solicitud de filtro de paquetes de seguridad, puede establecer el filtro de paquetes para especificar los paquetes relacionados para que realicen una acción de depuración de datos. Se admite un máximo de cuatro filtros al mismo tiempo. Por ejemplo, el siguiente comando establece el primer filtro de paquetes:
  4. Si utiliza el comando Request Security Action-Profile, puede establecer la acción de coincidencia del paquete para un filtro específico. Solo se admite el perfil de acción predeterminado, que es la opción Trace para el procesador de red ezchip ingreso, salida ezchip, SPU. LBT y SPU. pot:

Definir opciones de seguimiento de depuración de flujo (procedimiento de CLI)

En los siguientes ejemplos se muestran las opciones que puede establecer security flow traceoptionsmediante.

  • Para hacer coincidir el puerto de destino IMAP del filtro de paquetes Filter1, utilice la siguiente instrucción:

  • Para establecer la dirección de prefijo IPv4 de destino 1.2.3.4 para el filtro de paquetes Filter1, utilice la siguiente instrucción:

  • Para establecer la interfaz lógica fxp0 para el filtro de paquetes Filter1, utilice la siguiente instrucción:

  • Para coincidir con el protocolo TCP IP para el filtro de paquetes Filter1, utilice la siguiente instrucción:

  • Para hacer coincidir el puerto de origen HTTP con el filtro de paquetes Filter1, utilice la siguiente instrucción:

  • Para establecer la dirección de prefijo IPv4 5.6.7.8 para el filtro de paquetes Filter1, utilice la siguiente instrucción:

Establecer opciones de seguimiento de seguridad (procedimiento de CLI)

Utilice las siguientes instrucciones de configuración para configurar las opciones de seguimiento de seguridad en el editor de configuración de la CLI.

  • Para deshabilitar el seguimiento remoto, escriba la siguiente instrucción:

  • Para escribir mensajes de seguimiento en un archivo local, escriba la siguiente instrucción. El sistema guarda el archivo de seguimiento en /var/log/ el directorio.

  • Para especificar un nombre para el archivo de traza, escriba la siguiente instrucción. Los valores válidos oscilan entre 1 y 1024 caracteres. El nombre no puede contener espacios, ni o% caracteres. El nombre de archivo predeterminado es Security.

  • Para especificar el número máximo de archivos de seguimiento que se pueden acumular, escriba la siguiente instrucción. Los valores válidos oscilan entre 2 y 1000. El valor predeterminado es 3.

  • Para especificar los criterios de coincidencia que desea que utilice el sistema al registrar información en el archivo, escriba la siguiente instrucción. Escriba una expresión regular. Se aceptan caracteres comodín (*).

  • Para permitir que cualquier usuario Lea el archivo de traza, escriba world-readable la instrucción. De lo contrario, no-world-readable especifique la instrucción.

  • Para especificar el tamaño máximo que puede alcanzar el archivo de traza, escriba la siguiente instrucción. Una vez que el archivo alcanza el tamaño especificado, se comprime y cambia de nombre filename 0,gz, el siguiente archivo se denomina filename1,gz, y así sucesivamente. El rango de valores válidos va desde el 10240 al 1.073.741.824.

  • Para activar las opciones de seguimiento y realizar más de una operación de seguimiento, establezca los siguientes indicadores.

  • Para especificar los grupos a los que esta configuración de opciones de seguimiento o no se aplica, escriba las siguientes instrucciones:

Mostrar archivos de registro y de seguimiento

Escriba el monitor start comando para mostrar las adiciones en tiempo real a los registros del sistema y los archivos de seguimiento:

Cuando el dispositivo agrega un registro al archivo especificado por filename, el registro se muestra en la pantalla. Por ejemplo, si ha configurado un archivo de registro del sistema system-log con el nombre ( syslog incluyendo la instrucción enedit systemel nivel de jerarquía []), puede monitor start system-log escribir el comando para mostrar los registros que se han agregado al registro del sistema.

