データ・パスのデバッグおよびトレース・オプションの構成
SRXシリーズデバイスのデータパスデバッグについて
データ・パス・デバッグ (エンドツーエンド・デバッグ) サポートは、パケット・プロセス・パスに沿った複数の処理装置でトレースとデバッグを提供します。パケットフィルタは、本番システムへの影響を最小限に抑えて実行できます。
SRXシリーズファイアウォールでは、パケットは、ingressからegress処理までのさまざまなコンポーネントが関係する一連のイベントを通過します。
データ・パス・デバッグ機能を使用すると、処理パスに沿ったさまざまなデータ・ポイントでトレースおよびデバッグ(パケットのキャプチャー)を行うことができます。パケット処理パスで使用可能なイベントは次のとおりです。NP ingress、LBT(負荷分散スレッド)、jexec、POT(パケット順序付けスレッド)、NP egress。特定のモジュールのセキュリティ フロー トレース フラグが設定されている場合は、フロー モジュール トレースを有効にすることもできます。
各イベントでは、4 つのアクション (カウント、パケット ダンプ、パケット サマリー、トレース) のいずれかを指定できます。データ・パス・デバッグには、キャプチャーするパケットを定義するフィルターが用意されており、一致したパケットのみがトレースされます。パケット フィルターは、論理インターフェイス、プロトコル、送信元 IP アドレス プレフィックス、送信元ポート、宛先 IP アドレス プレフィックス、宛先ポートに基づいてパケットを除外できます。
データ・パスのデバッグは、 SRX4600、SRX5400、SRX5600、および SRX5800 でサポートされています。
エンド ツー エンドのデバッグを有効にするには、次の手順を実行する必要があります。
キャプチャ・ファイルを定義し、最大キャプチャ・サイズを指定します。
要件に基づいて、特定のタイプのトラフィックのみをトレースするようにパケット・フィルタを定義します。
パケット(LBTやNPイングレスなど)をキャプチャする処理パス上の場所を指定するアクションプロファイルを定義します。
データ・パスのデバッグを有効にします。
トラフィックをキャプチャします。
データ・パスのデバッグを無効にします。
レポートを表示または分析します。
ポートおよびインターフェイスオプションのパケットフィルタリング動作は次のとおりです。
パケット・フィルターは、 port のみを指定した場合、IPv4 と IPv6 の両方のトラフィックをトレースします。
パケット・フィルタは、IPv4、IPV6、および interface のみを指定した場合、非 IP トラフィックをトレースします。
トレース オプションを使用したセキュリティ デバッグについて
Junos OS トレース機能を使用すると、アプリケーションはセキュリティ デバッグ情報をファイルに書き込むことができます。このファイルに表示される情報は、設定した条件に基づいています。この情報を使用して、セキュリティ製品の問題を分析できます。
trace 関数は分散方式で動作し、各スレッドは独自のトレース バッファーに書き込みます。これらのトレース・バッファーは、ある時点で収集され、ソートされて、トレース・ファイルに書き込まれます。トレース メッセージは、プロセス間通信 (IPC) プロトコルを使用して配信されます。トレース メッセージは、BGP、OSPF、IKE などの制御プロトコル パケットの優先度よりも優先度が低いため、配信の信頼性は低いと見なされます。
トレースオプションを使用したフローデバッグの理解
フロー トレース オプションでは、 destination-port、 destination-prefix、 interface、 protocol、 source-port、および source-prefix の組み合わせを使用してパケット フィルタを定義できます。特定のモジュールにセキュリティ フロー トレース フラグが設定されている場合、特定のパケット フィルタに一致するパケットがフロー トレースをトリガーし、デバッグ情報をトレース ファイルに書き込みます。
データパスのデバッグ(CLI手順)
データ・パスのデバッグは、SRX5400、SRX5600、および SRX5800 で サポートされています。
データをデバッグ用にデバイスを構成するには:
フローデバッグトレースオプションの設定(CLI手順)
次の例は、 security flow traceoptions を使用して設定できるオプションを示しています。
filter1 パケット・フィルタの imap 宛先ポートに一致させるには、以下のステートメントを使用します。
[edit] user@host# set security flow traceoptions packet-filter filter1 destination-port imap
filter1 パケット・フィルタに宛先 IPv4 プレフィックス・アドレス 1.2.3.4 を設定するには、以下のステートメントを使用します。
[edit] user@host# set security flow traceoptions packet-filter filter1 destination-prefix 1.2.3.4
filter1 パケット フィルタに fxp0 論理インターフェイスを設定するには、次のステートメントを使用します。
[edit] user@host# set security flow traceoptions packet-filter filter1 interface fxp0
filter1 パケット・フィルタの TCP IP プロトコルに一致させるには、以下のステートメントを使用します。
[edit] user@host# set security flow traceoptions packet-filter filter1 protocol tcp
filter1 パケット・フィルターの HTTP ソース・ポートと一致させるには、以下のステートメントを使用します。
[edit] user@host# set security flow traceoptions packet-filter filter1 source-port http
filter1 パケット・フィルタに 5.6.7.8 IPv4 プレフィックス・アドレスを設定するには、以下のステートメントを使用します。
[edit] user@host# set security flow traceoptions packet-filter filter1 source-prefix 5.6.7.8
セキュリティー・トレース・オプションの設定(CLI 手順)
