Nesta página
Entendendo a depuração de caminhos de dados para dispositivos da Série SRX
Entendendo a depuração de segurança usando opções de rastreamento
Configuração de opções de rastreamento de depuração de fluxo (procedimento CLI)
Configuração de opções de rastreamento de segurança (procedimento CLI)
Exemplo: Configuração de depuração de ponta a ponta em dispositivo da Série SRX
Configuração de depuração de caminho de dados e opções de rastreamento
Entendendo a depuração de caminhos de dados para dispositivos da Série SRX
A depuração de caminhos de dados, ou depuração de ponta a ponta, oferece rastreamento e depuração em várias unidades de processamento ao longo do caminho de processamento de pacotes. O filtro de pacotes pode ser executado com impacto mínimo no sistema de produção.
Em um firewall da Série SRX, um pacote passa por uma série de eventos envolvendo diferentes componentes, desde o processamento de entrada até a saída.
Com o recurso de depuração do caminho de dados, você pode rastrear e depurar (pacotes de captura) em diferentes pontos de dados ao longo do caminho de processamento. Os eventos disponíveis no caminho de processamento de pacotes são: Entrada NP, thread de balanceamento de carga (LBT), jexec, thread de pedido de pacotes (POT) e saída de NP. Você também pode habilitar o rastreamento do módulo de fluxo se a bandeira de rastreamento de fluxo de segurança para um determinado módulo estiver definida.
Em cada evento, você pode especificar qualquer uma das quatro ações (contagem, despejo de pacotes, resumo de pacotes e rastreamento). A depuração de caminhos de dados fornece filtros para definir quais pacotes capturar, e apenas os pacotes combinados são rastreados. O filtro de pacotes pode filtrar pacotes com base em interface lógica, protocolo, prefixo de endereço IP de origem, porta de origem, prefixo de endereço IP de destino e porta de destino.
A depuração de caminhos de dados é suportada em SRX4600, SRX5400, SRX5600 e SRX5800.
Para habilitar a depuração de ponta a ponta, você deve executar as seguintes etapas:
Defina o arquivo de captura e especifique o tamanho máximo de captura.
Defina o filtro de pacotes para rastrear apenas um determinado tipo de tráfego com base no requisito.
Defina o perfil de ação especificando a localização no caminho de processamento de onde capturar os pacotes (por exemplo, entrada LBT ou NP).
Habilite a depuração do caminho de dados.
Capture o tráfego.
Desativar a depuração do caminho de dados.
Visualize ou analise o relatório.
O comportamento de filtragem de pacotes para as opções de porta e interface é o seguinte:
O filtro de pacotes rastreia o tráfego IPv4 e IPv6 se apenas port for especificado.
O filtro de pacotes rastreia tráfego IPv4, IPV6 e não IP, se apenas interface for especificado.
Entendendo a depuração de segurança usando opções de rastreamento
A função de rastreamento do Junos OS permite que aplicativos escrevam informações de depuração de segurança em um arquivo. As informações que aparecem neste arquivo são baseadas em critérios definidos por você. Você pode usar essas informações para analisar problemas de aplicativos de segurança.
A função trace opera de maneira distribuída, com cada thread escrevendo para seu próprio buffer de rastreamento. Esses buffers de rastreamento são então coletados em um ponto, classificados e escritos para rastrear arquivos. As mensagens de rastreamento são entregues usando o protocolo InterProcess Communications (IPC). Uma mensagem de rastreamento tem uma prioridade menor do que a de pacotes de protocolo de controle, como BGP, OSPF e IKE, e, portanto, a entrega não é considerada tão confiável.
Entender a depuração de fluxo usando opções de rastreamento
Para opções de rastreamento de fluxo, você pode definir um filtro de pacote usando combinações dedestination-port, , destination-prefix, interface, protocole source-portsource-prefix. Se o fluxo de segurança rastrear a bandeira de um determinado módulo for definido, o pacote que combina com o filtro de pacote específico desencadeia o rastreamento de fluxo e escreve informações de depuração no arquivo de rastreamento.
Depuração do caminho de dados (procedimento CLI)
A depuração de caminhos de dados é suportada em SRX5400, SRX5600 e SRX5800.