Para mostrar una lista de los archivos que se están supervisando monitor list , escriba el comando. Para detener la visualización de registros de un archivo especificado, escriba el monitor stop filename comando.

Mostrar resultados para las opciones de seguimiento de seguridad

Purpose

Muestra la salida de las opciones de seguimiento de seguridad.

Intervención

Utilice el show security traceoptions comando para mostrar el resultado de los archivos de traza. Por ejemplo:

El resultado de este ejemplo es el siguiente:

Mostrar operaciones de traza de multidifusión

Para supervisar y mostrar las operaciones de traza de multidifusión, escriba el mtrace monitor siguiente comando:

En este ejemplo solo mtrace se muestran las consultas. Sin embargo, cuando el dispositivo captura una mtrace respuesta, la pantalla es similar, pero también aparece mtrace la respuesta completa (exactamente tal y como aparece en la mtrace from-source salida del comando).

Tabla 1resume los campos de resultados de la pantalla.

Tabla 1: Resumen de salida del comando del monitor de CLI mtrace

Campo

Descripción

Mtrace operation-type at time-of-day

  • operation-type— Tipo de operación de seguimiento de multidifusión: queryo response.

  • time-of-day: fecha y hora en la que se capturó la consulta o respuesta de seguimiento de multidifusión.

by

Dirección IP del host que emite la consulta.

resp to address

address— Dirección de destino de respuesta.

qid qid

qid: número de ID de consulta.

packet from source to destination

  • source: dirección IP del origen de la consulta o respuesta.

  • destination: dirección IP del destino de la consulta o respuesta.

from source to destination

  • source: dirección IP del origen de la multidifusión.

  • destination: dirección IP del destino de multidifusión.

via group address

address: se está rastreando la dirección de grupo.

mxhop=number

number: configuración máxima de salto.

Mostrar una lista de dispositivos

Para mostrar una lista de dispositivos entre el dispositivo y un host de destino especificado, escriba traceroute el comando con la siguiente sintaxis:

Tabla 2describe las traceroute opciones de comando.

Tabla 2: Opciones de comando traceroute de CLI

,

Descripción

host

Envía los paquetes de Traceroute al nombre de host o dirección IP especificada.

interface interface-name

Adicional Envía los paquetes de Traceroute a la interfaz que se especifique. Si no incluye esta opción, los paquetes traceroute se envían a todas las interfaces.

as-number-lookup

Adicional Muestra el número de sistema autónomo (AS) de cada salto intermedio entre el dispositivo y el host de destino.

bypass-routing

Adicional Omite las tablas de enrutamiento y envía los paquetes de Traceroute solo a los hosts de interfaces directamente conectadas. Si el host no está en una interfaz conectada directamente, se devuelve un mensaje de error.

Utilice esta opción para mostrar una ruta a un sistema local a través de una interfaz que no tiene ruta a través de ella.

gateway address

Adicional Utiliza la puerta de enlace que especifique que va a enrutar.

inet

Adicional Fuerza los paquetes de Traceroute en un destino IPv4.

inet6

Adicional Fuerza el paquete de Traceroute en un destino IPv6.

no-resolve

Adicional Suprime la presentación de los nombres de host de los saltos a lo largo de la ruta.

routing-instance routing-instance-name

Adicional Utiliza la instancia de ruta especificada para el traceroute.

source address

Adicional Usa la dirección de origen que especifique en el paquete traceroute.

tos number

Adicional Define el valor del tipo de servicio (TOS) en el encabezado IP del paquete traceroute. Especifique un valor a 0 través 255de.

ttl number

Adicional Establece el valor de tiempo de vida (TTL) para el paquete traceroute. Especifique un recuento de 0 saltos desde 128.

wait seconds

Adicional Establece el tiempo máximo de espera de una respuesta.

Para salir del traceroute comando, presione Ctrl + C.

A continuación se muestra el resultado de traceroute ejemplo de un comando:

Los campos de la pantalla son los mismos que los que se muestran en la herramienta de diagnóstico J-web traceroute.