CLI 設定エディターでセキュリティー・トレース・オプションを構成するには、以下の構成ステートメントを使用します。
リモート・トレーシングを無効にするには、次のステートメントを入力します。
[edit] user@host# set security traceoptions no-remote-trace
トレースメッセージをローカルファイルに書き込むには、次のステートメントを入力します。トレースファイルが /var/log/ ディレクトリに保存されます。
[edit] user@host# set security traceoptions use-local-files
トレース・ファイルの名前を指定するには、次のステートメントを入力します。有効な値の範囲は1から1024文字です。名前にスペース、/、または % 文字を含めることはできません。デフォルトのファイル名はセキュリティです。
[edit] user@host# set security traceoptions file filename
蓄積できるトレース ファイルの最大数を指定するには、次のステートメントを入力します。有効な値の範囲は2から1000です。デフォルト値は 3 です。
[edit] user@host# set security traceoptions file files 3
情報をファイルに記録するときにシステムが使用する一致条件を指定するには、次のステートメントを入力します。正規表現を入力します。ワイルドカード (*) 文字を使用できます。
[edit] user@host# set security traceoptions file match *thread
すべてのユーザーがトレース ファイルを読み取れるようにするには、
world-readableステートメントを入力します。それ以外の場合は、no-world-readableステートメントを入力します。[edit] user@host# set security traceoptions file world-readable user@host# set security traceoptions file no-world-readable
トレース・ファイルが拡張できる最大サイズを指定するには、次のステートメントを入力します。ファイルが指定されたサイズに達すると、圧縮されて filename0.gz名前が変更され、次のファイルの名前は filename1.gzというようになります。有効な値の範囲は 10240 から 1,073,741,824 です。
[edit] user@host# set security traceoptions file size 10240
トレース・オプションをオンにし、複数のトレース操作を実行するには、次のフラグを設定します。
[edit] user@host# set security traceoptions flag all user@host# set security traceoptions flag compilation user@host# set security traceoptions flag configuration user@host# set security traceoptions flag routing-socket
これらのトレース・オプション設定を適用するグループまたは適用しないグループを指定するには、以下のステートメントを入力します。
[edit] user@host# set security traceoptions apply-groups value user@host# set security traceoptions apply-groups-except value
ログ ファイルとトレース ファイルの表示
monitor start コマンドを入力して、システム ログとトレース ファイルへのリアルタイムの追加を表示します。
user@host> monitor start filename
デバイスが filename で指定されたファイルにレコードを追加すると、そのレコードが画面に表示されます。例えば、system-logという名前のシステムログファイルを設定した場合([edit system]階層レベルにsyslogステートメントを含めることで)、monitor start system-logコマンドを入力して、システムログに追加されたレコードを表示することができます。
モニター中のファイルのリストを表示するには、 monitor list コマンドを入力します。指定したファイルのレコードの表示を停止するには、 monitor stop filename コマンドを入力します。
セキュリティ トレース オプションの出力の表示
目的
セキュリティー・トレース・オプションの出力を表示します。
アクション
show security traceoptions コマンドを使用して、トレース ファイルの出力を表示します。たとえば、以下のように表示されます。
[edit] user@host # show security traceoptions file usp_trace user@host # show security traceoptions flag all user@host # show security traceoptions rate-limit 888
この例の出力は次のとおりです。
Apr 11 16:06:42 21:13:15.750395:CID-906489336:FPC-01:PIC-01:THREAD_ID-01:PFE:now update 0x3607edf8df8in 0x3607e8d0 Apr 11 16:06:42 21:13:15.874058:CID-1529687608:FPC-01:PIC-01:THREAD_ID-01:CTRL:Enter Function[util_ssam_handler] Apr 11 16:06:42 21:13:15.874485:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default1: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874538:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default1: Destination ID set to 1 Apr 11 16:06:42 21:13:15.874651:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default2: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874832:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default2: Destination ID set to 1 Apr 11 16:06:42 21:13:15.874942:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default3: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874997:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default3: Destination ID set to 1