Para configurar o dispositivo para depuração do caminho de dados:
Configuração de opções de rastreamento de depuração de fluxo (procedimento CLI)
Os exemplos a seguir exibem as opções que você pode definir usando security flow traceoptions.
Para combinar com a porta de destino do imap para o filtro de pacotes 1, use a seguinte declaração:
[edit] user@host# set security flow traceoptions packet-filter filter1 destination-port imap
Para definir o endereço de prefixo IPv4 de destino 1.2.3.4 para o filtro de pacotes filter1, use a seguinte declaração:
[edit] user@host# set security flow traceoptions packet-filter filter1 destination-prefix 1.2.3.4
Para definir a interface lógica do fxp0 para o filtro de pacotes filter1, use a seguinte declaração:
[edit] user@host# set security flow traceoptions packet-filter filter1 interface fxp0
Para combinar com o protocolo IP TCP para o filtro de pacotes filter1, use a seguinte declaração:
[edit] user@host# set security flow traceoptions packet-filter filter1 protocol tcp
Para combinar com a porta de origem HTTP para o filtro de pacote 1, use a seguinte declaração:
[edit] user@host# set security flow traceoptions packet-filter filter1 source-port http
Para definir o endereço de prefixo IPv4 de 5,6,7,8 para o filtro de pacotes filter1, use a seguinte declaração:
[edit] user@host# set security flow traceoptions packet-filter filter1 source-prefix 5.6.7.8
Configuração de opções de rastreamento de segurança (procedimento CLI)
Use as seguintes declarações de configuração para configurar opções de rastreamento de segurança no editor de configuração da CLI.
Para desativar o rastreamento remoto, digite a seguinte declaração:
[edit] user@host# set security traceoptions no-remote-trace
Para escrever mensagens de rastreamento em um arquivo local, digite a declaração a seguir. O sistema salva o arquivo de rastreamento no /var/log/ diretório.
[edit] user@host# set security traceoptions use-local-files
Para especificar um nome para o arquivo de rastreamento, digite a declaração a seguir. Os valores válidos variam de 1 e 1024 caracteres. O nome não pode incluir espaços, /ou % caracteres. O nome de arquivo padrão é segurança.
[edit] user@host# set security traceoptions file filename
Para especificar o número máximo de arquivos de rastreamento que podem se acumular, digite a declaração a seguir. Os valores válidos variam de 2 a 1000. O valor padrão é 3.
[edit] user@host# set security traceoptions file files 3
Para especificar os critérios de correspondência que você deseja que o sistema use ao registrar informações no arquivo, digite a declaração a seguir. Digite uma expressão regular. Caracteres curingas (*) são aceitos.
[edit] user@host# set security traceoptions file match *thread
Para permitir que qualquer usuário leia o arquivo de rastreamento, digite a
world-readabledeclaração. Caso contrário, digite ano-world-readabledeclaração.[edit] user@host# set security traceoptions file world-readable user@host# set security traceoptions file no-world-readable
Para especificar o tamanho máximo ao qual o arquivo de rastreamento pode crescer, digite a declaração a seguir. Assim que o arquivo atinge o tamanho especificado, ele é comprimido e renomeado filename0.gz, o próximo arquivo é nomeado filename1.gz e assim por diante. Os valores válidos variam de 10240 a 1.073.741.824.
[edit] user@host# set security traceoptions file size 10240
Para ativar opções de rastreamento e realizar mais de uma operação de rastreamento, configure as seguintes bandeiras.
[edit] user@host# set security traceoptions flag all user@host# set security traceoptions flag compilation user@host# set security traceoptions flag configuration user@host# set security traceoptions flag routing-socket
Para especificar os grupos a que essas configurações de opção de rastreamento fazem ou não se aplicam, digite as seguintes declarações:
[edit] user@host# set security traceoptions apply-groups value user@host# set security traceoptions apply-groups-except value
Exibição de arquivos de log e rastreamento
Digite o monitor start comando para exibir adições em tempo real aos logs do sistema e rastrear arquivos:
user@host> monitor start filename
Quando o dispositivo adiciona um registro ao arquivo especificado por filename, o registro é exibido na tela. Por exemplo, se você tiver configurado um arquivo de log do sistema nomeado system-log (incluindo a syslog declaração no nível [edit system] hierarquia), você pode inserir o monitor start system-log comando para exibir os registros adicionados ao log do sistema.
