Captura de paquetes en el dispositivo

La captura de paquetes en el dispositivo, o autoduplicación, le permite tener paquetes de red que entran o salen de cualquier puerto de red en un dispositivo enviado a la CPU de ese dispositivo y guardado en un archivo.

Captura de paquetes en el dispositivo

Descripción general
Ventajas
Directrices y limitaciones

Descripción general

La duplicación de puertos es una técnica de monitoreo de red que le permite copiar paquetes de red de un puerto y enviarlos como entrada a un puerto o dispositivo de monitoreo. La captura de paquetes en el dispositivo, o autoduplicación, le permite que los paquetes de red copiados se envíen a la CPU y se guarden en un archivo PCAP. Esta característica, la captura de paquetes en el dispositivo, puede ayudarle con el análisis de protocolos y aplicaciones, la depuración y solución de problemas de red, el análisis forense de red, las pistas de auditoría y la detección de ataques a la red.

Para utilizar esta función, debe:

Configure una configuración estándar de creación de reflejo de puertos, incluidas las instancias de duplicación de puertos y los filtros de firewall.
Configure el archivo PCAP, incluido el nombre del archivo, el tamaño máximo del archivo y el modo de escritura.
Utilice los comandos operativos para iniciar y detener la captura de paquetes en el dispositivo (autoduplicación) y para borrar las estadísticas de autoduplicación.

Ventajas

Con la captura de paquetes en el dispositivo:

Los paquetes de muestra se envían a la CPU y se escriben en un archivo PCAP, lo que le permite depurar y analizar problemas en un entorno en vivo.
No necesita tener ningún dispositivo conectado al dispositivo de red en el que está autoduplicando los paquetes.

Directrices

Antes de configurar la autoduplicación de paquetes, configure las instancias de duplicación de puertos y el filtro de firewall como lo haría con la creación de reflejo de puerto estándar.
Cada instancia de duplicación de puertos para la autoduplicación debe tener su propia designación de "familia". Las familias para esta característica son:
- inet
- inet6
- any
El archivo de paquete duplicado capturado estará disponible en /var/tmp/filename.
Puede aplicar rate valores y max-packet-length en la configuración de autoduplicación del mismo modo que lo haría con cualquier configuración de duplicación de puertos.
Configure una instancia de duplicación de puertos para la creación de reflejo automática o para la duplicación de puertos general, pero no para ambos fines a la vez.
De forma predeterminada, la protección DDOS (denegación de servicio distribuida) está habilitada. Se aplican los límites del aplicador de ancho de banda 12000, tamaño de ráfaga 15000 y recuperación de aplicador 300.
Los paquetes duplicados tardan hasta 60 segundos en almacenarse en el archivo de destino.
Si cambia algún parámetro de autoduplicación mientras el archivo PCAP está grabando, la grabación no se verá afectada. Si cambia el nombre de archivo mientras el archivo está grabando, se crea un nuevo archivo y la grabación finaliza en el nuevo archivo.

Limitaciones

Si la frecuencia de muestreo es agresiva (1:1), afecta al rendimiento del sistema a medida que se capturan los paquetes y aumenta la carga de los recursos del sistema. Puede restringir el tamaño del archivo capturado estableciendo la longitud del archivo, o puede deshabilitar la captura de paquetes emitiendo el disable comando o el request forwarding-options port-mirroring instance instance-name self-mirror-stop comando.
No se admiten la creación de reflejo de puertos ni las acciones de descarte en la dirección de salida.
La duplicación automática no se admite con las siguientes configuraciones:
- forwarding-class
- policer
- Varias instancias de autoduplicación con el mismo nombre de archivo
- Espejado de puerto remoto y autoespejado aplicados a la misma instancia
Las copias duplicadas de múltiples interfaces requieren un archivo capturado por interfaz o sesión.
El número máximo de instancias de espejo de puerto es 15.

Configurar la captura de paquetes en el dispositivo

Antes de configurar la autoduplicación de paquetes, configure las instancias de duplicación de puertos y el filtro de firewall como lo haría con la creación de reflejo de puerto estándar.

Para configurar la captura de paquetes en el dispositivo, proporcione un nombre de archivo de salida y, opcionalmente, especifique el modo de escritura para el archivo y el tamaño máximo del archivo:

Nota:

El modo de escritura para el archivo de salida determina si el archivo está sobrescrito:

circular: el valor predeterminado; No especifique un modo si desea utilizar el modo "circular". En el modo circular, el archivo se sobrescribe si se superan el tamaño configurado y los valores máximos de archivo. El tamaño de archivo predeterminado es 5 MB y el número máximo de archivos es 10.
linear: especifique el modo lineal si desea que la escritura en el archivo se detenga si el tamaño del archivo supera el valor de tamaño máximo configurado.

Establecer opciones de reenvío Archivo de salida de la familia family-name de instancias instance-name de duplicación de puertos file-name
Establecer opciones de reenvío Familia de instancia instance-namefamily-name de duplicación de puertos Archivo file-name de salida (ninguno | lineal) Tamaño máximo value

Iniciar, detener o borrar la captura de paquetes en el dispositivo

Para iniciar, detener o borrar la captura de paquetes en el dispositivo, use los siguientes comandos operativos según sea necesario:

Nota:

No es necesario especificar una familia en ninguno de los tres comandos; Si lo hace, es opcional.
La duración de los segundos antes del inicio es de 1 a 1800.
No es necesario especificar una instancia en el clear comando; hacerlo es opcional.
El clear comando borra las estadísticas de autoduplicación y elimina los archivos PCAP asociados.

Ver el estado de transición de autoduplicación, inicio/parada y estadísticas

Para ver la configuración:

Nota:

Los paquetes duplicados capturados en el archivo conservan el encabezado L2 en la interfaz WAN.