マルチキャスト トレース操作の表示
マルチキャスト トレース操作を監視および表示するには、 mtrace monitor コマンドを入力します。
user@host> mtrace monitor
Mtrace query at Apr 21 16:00:54 by 192.1.30.2, resp to 224.0.1.32, qid 2a83aa packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:00:57 by 192.1.30.2, resp to 224.0.1.32, qid 25dc17 packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:01:00 by 192.1.30.2, resp to same, qid 20e046 packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:01:10 by 192.1.30.2, resp to same, qid 1d25ad packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60)
この例では、 mtrace クエリのみを表示します。ただし、デバイスが mtrace 応答をキャプチャすると、表示は似ていますが、完全な mtrace 応答も表示されます( mtrace from-source コマンド出力に表示されるのとまったく同じです)。
表 1 は、ディスプレイの出力フィールドを要約します。
フィールド |
説明 |
|---|---|
|
|
|
クエリを発行したホストの IP アドレス。 |
|
|
|
|
|
|
|
|
|
|
|
|
デバイスのリストを表示する
デバイスと指定した宛先ホスト間のデバイスのリストを表示するには、以下の構文で traceroute コマンドを入力します。
user@host> traceroute host <interface interface-name> <as-number-lookup> <bypass-routing> <gateway address> <inet | inet6> <no-resolve> <routing-instance routing-instance-name> <source source-address> <tos number> <ttl number> <wait seconds>
表 2 で、traceroute コマンドのオプションについて説明します。
オプション |
説明 |
|---|---|
|
指定したホスト名または IP アドレスにトレースルート パケットを送信します。 |
|
(オプション)指定したインターフェイスでトレースルートパケットを送信します。このオプションが含まれていない場合、トレースルート パケットはすべてのインターフェイスで送信されます。 |
|
(オプション)デバイスと宛先ホスト間の各中間ホップの自律システム(AS)番号を表示します。 |
|
(オプション)ルーティング テーブルをバイパスし、直接接続されたインターフェイスのホストにのみトレースルート パケットを送信します。ホストが直接接続されたインターフェイスではない場合、エラー メッセージが返されます。 このオプションを使用して、経路のないインターフェースを介してローカル・システムへの経路を表示します。 |
|
(オプション)指定したゲートウェイを使用してルーティングします。 |
|
(オプション)トレースルート パケットを強制的に IPv4 宛先にします。 |
|
(オプション)トレースルート パケットを強制的に IPv6 宛先にします。 |
|
(オプション)パス上のホップのホスト名の表示を抑止します。 |
|
(オプション)traceroute に指定したルーティングインスタンスを使用します。 |
|
(オプション)traceroute パケットで指定した送信元アドレスを使用します。 |
|
(オプション)トレースルート パケットの IP ヘッダーの type-of-service(TOS)値を設定します。 |
|
(オプション)トレースルート パケットのTTL(Time-to-live)値を設定します。ホップ数を |
|
(オプション)応答を待機する最大時間を設定します。 |
traceroute コマンドを終了するには、Ctrl-C を押します。
以下に、 traceroute コマンドの出力例を示します。
user@host> traceroute host2
traceroute to 173.24.232.66 (172.24.230.41), 30 hops max, 40 byte packets 1 173.18.42.253 (173.18.42.253) 0.482 ms 0.346 ms 0.318 ms 2 host4.site1.net (173.18.253.5) 0.401 ms 0.435 ms 0.359 ms 3 host5.site1.net (173.18.253.5) 0.401 ms 0.360 ms 0.357 ms 4 173.24.232.65 (173.24.232.65) 0.420 ms 0.456 ms 0.378 ms 5 173.24.232.66 (173.24.232.66) 0.830 ms 0.779 ms 0.834 ms
表示されるフィールドは、J-Web トレースルート診断ツールで表示されるフィールドと同じです。
例:SRXシリーズデバイスでのエンドツーエンドデバッギングの設定
この例では、ハイエンドのSRXシリーズファイアウォールでパケットキャプチャ を構成し SRX5K-MPCを搭載したSRXシリーズのファイアウォールでエンドツーエンドのデバッグを有効にする方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