Para exibir uma lista de arquivos que estão sendo monitorados, entre no monitor list comando. Para interromper a exibição de registros de um arquivo especificado, entre no monitor stop filename comando.
Exibição de saída para opções de rastreamento de segurança
Propósito
Saída de exibição para opções de rastreamento de segurança.
Ação
Use o show security traceoptions comando para exibir a saída de seus arquivos de rastreamento. Por exemplo:
[edit] user@host # show security traceoptions file usp_trace user@host # show security traceoptions flag all user@host # show security traceoptions rate-limit 888
A saída para este exemplo é a seguinte:
Apr 11 16:06:42 21:13:15.750395:CID-906489336:FPC-01:PIC-01:THREAD_ID-01:PFE:now update 0x3607edf8df8in 0x3607e8d0 Apr 11 16:06:42 21:13:15.874058:CID-1529687608:FPC-01:PIC-01:THREAD_ID-01:CTRL:Enter Function[util_ssam_handler] Apr 11 16:06:42 21:13:15.874485:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default1: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874538:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default1: Destination ID set to 1 Apr 11 16:06:42 21:13:15.874651:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default2: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874832:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default2: Destination ID set to 1 Apr 11 16:06:42 21:13:15.874942:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default3: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874997:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default3: Destination ID set to 1
Exibição de operações de rastreamento multicast
Para monitorar e exibir operações de rastreamento multicast, entre no mtrace monitor comando:
user@host> mtrace monitor
Mtrace query at Apr 21 16:00:54 by 192.1.30.2, resp to 224.0.1.32, qid 2a83aa packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:00:57 by 192.1.30.2, resp to 224.0.1.32, qid 25dc17 packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:01:00 by 192.1.30.2, resp to same, qid 20e046 packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:01:10 by 192.1.30.2, resp to same, qid 1d25ad packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60)
Este exemplo exibe apenas mtrace consultas. No entanto, quando o dispositivo captura uma mtrace resposta, o display é semelhante, mas a resposta completa mtrace também aparece (exatamente como aparece na mtrace from-source saída de comando).
Tabela 1 resume os campos de saída do display.
Campo |
Descrição |
|---|---|
|
|
|
Endereço IP do host emitindo a consulta. |
|
|
|
|
|
|
|
|
|
|
|
|
Exibindo uma lista de dispositivos
Para exibir uma lista de dispositivos entre o dispositivo e um host de destino especificado, insira o traceroute comando com a seguinte sintaxe:
user@host> traceroute host <interface interface-name> <as-number-lookup> <bypass-routing> <gateway address> <inet | inet6> <no-resolve> <routing-instance routing-instance-name> <source source-address> <tos number> <ttl number> <wait seconds>
Tabela 2 descreve as traceroute opções de comando.
Opção |
Descrição |
|---|---|
|
Envia pacotes de traceroute para o nome de host ou endereço IP que você especifica. |
|
(Opcional) Envia os pacotes de traceroute na interface que você especifica. Se você não incluir essa opção, os pacotes de traceroute são enviados em todas as interfaces. |
|
(Opcional) Exibe o número do sistema autônomo (AS) de cada salto intermediário entre o dispositivo e o host de destino. |
|
(Opcional) Ignora as tabelas de roteamento e envia os pacotes de traceroute apenas para hosts em interfaces diretamente anexadas. Se o host não estiver em uma interface diretamente anexada, uma mensagem de erro será devolvida. Use essa opção para exibir uma rota para um sistema local através de uma interface que não tem rota por ele. |
|
(Opcional) Usa o gateway que você especifica para rotear. |
|
(Opcional) Força os pacotes de traceroute a um destino IPv4. |
|
(Opcional) Força os pacotes de traceroute a um destino IPv6. |
|
(Opcional) Suprime a exibição dos nomes de host dos saltos ao longo do caminho. |
|
(Opcional) Usa a instância de roteamento que você especifica para o traceroute. |
|
(Opcional) Usa o endereço fonte que você especifica, no pacote de traceroute. |
|
(Opcional) Define o valor do tipo de serviço (TOS) no cabeçalho IP do pacote traceroute. Especifique um valor de |
|
(Opcional) Define o valor do tempo de vida (TTL) para o pacote de traceroute. Especifique uma contagem de saltos de |
|
(Opcional) Define o tempo máximo para esperar por uma resposta. |
Para deixar o traceroute comando, pressione Ctrl-C.
