Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de las opciones de depuración y rastreo de rutas de datos

Descripción de la depuración de rutas de datos para dispositivos de la serie SRX

La depuración de rutas de datos, o depuración de extremo a extremo, proporciona rastreo y depuración en varias unidades de procesamiento a lo largo de la ruta de procesamiento de paquetes. El filtro de paquetes se puede ejecutar con un impacto mínimo en el sistema de producción.

En un firewall de la serie SRX, un paquete pasa por una serie de eventos que involucran diferentes componentes, desde el procesamiento de entrada hasta el de salida.

Con la característica de depuración de rutas de datos, puede rastrear y depurar (capturar paquetes) en diferentes puntos de datos a lo largo de la ruta de procesamiento. Los eventos disponibles en la ruta de procesamiento de paquetes son: Entrada NP, subproceso de equilibrio de carga (LBT), jexec, subproceso de pedido de paquetes (POT) y salida NP. También puede habilitar el seguimiento de módulo de flujo si se establece el indicador de seguimiento de flujo de seguridad para un módulo determinado.

En cada evento, puede especificar cualquiera de las cuatro acciones (recuento, volcado de paquetes, resumen de paquetes y seguimiento). La depuración de rutas de datos proporciona filtros para definir qué paquetes capturar y solo se realiza un seguimiento de los paquetes coincidentes. El filtro de paquetes puede filtrar paquetes según la interfaz lógica, el protocolo, el prefijo de la dirección IP de origen, el puerto de origen, el prefijo de la dirección IP de destino y el puerto de destino.

La depuración de rutas de datos se admite en SRX4600, SRX5400, SRX5600 y SRX5800.

Para habilitar la depuración de extremo a extremo, debe realizar los pasos siguientes:

  1. Defina el archivo de captura y especifique el tamaño máximo de captura.

  2. Defina el filtro de paquetes para rastrear solo un determinado tipo de tráfico según el requisito.

  3. Defina el perfil de acción especificando la ubicación en la ruta de procesamiento desde donde capturar los paquetes (por ejemplo, entrada LBT o NP).

  4. Habilite la depuración de rutas de datos.

  5. Capturar tráfico.

  6. Deshabilite la depuración de rutas de datos.

  7. Ver o analizar el informe.

El comportamiento de filtrado de paquetes para las opciones de puerto e interfaz es el siguiente:

  • El filtro de paquetes rastrea el tráfico IPv4 e IPv6 si solo port se especifica.

  • El filtro de paquetes rastrea el tráfico IPv4, IPV6 y no IP si solo interface se especifica.

Descripción de la depuración de seguridad mediante opciones de seguimiento

La función de seguimiento de Junos OS permite a las aplicaciones escribir información de depuración de seguridad en un archivo. La información que aparece en este archivo se basa en los criterios establecidos. Puede utilizar esta información para analizar problemas de aplicaciones de seguridad.

La función trace funciona de forma distribuida, con cada subproceso escribiendo en su propio búfer de seguimiento. Estos búferes de rastreo se recopilan en un punto, se ordenan y se escriben en archivos de seguimiento. Los mensajes de rastreo se entregan mediante el protocolo de comunicaciones entre procesos (IPC). Un mensaje de seguimiento tiene una prioridad menor que la de los paquetes de protocolo de control, como BGP, OSPF e IKE, por lo que la entrega no se considera tan confiable.

Descripción de la depuración de flujos mediante opciones de seguimiento

Para las opciones de seguimiento de flujo, puede definir un filtro de paquetes mediante combinaciones de destination-port, destination-prefix, interface, protocolsource-port, , y source-prefix. Si se establece el indicador de seguimiento de flujo de seguridad para un módulo determinado, el paquete que coincide con el filtro de paquetes específico desencadena el seguimiento de flujo y escribe información de depuración en el archivo de seguimiento.

Depurar la ruta de datos (procedimiento de la CLI)

La depuración de rutas de datos se admite en SRX5400, SRX5600 y SRX5800.