100ギガビットイーサネットCFPトランシーバーがインストールされたSRX5K-MPCを搭載したSRX5600デバイス
SRXシリーズファイアウォールのJunos OSリリース12.1X47-D15以降
開始する前に、以下を実行します。
SRXシリーズデバイスのデータパスデバッグについてを参照してください。
この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
データ・パス・デバッグは、パケット・プロセス・パスに沿った複数の処理装置でトレースとデバッグを提供することにより、トラブルシューティング機能を強化します。データ・パス・デバッグ機能を使用すると、処理パスに沿ったさまざまなデータ・ポイントでトレースおよびデバッグ(パケットのキャプチャー)を行うことができます。各イベントで、アクション(カウント、パケット ダンプ、パケット サマリー、トレース)を指定し、キャプチャするパケットを定義するフィルターを設定できます。
この例では、トラフィックフィルターを定義し、アクションプロファイルを適用します。アクション・プロファイルは、プロセス・ユニットに対するさまざまなアクションを指定します。イングレスとエグレスは、着信トラフィックと発信トラフィックのデータをキャプチャするための処理パス上の場所として指定されます。
次に、操作モードでデータ・パスのデバッグを有効にし、最後にデータ・キャプチャー・レポートを表示します。
データ・パスのデバッグは、 SRX5400、SRX5600、および SRX5800 でサポートされています。
設定
手順
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security datapath-debug traceoptions file e2e.trace size 10m set security datapath-debug capture-file e2e.pcap format pcap set security datapath-debug maximum-capture-size 1500 set security datapath-debug capture-file files 10 set security datapath-debug action-profile profile-1 preserve-trace-order set security datapath-debug action-profile profile-1 record-pic-history set security datapath-debug action-profile profile-1 event np-ingress trace set security datapath-debug action-profile profile-1 event np-ingress count set security datapath-debug action-profile profile-1 event np-ingress packet-summary set security datapath-debug action-profile profile-1 event np-egress trace set security datapath-debug action-profile profile-1 event np-egress count set security datapath-debug action-profile profile-1 event np-egress packet-summary
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、Junos OS CLIユーザーガイドの設定モードでCLIエディターを使用するを参照してください。
データ・パスのデバッグを構成するには:
パケット・プロセス・パスにある複数のプロセス・ユニットのセキュリティー・データパス・デバッグ・オプションを編集します。
[edit] user@host# edit security datapath-debug
キャプチャ・ファイル、ファイル形式、ファイルサイズ、およびファイル数を有効にします。
[edit security datapath-debug] user@host# set traceoptions file e2e.trace size 10m user@host# set capture-file e2e.pcap format pcap; user@host# set maximum-capture-size 1500 user@host# set capture-file files 10
アクションプロファイル、イベントタイプ、およびアクションプロファイルのアクションを設定します。
[edit security datapath-debug] user@host# set action-profile profile-1 preserve-trace-order user@host# set action-profile profile-1 record-pic-history user@host# set action-profile profile-1 event np-ingress trace user@host# set action-profile profile-1 event np-ingress count user@host# set action-profile profile-1 event np-ingress packet-summary user@host# set action-profile profile-1 event np-egress trace user@host# set action-profile profile-1 event np-egress count user@host# set action-profile profile-1 event np-egress packet-summary
結果
設定モードから、show security datapath-debugコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
traceoptions {
file e2e.trace size 10m;
}
capture-file e2e.pcap format pcap;
maximum-capture-size 1500;
capture-file files 10;