O seguinte é a saída de amostra de um traceroute comando:
user@host> traceroute host2
traceroute to 173.24.232.66 (172.24.230.41), 30 hops max, 40 byte packets 1 173.18.42.253 (173.18.42.253) 0.482 ms 0.346 ms 0.318 ms 2 host4.site1.net (173.18.253.5) 0.401 ms 0.435 ms 0.359 ms 3 host5.site1.net (173.18.253.5) 0.401 ms 0.360 ms 0.357 ms 4 173.24.232.65 (173.24.232.65) 0.420 ms 0.456 ms 0.378 ms 5 173.24.232.66 (173.24.232.66) 0.830 ms 0.779 ms 0.834 ms
Os campos no display são os mesmos exibidos pela ferramenta de diagnóstico de traceroute J-Web.
Exemplo: Configuração de depuração de ponta a ponta em dispositivo da Série SRX
Este exemplo mostra como configurar uma captura de pacotes em um firewall de ponta a ponta da Série SRX e permitir a depuração de ponta a ponta em um firewall da Série SRX com um SRX5K-MPC.
- Requisitos
- Visão geral
- Configuração
- Exemplo: Configure a captura de pacotes para depuração de datapath
- Habilitação da depuração do caminho de dados
- Verificação
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
SRX5600 dispositivo com um SRX5K-MPC instalado com transceptor Ethernet CFP de 100 Gigabits
Versão Junos OS 12.1X47-D15 ou posterior para firewalls da Série SRX
Antes de começar:
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
A depuração de caminhos de dados melhora os recursos de solução de problemas, fornecendo rastreamento e depuração em várias unidades de processamento ao longo do caminho de processamento de pacotes. Com o recurso de depuração do caminho de dados, você pode rastrear e depurar (pacotes de captura) em diferentes pontos de dados ao longo do caminho de processamento. Em cada evento, você pode especificar uma ação (contagem, despejo de pacotes, resumo de pacotes e rastreamento) e você pode definir filtros para definir quais pacotes capturar.
Neste exemplo, você define um filtro de tráfego e depois aplica um perfil de ação. O perfil de ação especifica uma variedade de ações na unidade de processamento. A entrada e a saída são especificadas como locais no caminho de processamento para capturar os dados para tráfego de entrada e saída.
Em seguida, você habilita a depuração do caminho de dados no modo operacional e, finalmente, visualiza o relatório de captura de dados.
A depuração de caminhos de dados é suportada em SRX5400, SRX5600 e SRX5800.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security datapath-debug traceoptions file e2e.trace size 10m set security datapath-debug capture-file e2e.pcap format pcap set security datapath-debug maximum-capture-size 1500 set security datapath-debug capture-file files 10 set security datapath-debug action-profile profile-1 preserve-trace-order set security datapath-debug action-profile profile-1 record-pic-history set security datapath-debug action-profile profile-1 event np-ingress trace set security datapath-debug action-profile profile-1 event np-ingress count set security datapath-debug action-profile profile-1 event np-ingress packet-summary set security datapath-debug action-profile profile-1 event np-egress trace set security datapath-debug action-profile profile-1 event np-egress count set security datapath-debug action-profile profile-1 event np-egress packet-summary
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI .
Para configurar a depuração do caminho de dados:
Edite a opção de depuração de datapath de segurança para várias unidades de processamento ao longo do caminho de processamento de pacotes:
[edit] user@host# edit security datapath-debug
Habilite o arquivo de captura, o formato do arquivo, o tamanho do arquivo e o número de arquivos.
[edit security datapath-debug] user@host# set traceoptions file e2e.trace size 10m user@host# set capture-file e2e.pcap format pcap; user@host# set maximum-capture-size 1500 user@host# set capture-file files 10
Configure o perfil de ação, o tipo de evento e as ações para o perfil de ação.