Para configurar el dispositivo para la depuración de rutas de datos:

  1. Especifique el siguiente comando de solicitud para establecer la depuración de la ruta de acceso de datos para las varias unidades de procesamiento a lo largo de la ruta de procesamiento de paquetes:
  2. Especifique las opciones de seguimiento para la depuración de rutas de datos mediante el siguiente comando:
  3. Con el comando request security packet-filter, puede establecer el filtro de paquetes para especificar los paquetes relacionados para realizar la acción de depuración de ruta de datos. Se admiten un máximo de cuatro filtros al mismo tiempo. Por ejemplo, el siguiente comando establece el primer filtro de paquetes:
  4. Con el comando request security action-profile, puede establecer la acción para la coincidencia de paquetes para un filtro especificado. Solo se admite el perfil de acción predeterminado, que es la opción de seguimiento para la entrada ezchip del procesador de red, la salida ezchip, spu.lbt y spu.pot:

Configuración de opciones de seguimiento de depuración de flujo (procedimiento de CLI)

En los ejemplos siguientes se muestran las opciones que puede definir mediante security flow traceoptions.

  • Para hacer coincidir el puerto de destino imap para el filtro de paquetes filter1, utilice la instrucción siguiente:

  • Para establecer la dirección del prefijo IPv4 de destino 1.2.3.4 para el filtro de paquetes filter1, utilice la instrucción siguiente:

  • Para establecer la interfaz lógica fxp0 para el filtro de paquetes filter1, utilice la instrucción siguiente:

  • Para que coincida con el protocolo IP TCP para el filtro de paquetes filter1, utilice la instrucción siguiente:

  • Para hacer coincidir el puerto de origen HTTP para el filtro de paquetes filter1, utilice la instrucción siguiente:

  • Para establecer la dirección del prefijo IPv4 5.6.7.8 para el filtro de paquetes filter1, utilice la instrucción siguiente:

Configuración de opciones de seguimiento de seguridad (procedimiento de CLI)

Utilice las siguientes instrucciones de configuración para configurar las opciones de seguimiento de seguridad en el editor de configuración de la CLI.

  • Para deshabilitar el seguimiento remoto, escriba la instrucción siguiente:

  • Para escribir mensajes de seguimiento en un archivo local, escriba la instrucción siguiente. El sistema guarda el archivo de seguimiento en el /var/log/ directorio.

  • Para especificar un nombre para el archivo de seguimiento, escriba la instrucción siguiente. Los valores válidos oscilan entre 1 y 1024 caracteres. El nombre no puede incluir espacios, /, ni % de caracteres. El nombre de archivo predeterminado es seguridad.

  • Para especificar el número máximo de archivos de seguimiento que se pueden acumular, escriba la instrucción siguiente. Los valores válidos oscilan entre 2 y 1000. El valor predeterminado es 3.

  • Para especificar los criterios de coincidencia que desea que utilice el sistema al registrar información en el archivo, escriba la instrucción siguiente. Escriba una expresión regular. Se aceptan caracteres comodín (*).

  • Para permitir que cualquier usuario lea el archivo de seguimiento, escriba la world-readable instrucción. De lo contrario, escriba la no-world-readable instrucción.

  • Para especificar el tamaño máximo al que puede crecer el archivo de seguimiento, escriba la instrucción siguiente. Una vez que el archivo alcanza el tamaño especificado, se comprime y se le cambia el nombre filename0.gz, el siguiente archivo se denomina filename1.gz, y así sucesivamente. Los valores válidos oscilan entre 10240 y 1.073.741.824.

  • Para activar las opciones de seguimiento y realizar más de una operación de seguimiento, establezca los siguientes indicadores.