Ejemplo Configuración de la depuración de extremo a extremo en serie SRX dispositivo

En este ejemplo se muestra cómo configurar y habilitar la depuración de extremo a extremo en un dispositivo serie SRX con un SRX5K-MPC.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • SRX5600 dispositivo con un SRX5K-MPC instalado con el transceptor de 100 Gigabit Ethernet de la PPC

  • Junos OS versión 12.1 X47-D15 o posterior para dispositivos serie SRX

Antes de empezar:

Antes de configurar esta característica, es necesaria una configuración especial más allá de la inicialización del dispositivo.

Descripción general

La depuración de los paths de datos mejora las capacidades de solución de problemas, ya que proporciona seguimiento y depuración en varias unidades de procesamiento a lo largo de la ruta de procesamiento de paquetes. Con la característica de depuración de trazados de datos, puede realizar el seguimiento y la depuración (paquetes de captura) en puntos de datos diferentes a lo largo de la ruta de procesamiento. En cada caso, puede especificar una acción (recuento, volcado de paquetes, Resumen de paquetes y seguimiento) y puede definir filtros para definir los paquetes que desea capturar.

En este ejemplo, se define un filtro de tráfico y, a continuación, se aplica un perfil de acción. El perfil de acción especifica una serie de acciones en la unidad de procesamiento. La entrada y salida se especifican en forma de ubicaciones en la ruta de procesamiento para capturar los datos del tráfico entrante y saliente.

A continuación, habilite la depuración de trazados de datos en el modo operativo y, por último, vea el informe de captura de datos.

Nota:

La depuración de trazados de datos es compatible con SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 y SRX5800.

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Junos OS CLI usuario .

Para configurar la depuración de la ruta de datos:

  1. Edite la opción de depuración de la seguridad de los metapaths para las unidades de procesamiento múltiple a lo largo de la ruta de procesamiento de paquetes:

  2. Habilite el archivo de captura, el formato de archivo, el tamaño del archivo y el número de archivos.

  3. Configure el perfil de acción, el tipo de evento y las acciones para el perfil de acción.

Resultados

Desde el modo de configuración, escriba el show security datapath-debug comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Habilitar depuración de ruta de datos

Modalidades

Procedimiento paso a paso

Después de configurar la depuración de ruta de datos, debe iniciar el proceso en el dispositivo desde el modo operativo.

  1. Habilite la depuración de ruta de datos.

  2. Antes de comprobar la configuración y ver los informes, debe deshabilitar la depuración de trazados de datos.

    Nota:

    Debe detener el proceso de depuración después de haber terminado de capturar los datos. Si intenta abrir los archivos capturados sin detener el proceso de depuración, los archivos obtenidos no se pueden abrir a través de ningún software de terceros (por ejemplo, tcpdump y Wireshark).

Comproba

Confirme que la configuración funciona correctamente.

Comprobar ruta de acceso de datos detalles de captura de paquete de depuración

Purpose

Compruebe los datos capturados habilitando la configuración de depuración de la ruta de datos.

Intervención

En modo operativo, escriba el show security datapath-debug capture comando.

Para mayor brevedad, show la salida del comando se trunca para mostrar solo algunos ejemplos. Las muestras adicionales se han sustituido por puntos suspensivos (...).

Para ver los resultados, desde el modo operativo de la CLI, obtenga acceso al shell local de UNIX /var/log/<file-name>y desplácese al directorio. El resultado se puede leer utilizando la tcpdump utilidad.

Nota:

Si ha terminado de solucionar los problemas de depuración de ruta de datos traceoptions , quite todo (sin limitarlo a transmitir TraceOptions) y la configuración completa de depuración de ruta de datos, incluida la configuración de depuración de ruta de datos para la captura de paquetes (volcado de paquetes), que necesita para iniciarse o detenerse manualmente. Si permanece activa cualquier parte de la configuración de depuración, continuará usando los recursos del dispositivo (CPU/memoria).