[edit security datapath-debug] user@host# set action-profile profile-1 preserve-trace-order user@host# set action-profile profile-1 record-pic-history user@host# set action-profile profile-1 event np-ingress trace user@host# set action-profile profile-1 event np-ingress count user@host# set action-profile profile-1 event np-ingress packet-summary user@host# set action-profile profile-1 event np-egress trace user@host# set action-profile profile-1 event np-egress count user@host# set action-profile profile-1 event np-egress packet-summary
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security datapath-debug comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
traceoptions {
file e2e.trace size 10m;
}
capture-file e2e.pcap format pcap;
maximum-capture-size 1500;
capture-file files 10;
action-profile {
profile-1 {
preserve-trace-order;
record-pic-history;
event np-ingress {
trace;
packet-summary;
packet-dump;
}
event np-egress {
trace;
packet-summary;
packet-dump;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Exemplo: Configure a captura de pacotes para depuração de datapath
Este exemplo mostra como configurar a captura de pacotes para monitorar o tráfego que passa pelo dispositivo. A captura de pacotes então despeja os pacotes em um formato de arquivo PCAP que pode ser posteriormente analisado pelo utilitário tcpdump.
Requisitos
Antes de começar, veja Debugging the Data Path (Procedimento CLI).
Visão geral
Um filtro é definido para filtrar o tráfego; em seguida, um perfil de ação é aplicado ao tráfego filtrado. O perfil de ação especifica uma variedade de ações na unidade de processamento. Uma das ações apoiadas é o despejo de pacotes, que envia o pacote para o Mecanismo de Roteamento e o armazena em forma proprietária para ser lido usando o show security datapath-debug capture comando.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security datapath-debug capture-file my-capture set security datapath-debug capture-file format pcap set security datapath-debug capture-file size 1m set security datapath-debug capture-file files 5 set security datapath-debug maximum-capture-size 400 set security datapath-debug action-profile do-capture event np-ingress packet-dump set security datapath-debug packet-filter my-filter action-profile do-capture set security datapath-debug packet-filter my-filter source-prefix 1.2.3.4/32
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuraçãono Guia de usuário do Junos OS CLI.
Para configurar a captura de pacotes:
Edite a opção de depuração de datapath de segurança para várias unidades de processamento ao longo do caminho de processamento de pacotes:
[edit] user@host# edit security datapath-debug
Habilite o arquivo de captura, o formato do arquivo, o tamanho do arquivo e o número de arquivos. O número de tamanho limita o tamanho do arquivo de captura. Após o tamanho limite ser alcançado, se o número do arquivo for especificado, então o arquivo de captura será girado para o nome xdo arquivo, onde x é incrementado automaticamente até atingir o índice especificado e depois retornar a zero. Se nenhum índice de arquivos for especificado, os pacotes serão descartados após o limite de tamanho ser atingido. O tamanho padrão é de 512 kilobytes.
[edit security datapath-debug] user@host# set capture-file my-capture format pcap size 1m files 5 [edit security datapath-debug] user@host# set maximum-capture-size 400
Habilite o perfil de ação e configure o evento. Defina o perfil de ação como do-capture e do tipo de evento como np-ingress:
[edit security datapath-debug] user@host# edit action-profile do-capture [edit security datapath-debug action-profile do-capture] user@host# edit event np-ingress
Habilite o despejo de pacotes para o perfil de ação:
[edit security datapath-debug action-profile do-capture event np-ingress] user@host# set packet-dump
Habilite opções de filtro, ação e filtro de pacotes. O filtro de pacotes está definido para meu filtro, o perfil de ação está definido para fazer a captura e a opção de filtro é definida como prefixo de origem 1.2.3.4/32.
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter action-profile do-capture
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter source-prefix 1.2.3.4/32
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security datapath-debug comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
security {
datapath-debug {
capture-file {
my-capture
format pcap
size 1m
files 5;
}
}
maximum-capture-size 100;
action-profile do-capture {
event np-ingress {
packet-dump
}
}
packet-filter my-filter {
source-prefix 1.2.3.4/32
action-profile do-capture
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificação da captura de pacotes
- Verificação da captura de depuração do caminho de dados
- Contador de verificação de depuração de caminhos de dados
Verificação da captura de pacotes
Propósito
Verifique se a captura de pacotes está funcionando.
Ação
A partir do modo operacional, insira o request security datapath-debug capture start comando para iniciar a captura de pacotes e insira o request security datapath-debug capture stop comando para interromper a captura de pacotes.
Para ver os resultados, a partir do modo operacional CLI, acesse o shell UNIX local e navegue até o diretório /var/log/my-capture. O resultado pode ser lido usando o utilitário tcpdump.