  • Para especificar los grupos a los que se aplican o no estas opciones de seguimiento, escriba las instrucciones siguientes:

Visualización de archivos de registro y seguimiento

Ingrese el monitor start comando para mostrar adiciones en tiempo real a los registros del sistema y archivos de seguimiento:

Cuando el dispositivo agrega un registro al archivo especificado por filename, el registro se muestra en la pantalla. Por ejemplo, si ha configurado un archivo de registro del sistema denominado system-log (incluyendo la syslog instrucción en el nivel de jerarquía [edit system]), puede escribir el monitor start system-log comando para mostrar los registros agregados al registro del sistema.

Para mostrar una lista de los archivos que se están supervisando, escriba el monitor list comando. Para detener la visualización de los registros de un archivo especificado, escriba el monitor stop filename comando.

Mostrar resultados para las opciones de seguimiento de seguridad

Propósito

Muestra la salida para las opciones de seguimiento de seguridad.

Acción

Utilice el show security traceoptions comando para mostrar el resultado de los archivos de seguimiento. Por ejemplo:

El resultado de este ejemplo es el siguiente:

Visualización de operaciones de seguimiento de multidifusión

Para supervisar y mostrar las operaciones de seguimiento de multidifusión, escriba el mtrace monitor comando:

En este ejemplo solo mtrace se muestran las consultas. Sin embargo, cuando el dispositivo captura una mtrace respuesta, la pantalla es similar, pero también aparece la respuesta completa mtrace (exactamente como aparece en la salida del mtrace from-source comando).

Tabla 1 Resume los campos de salida de la pantalla.

Tabla 1: Resumen de salida del comando CLI mtrace monitor

Campo

Description

Mtrace operation-type at time-of-day

  • operation-type—Tipo de operación de rastreo de multidifusión: query o response.

  • time-of-day: fecha y hora en que se capturó la consulta o respuesta de seguimiento de multidifusión.

by

Dirección IP del host que emite la consulta.

resp to address

address—Dirección de destino de la respuesta.

qid qid

qid: número de ID de consulta.

packet from source to destination

  • source: dirección IP del origen de la consulta o respuesta.

  • destination—Dirección IP del destino de la consulta o respuesta.

from source to destination

  • source—Dirección IP del origen de multidifusión.

  • destination: dirección IP del destino de la multidifusión.

via group address

address: dirección del grupo que se está rastreando.

mxhop=number

number—Ajuste del salto máximo.

Visualización de una lista de dispositivos

Para mostrar una lista de dispositivos entre el dispositivo y un host de destino especificado, escriba el traceroute comando con la siguiente sintaxis:

Tabla 2 Describe las opciones de traceroute comando.

Tabla 2: Opciones de comando de traceroute de CLI

La opción

Description

host

Envía paquetes de traceroute al nombre de host o a la dirección IP que especifique.

interface interface-name

(Opcional) Envía los paquetes traceroute a la interfaz que especifique. Si no incluye esta opción, los paquetes traceroute se envían en todas las interfaces.

as-number-lookup

(Opcional) Muestra el número de sistema autónomo (AS) de cada salto intermedio entre el dispositivo y el host de destino.

bypass-routing

(Opcional) Omite las tablas de enrutamiento y envía los paquetes traceroute solo a hosts en interfaces conectadas directamente. Si el host no está en una interfaz conectada directamente, se devuelve un mensaje de error.

Utilice esta opción para mostrar una ruta a un sistema local a través de una interfaz que no tiene ninguna ruta a través de ella.

gateway address

(Opcional) Utiliza la puerta de enlace que especifique para enrutar.

inet

(Opcional) Fuerza los paquetes traceroute a un destino IPv4.

inet6

(Opcional) Fuerza los paquetes traceroute a un destino IPv6.

no-resolve

(Opcional) Suprime la visualización de los nombres de host de los saltos a lo largo de la ruta de acceso.

routing-instance routing-instance-name

(Opcional) Utiliza la instancia de enrutamiento especificada para traceroute.

source address

(Opcional) Utiliza la dirección de origen que especifique en el paquete traceroute.

tos number

(Opcional) Establece el valor del tipo de servicio (TOS) en el encabezado IP del paquete traceroute. Especifique un valor de 0 a .255

ttl number

(Opcional) Establece el valor de tiempo de vida (TTL) para el paquete traceroute. Especifique un recuento de saltos desde 0 .128

wait seconds

(Opcional) Establece el tiempo máximo de espera de una respuesta.

