- play_arrow 개요
- play_arrow 운영, 관리 및 관리 기능
- play_arrow 라우터에 대한 이더넷 OAM 및 연결 장애 관리
- play_arrow 라우터에 대한 링크 장애 관리
- play_arrow 스위치용 이더넷 OAM 링크 장애 관리
- play_arrow 스위치용 이더넷 OAM 연결 장애 관리
- play_arrow 이더넷 프레임 지연
- play_arrow 라우터용 이더넷 서비스 OAM(ITU-TY.1731)
-
- play_arrow SNMP을 사용한 네트워크 모니터링
- SNMP 아키텍처 및 SNMP 관리 정보 베이스(MIB) 개요
- Junos OS의 SNMP 임플러먼테이션 이해
- Junos OS에서 SNMP 구성
- SNMP 응답 시간 개선을 위한 관리 디바이스의 옵션 구성
- SNMP 커버리지 향상을 위한 엔터프라이즈별 유틸리티 관리 정보 베이스(MIB)
- 최상의 결과를 위한 네트워크 관리 시스템 구성의 최적화
- SNMP 요청을 수락하는 인터페이스
- 라우팅 인스턴스에 대한 SNMP 구성
- SNMP 원격 작업 구성
- SNMP 트랩
- Junos OS에서 지원하는 SNMP 트랩
- SNMP 활동 추적
- SNMP 그룹에 대한 액세스 권한
- SNMPv3에서 로컬 엔진 ID 구성
- SNMPv3 구성
- SNMPv3 인증 유형 및 암호화 유형 구성
- SNMPv3 트랩
- SNMPv3 알림
- SNMP 커뮤니티
- 관리 정보 베이스(MIB) 보기
- Junos OS 및 Junos OS Evolved가 지원하는 SNMP 관리 정보 베이스(MIB)
- Junos OS SNMP FAQ
- play_arrow SNMP 알람 및 이벤트를 통한 원격 네트워크 모니터링(RMON)
- play_arrow 계정 옵션
- play_arrow 모니터링 옵션
- play_arrow 인터페이스 경보
- play_arrow IP 모니터링
- play_arrow sFlow 모니터링 기술
- play_arrow 라우터 및 스위치에 대한 적응형 샘플링
- play_arrow Packet Flow Accelerator 진단 소프트웨어
-
- play_arrow 일반적인 보안 기능 모니터링
- play_arrow 성능 관리
- play_arrow 포트 미러링
- play_arrow 시스템 로그 메시지
- play_arrow 구성 명령문 및 작동 명령
데이터 경로 디버깅 및 추적 옵션 구성
SRX 시리즈 디바이스에 대한 데이터 경로 디버깅 이해
데이터 경로 디버깅 또는 종단 간 디버깅은 패킷 처리 경로를 따라 여러 처리 장치에서 추적 및 디버깅을 지원합니다. 패킷 필터는 프로덕션 시스템에 미치는 영향을 최소화하면서 실행할 수 있습니다.
SRX 시리즈 방화벽에서 패킷은 수신 및 송신 처리에 이르기까지 다양한 구성 요소와 관련된 일련의 이벤트를 거칩니다.
데이터 경로 디버깅 기능을 사용하면 처리 경로를 따라 서로 다른 데이터 지점에서 추적 및 디버깅(패킷 캡처)을 수행할 수 있습니다. 패킷 처리 경로에서 사용할 수 있는 이벤트는 다음과 같습니다. NP 수신, LBT(로드 밸런싱 스레드), jexec, POT(패킷 순서 스레드) 및 NP 송신. 특정 모듈에 대한 보안 플로우 추적 플래그가 설정된 경우 플로우 모듈 추적을 활성화할 수도 있습니다.
각 이벤트에서 네 가지 작업(개수, 패킷 덤프, 패킷 요약 및 추적) 중 하나를 지정할 수 있습니다. 데이터 경로 디버깅은 캡처할 패킷을 정의하는 필터를 제공하며, 일치하는 패킷만 추적됩니다. 패킷 필터는 논리적 인터페이스, 프로토콜, 원본 IP 주소 접두사, 원본 포트, 대상 IP 주소 접두사 및 대상 포트를 기반으로 패킷을 필터링할 수 있습니다.
데이터 경로 디버깅은 SRX4600, SRX5400, SRX5600 및 SRX5800에서 지원됩니다.
종단 간 디버깅을 사용하려면 다음 단계를 수행해야 합니다.
캡처 파일을 정의하고 최대 캡처 크기를 지정합니다.
요구 사항에 따라 특정 유형의 트래픽만 추적하도록 패킷 필터를 정의합니다.