Verificação da captura de depuração do caminho de dados
Propósito
Verifique os detalhes do arquivo de captura de depuração do caminho de dados.
Ação
A partir do modo operacional, entre no show security datapath-debug capture comando.
user@host>show security datapath-debug capture
Quando terminar a solução de problemas, certifique-se de remover ou desativar todas as configurações de traceoptions (não se limitando a traceoptions de fluxo) e a estrofe completa da configuração de datapath-debug de segurança. Se alguma configuração de depuração permanecer ativa, elas continuarão a usar os recursos de CPU e memória do dispositivo.
Contador de verificação de depuração de caminhos de dados
Propósito
Verifique os detalhes do contador de depuração do caminho de dados.
Ação
A partir do modo operacional, entre no show security datapath-debug counter comando.
Habilitação da depuração do caminho de dados
Procedimento
Procedimento passo a passo
Após a configuração da depuração do caminho de dados, você deve iniciar o processo no dispositivo a partir do modo operacional.
Habilite a depuração do caminho dos dados.
user@host> request security datapath-debug capture start
datapath-debug capture started on file datapcap
Antes de verificar a configuração e visualizar os relatórios, você deve desabilitar a depuração do caminho dos dados.
user@host> request security datapath-debug capture stop
datapath-debug capture succesfully stopped, use show security datapath-debug capture to view
Nota:Você deve parar o processo de depuração depois de terminar de capturar os dados. Se você tentar abrir os arquivos capturados sem interromper o processo de depuração, os arquivos obtidos não poderão ser abertos por meio de nenhum software de terceiros (por exemplo, tcpdump e wireshark).
Verificação
Confirme se a configuração está funcionando corretamente.
Verificação dos detalhes da captura de pacotes de depuração do caminho de dados
Propósito
Verifique os dados capturados, permitindo a configuração de depuração do caminho de dados.
Ação
A partir do modo operacional, entre no show security datapath-debug capture comando.
Packet 8, len 152: (C2/F2/P0/SEQ:57935:np-ingress) 00 10 db ff 10 02 00 30 48 83 8d 4f 08 00 45 00 00 54 00 00 40 00 40 01 9f c7 c8 07 05 69 c8 08 05 69 08 00 91 1f 8f 03 2a a2 ae 66 85 53 8c 7d 02 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 Packet 9, len 152: (C2/F2/P0/SEQ:57935:np-egress) 00 30 48 8d 1a bf 00 10 db ff 10 03 08 00 45 00 00 54 00 00 40 00 3f 01 a0 c7 c8 07 05 69 c8 08 05 69 08 00 91 1f 8f 03 2a a2 ae 66 85 53 8c 7d 02 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37....
Para brevidade, a show saída de comando é truncada para exibir apenas algumas amostras. Outras amostras foram substituídas por elipses (...).
Para ver os resultados, a partir do modo operacional CLI, acesse a shell unix local e navegue até o diretório /var/log/<file-name>. O resultado pode ser lido usando o tcpdump utilitário.
user@host>start shell %tcpdump -nr/var/log/e2e.pcap
21:50:04.288767 C0/F3 event:1(np-ingress) SEQ:1 IP 192.168.14.2 > 192.168.13.2: ICMP echo request, id 57627, seq 0, length 64 21:50:04.292590 C0/F3 event:2(np-egress) SEQ:1 IP 192.168.14.2 > 192.168.13.2: ICMP echo request, id 57627, seq 0, length 64 1:50:04.295164 C0/F3 event:1(np-ingress) SEQ:2 IP 192.168.13.2 > 192.168.14.2: ICMP echo reply, id 57627, seq 0, length 64 21:50:04.295284 C0/F3 event:2(np-egress) SEQ:2 IP 192.168.13.2 > 192.168.14.2: ICMP echo reply, id 57627, seq 0, length 64
Se você terminar a solução de problemas da depuração do caminho de dados, remova todos traceoptions (não limitado a traceoptions de fluxo) e a configuração completa de depuração do caminho de dados, incluindo a configuração de depuração do caminho de dados para captura de pacotes (despejo de pacotes), que precisa ser iniciada/interrompida manualmente. Se alguma parte da configuração de depuração permanecer ativa, ela continuará a usar os recursos do dispositivo (CPU/memória).