Para salir del traceroute comando, presione Ctrl-C.

A continuación se muestra un ejemplo de salida de un traceroute comando:

Los campos de la pantalla son los mismos que los que muestra la herramienta de diagnóstico J-Web traceroute.

Ejemplo: Configuración de la depuración de extremo a extremo en un dispositivo de la serie SRX

En este ejemplo se muestra cómo configurar una captura de paquetes en un firewall de la serie SRX de gama alta y habilitar la depuración de extremo a extremo en un firewall de la serie SRX con un SRX5K-MPC.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • SRX5600 dispositivo con un SRX5K-MPC instalado con transceptor CFP de Ethernet de 100 Gigabit

  • Junos OS versión 12.1X47-D15 o posterior para firewalls serie SRX

Antes de empezar:

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Descripción general

La depuración de rutas de datos mejora las capacidades de solución de problemas al proporcionar rastreo y depuración en varias unidades de procesamiento a lo largo de la ruta de procesamiento de paquetes. Con la característica de depuración de rutas de datos, puede rastrear y depurar (capturar paquetes) en diferentes puntos de datos a lo largo de la ruta de procesamiento. En cada evento, puede especificar una acción (recuento, volcado de paquetes, resumen de paquetes y seguimiento) y puede establecer filtros para definir qué paquetes capturar.

En este ejemplo, se define un filtro de tráfico y, a continuación, se aplica un perfil de acción. El perfil de acciones especifica una variedad de acciones en la unidad de procesamiento. La entrada y la salida se especifican como ubicaciones en la ruta de procesamiento para capturar los datos del tráfico entrante y saliente.

A continuación, habilite la depuración de rutas de datos en modo operativo y, por último, vea el informe de captura de datos.

Nota:

La depuración de rutas de datos se admite en SRX5400, SRX5600 y SRX5800.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS .

Para configurar la depuración de rutas de datos:

  1. Edite la opción de depuración de rutas de datos de seguridad para las varias unidades de procesamiento a lo largo de la ruta de procesamiento de paquetes:

  2. Habilite el archivo de captura, el formato de archivo, el tamaño del archivo y el número de archivos.

  3. Configure el perfil de acción, el tipo de evento y las acciones para el perfil de acción.

Resultados

Desde el modo de configuración, confírmela con el comando show security datapath-debug. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Ejemplo: Configurar la captura de paquetes para la depuración de rutas de datos

En este ejemplo se muestra cómo configurar la captura de paquetes para supervisar el tráfico que pasa por el dispositivo. La captura de paquetes luego vuelca los paquetes en un formato de archivo PCAP que puede ser examinado posteriormente por la utilidad tcpdump.

Requisitos

Descripción general

Se define un filtro para filtrar el tráfico; A continuación, se aplica un perfil de acción al tráfico filtrado. El perfil de acciones especifica una variedad de acciones en la unidad de procesamiento. Una de las acciones admitidas es el volcado de paquetes, que envía el paquete al motor de enrutamiento y lo almacena en forma propietaria para leerlo con el show security datapath-debug capture comando.

Configuración

Procedimiento
Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración enla Guía del usuario de CLI de Junos OS.

Para configurar la captura de paquetes:

  1. Edite la opción security datapath-debug para las varias unidades de procesamiento a lo largo de la ruta de procesamiento de paquetes:

  2. Habilite el archivo de captura, el formato de archivo, el tamaño del archivo y el número de archivos. El número de tamaño limita el tamaño del archivo de captura. Una vez alcanzado el tamaño límite, si se especifica el número de archivo, el archivo de captura se rotará a filename x, donde x se incrementará automáticamente hasta que alcance el índice especificado y, a continuación, vuelva a cero. Si no se especifica ningún índice de archivos, los paquetes se descartarán después de alcanzar el límite de tamaño. El tamaño predeterminado es 512 kilobytes.