action-profile {
profile-1 {
preserve-trace-order;
record-pic-history;
event np-ingress {
trace;
packet-summary;
packet-dump;
}
event np-egress {
trace;
packet-summary;
packet-dump;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
例:Datapathデバッグ用にパケットキャプチャを設定する
この例では、デバイスを通過するトラフィックを監視するためにパケット・キャプチャを設定する方法を示しています。パケット・キャプチャは、パケットをPCAPファイル形式にダンプし、後にtcpdumpユーティリティで調べられるようにします。
要件
開始する前に、データパスのデバッグ(CLI手順)を参照してください。
概要
トラフィックをフィルタリングするためにフィルタが定義されます;それから、フィルタリングされたトラフィックにアクション・プロファイルを適用します。アクション・プロファイルは、プロセス・ユニットに対するさまざまなアクションを指定します。サポートされているアクションの1つはパケット・ダンプで、パケットをルーティング・エンジンに送り、というコマshow security datapath-debug captureンドを使って読み込めるように独自の形式で保存します。
設定
手順
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security datapath-debug capture-file my-capture set security datapath-debug capture-file format pcap set security datapath-debug capture-file size 1m set security datapath-debug capture-file files 5 set security datapath-debug maximum-capture-size 400 set security datapath-debug action-profile do-capture event np-ingress packet-dump set security datapath-debug packet-filter my-filter action-profile do-capture set security datapath-debug packet-filter my-filter source-prefix 1.2.3.4/32
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法については、Junos OS CLI ユーザーガイドのコンフィギュレーション・モードで CLI エディタを使用するを参照してください。
パケット・キャプチャを設定するには:
パケット・プロセス・パスにある複数のプロセス・ユニットの security datapath-debugオプションを編集してください:
[edit] user@host# edit security datapath-debug
キャプチャ・ファイル、ファイル形式、ファイルサイズ、およびファイル数を有効にします。サイズ番号は、キャプチャ・ファイルのサイズを制限します。制限サイズに達した後、ファイル番号が指定されている場合、キャプチャファイルはファイル名xへ循環されます。ここで、xは、指定されたインデックスに達するまで自動的にインクリメントされ、その後ゼロに戻ります。ファイル・インデックスを指定しない場合、パケットはサイズ制限に達した後、廃棄されます。デフォルトのサイズは 512 キロバイトです。
[edit security datapath-debug] user@host# set capture-file my-capture format pcap size 1m files 5 [edit security datapath-debug] user@host# set maximum-capture-size 400
アクション・プロファイルを有効にし、イベントを設定します。アクションプロファイルをdo-captureとし、イベントタイプをnp-ingressとして設定します:
[edit security datapath-debug] user@host# edit action-profile do-capture [edit security datapath-debug action-profile do-capture] user@host# edit event np-ingress
アクション・プロファイルのパケット・ダンプを有効にします:
[edit security datapath-debug action-profile do-capture event np-ingress] user@host# set packet-dump
パケット・フィルター、アクション、およびフィルター・オプションを有効にします。パケット・フィルタをmy-filter、アクション・プロファイルをdo-capture、およびフィルタ・オプションをsource-prefix 1.2.3.4/32に設定しています。
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter action-profile do-capture
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter source-prefix 1.2.3.4/32
結果
設定モードから、show security datapath-debugコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
security {
datapath-debug {
capture-file {
my-capture
format pcap
size 1m
files 5;
}
}
maximum-capture-size 100;
action-profile do-capture {
event np-ingress {
packet-dump
}
}
packet-filter my-filter {
source-prefix 1.2.3.4/32
action-profile do-capture
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