  3. Habilite el perfil de acción y establezca el evento. Establezca el perfil de acción como do-capture y el tipo de evento como np-ingress:

  4. Habilite el volcado de paquetes para el perfil de acción:

  5. Habilite las opciones de filtro, acción y filtro de paquetes. El filtro de paquetes se establece en mi-filtro, el perfil de acción se establece en do-capture y la opción de filtro se establece en source-prefix 1.2.3.4/32.

Resultados

Desde el modo de configuración, confírmela con el comando show security datapath-debug. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Verificación de la captura de paquetes
Propósito

Compruebe si la captura de paquetes funciona.

Acción

Desde el modo operativo, escriba el comando para iniciar la request security datapath-debug capture start captura de paquetes y escriba el comando para detener la captura de request security datapath-debug capture stop paquetes.

Para ver los resultados, desde el modo operativo de la CLI, acceda al shell de UNIX local y navegue hasta el directorio /var/log/my-capture. El resultado se puede leer mediante la utilidad tcpdump.

Comprobación de la captura de depuración de rutas de datos
Propósito

Compruebe los detalles del archivo de captura de depuración de rutas de datos.

Acción

Desde el modo operativo, ingrese el comando show security datapath-debug capture.

Advertencia:

Cuando haya terminado de solucionar problemas, asegúrese de eliminar o desactivar todas las configuraciones de traceoptions (no limitadas a flow traceoptions) y la estrofa completa de configuración de datapath-debug de seguridad. Si alguna configuración de depuración permanece activa, seguirá utilizando los recursos de CPU y memoria del dispositivo.

Contador de depuración de comprobación de rutas de datos
Propósito

Compruebe los detalles del contador de depuración de rutas de datos.

Acción

Desde el modo operativo, ingrese el comando show security datapath-debug counter.

Habilitar la depuración de rutas de datos

Procedimiento

Procedimiento paso a paso

Después de configurar la depuración de rutas de datos, debe iniciar el proceso en el dispositivo desde el modo operativo.

  1. Habilite la depuración de rutas de datos.

  2. Antes de comprobar la configuración y ver los informes, debe deshabilitar la depuración de rutas de datos.

    Nota:

    Debe detener el proceso de depuración una vez que haya terminado de capturar los datos. Si intenta abrir los archivos capturados sin detener el proceso de depuración, los archivos obtenidos no se pueden abrir a través de ningún software de terceros (por ejemplo, tcpdump y wireshark).

Verificación

Confirme que la configuración funcione correctamente.

Comprobación de los detalles de la captura de paquetes de depuración de rutas de datos

Propósito

Verifique los datos capturados habilitando la configuración de depuración de rutas de datos.

Acción

Desde el modo operativo, ingrese el comando show security datapath-debug capture.

Para abreviar, la salida del show comando se trunca para mostrar solo unos pocos ejemplos. Las muestras adicionales han sido reemplazadas por puntos suspensivos (...).

Para ver los resultados, desde el modo operativo de la CLI, acceda al shell de UNIX local y navegue hasta el directorio /var/log/<file-name>. El resultado se puede leer mediante la tcpdump utilidad.

Nota:

Si ha terminado de solucionar problemas de la depuración de rutas de datos, elimine todas ( traceoptions sin limitarse a las opciones de seguimiento de flujo) y la configuración completa de depuración de rutas de datos, incluida la configuración de depuración de rutas de datos para la captura de paquetes (volcado de paquetes), que debe iniciarse o detenerse manualmente. Si alguna parte de la configuración de depuración permanece activa, seguirá utilizando los recursos del dispositivo (CPU/memoria).