パケット・キャプチャの検証
目的
パケット・キャプチャが動作しているか否かを確認します。
アクション
オペレーション・モードから、パケット・キャプチャを開始するrequest security datapath-debug capture startというコマンドを入力し、パケット・キャプチャを停止するコマrequest security datapath-debug capture stopというンドを入力します。
結果を表示するには、CLI操作モードからローカルのUNIXシェルにアクセスし、/var/log/my-captureのディレクトリに移動します。その結果は、tcpdumpユーティリティを使用して読み取ることができます。
データ・パスのデバッグ・キャプチャーの検証
目的
データ・パス・デバッグ・キャプチャ・ファイルの詳細を確認します。
アクション
動作モードからshow security datapath-debug captureコマンドを入力します。
user@host>show security datapath-debug capture
トラブルシューティングが終了したら、すべての traceoptionsコンフィギュレーション(flow traceoptions に限らない)と完全な security datapath-debug コンフィギュレーション・スタンザが削除または無効化されていることを確認します。デバッグ・コンフィギュレーションが有効なままだと、デバイスのCPUやメモリ資源を使い続けることになります。
データ・パス・デバッグ・カウンタの検証
目的
データ・パス・デバッグ・カウンターの詳細を確認します。
アクション
動作モードからshow security datapath-debug counterコマンドを入力します。
データ・パス・デバッグの使用可能化
手順
ステップバイステップでの手順
データ パスのデバッグを設定した後、動作モードからデバイス上のプロセスを開始する必要があります。
データ・パスのデバッグを有効にします。
user@host> request security datapath-debug capture start
datapath-debug capture started on file datapcap
構成を検証してレポートを表示する前に、データ・パスのデバッグを無効にする必要があります。
user@host> request security datapath-debug capture stop
datapath-debug capture succesfully stopped, use show security datapath-debug capture to view
注:データのキャプチャが完了したら、デバッグ プロセスを停止する必要があります。デバッグプロセスを停止せずにキャプチャしたファイルを開こうとすると、取得したファイルをサードパーティ製ソフトウェア(tcpdumpやwiresharkなど)で開くことはできません。
検証
設定が正常に機能していることを確認します。
データ・パス・デバッグ・パケット・キャプチャの詳細の検証
目的
データ・パスのデバッグ・コンフィギュレーションを有効にして、キャプチャーしたデータを検証します。
アクション
動作モードからshow security datapath-debug captureコマンドを入力します。
Packet 8, len 152: (C2/F2/P0/SEQ:57935:np-ingress) 00 10 db ff 10 02 00 30 48 83 8d 4f 08 00 45 00 00 54 00 00 40 00 40 01 9f c7 c8 07 05 69 c8 08 05 69 08 00 91 1f 8f 03 2a a2 ae 66 85 53 8c 7d 02 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 Packet 9, len 152: (C2/F2/P0/SEQ:57935:np-egress) 00 30 48 8d 1a bf 00 10 db ff 10 03 08 00 45 00 00 54 00 00 40 00 3f 01 a0 c7 c8 07 05 69 c8 08 05 69 08 00 91 1f 8f 03 2a a2 ae 66 85 53 8c 7d 02 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37....
簡潔にするために、 show コマンドの出力は切り捨てられ、少数のサンプルのみが表示されます。追加のサンプルは省略記号 (...) に置き換えられています。
結果を表示するには、CLI操作モードからローカルのUNIXシェルにアクセスし、ディレクトリ /var/log/<file-name>に移動します。結果は、 tcpdump ユーティリティを使用して読み取ることができます。
user@host>start shell %tcpdump -nr/var/log/e2e.pcap
21:50:04.288767 C0/F3 event:1(np-ingress) SEQ:1 IP 192.168.14.2 > 192.168.13.2: ICMP echo request, id 57627, seq 0, length 64 21:50:04.292590 C0/F3 event:2(np-egress) SEQ:1 IP 192.168.14.2 > 192.168.13.2: ICMP echo request, id 57627, seq 0, length 64 1:50:04.295164 C0/F3 event:1(np-ingress) SEQ:2 IP 192.168.13.2 > 192.168.14.2: ICMP echo reply, id 57627, seq 0, length 64 21:50:04.295284 C0/F3 event:2(np-egress) SEQ:2 IP 192.168.13.2 > 192.168.14.2: ICMP echo reply, id 57627, seq 0, length 64
データパスデバッグのトラブルシューティングが終了したら、すべての traceoptions (フロートレースオプションに限定されません)と、手動で開始/停止する必要があるパケットキャプチャ(パケットダンプ)のデータパスデバッグ設定を含む、完全なデータパスデバッグ設定を削除します。デバッグ構成のいずれかの部分がアクティブなままである場合、デバイスのリソース (CPU/メモリ) が引き続き使用されます。