패킷을 캡처할 처리 경로의 위치를 지정하는 작업 프로필을 정의합니다(예: LBT 또는 NP 수신).
데이터 경로 디버깅을 사용하도록 설정합니다.
트래픽을 캡처합니다.
데이터 경로 디버깅을 사용하지 않도록 설정합니다.
보고서를 보거나 분석합니다.
포트 및 인터페이스 옵션에 대한 패킷 필터링 동작은 다음과 같습니다.
패킷 필터는 만 port 지정된 경우 IPv4 및 IPv6 트래픽을 모두 추적합니다.
패킷 필터는 지정된 경우 interface IPv4, IPV6 및 비 IP 트래픽을 추적합니다.
추적 옵션을 사용한 보안 디버깅 이해
Junos OS 추적 기능을 사용하면 애플리케이션이 보안 디버깅 정보를 파일에 쓸 수 있습니다. 이 파일에 나타나는 정보는 사용자가 설정한 기준을 기반으로 합니다. 이 정보를 사용하여 보안 애플리케이션 문제를 분석할 수 있습니다.
추적 함수는 분산 방식으로 작동하며 각 스레드는 자체 추적 버퍼에 씁니다. 그런 다음 이러한 추적 버퍼는 한 지점에서 수집되고 정렬된 후 추적 파일에 기록됩니다. 추적 메시지는 IPC(InterProcess Communications) 프로토콜을 사용하여 전달됩니다. 추적 메시지는 BGP, OSPF 및 IKE와 같은 제어 프로토콜 패킷의 우선 순위보다 낮기 때문에 전달이 신뢰할 수 있는 것으로 간주되지 않습니다.
추적 옵션을 사용한 플로우 디버깅 이해
플로우 추적 옵션의 경우, , , destination-prefixprotocolinterfacesource-port, , 및 의 destination-port조합을 사용하여 패킷 필터를 정의할 수 있습니다.source-prefix 특정 모듈에 대한 보안 플로우 추적 플래그가 설정된 경우, 특정 패킷 필터와 일치하는 패킷이 플로우 추적을 트리거하고 추적 파일에 디버깅 정보를 씁니다.
플로우 디버깅 추적 옵션 설정(CLI 절차)
다음 예제에서는 를 사용하여 security flow traceoptions설정할 수 있는 옵션을 표시합니다.
filter1 패킷 필터의 imap 대상 포트를 일치시키려면 다음 문을 사용합니다.
content_copy zoom_out_map[edit] user@host# set security flow traceoptions packet-filter filter1 destination-port imap
filter1 패킷 필터에 대한 1.2.3.4 대상 IPv4 접두사 주소를 설정하려면 다음 문을 사용합니다.
content_copy zoom_out_map[edit] user@host# set security flow traceoptions packet-filter filter1 destination-prefix 1.2.3.4
filter1 패킷 필터에 대해 fxp0 논리적 인터페이스를 설정하려면 다음 문을 사용합니다.
content_copy zoom_out_map[edit] user@host# set security flow traceoptions packet-filter filter1 interface fxp0
filter1 패킷 필터에 대한 TCP IP 프로토콜을 일치시키려면 다음 문을 사용합니다.
content_copy zoom_out_map[edit] user@host# set security flow traceoptions packet-filter filter1 protocol tcp
filter1 패킷 필터의 HTTP 소스 포트를 일치시키려면 다음 문을 사용합니다.
content_copy zoom_out_map[edit] user@host# set security flow traceoptions packet-filter filter1 source-port http
filter1 패킷 필터에 대해 5.6.7.8 IPv4 접두사 주소를 설정하려면 다음 문을 사용합니다.
content_copy zoom_out_map[edit] user@host# set security flow traceoptions packet-filter filter1 source-prefix 5.6.7.8
보안 추적 옵션 설정(CLI 절차)
다음 구성 문을 사용하여 CLI 구성 편집기에서 보안 추적 옵션을 구성할 수 있습니다.
원격 추적을 비활성화하려면 다음 문을 입력합니다.
content_copy zoom_out_map[edit] user@host# set security traceoptions no-remote-trace
추적 메시지를 로컬 파일에 쓰려면 다음 문을 입력합니다. 시스템은 추적 파일을 /var/log/ 디렉터리에 저장합니다.
content_copy zoom_out_map[edit] user@host# set security traceoptions use-local-files
추적 파일의 이름을 지정하려면 다음 문을 입력합니다. 유효한 값의 범위는 1자에서 1024자 사이입니다. 이름에는 공백, / 또는 % 문자가 포함될 수 없습니다. 기본 파일 이름은 security입니다.
content_copy zoom_out_map[edit] user@host# set security traceoptions file filename
누적할 수 있는 최대 추적 파일 수를 지정하려면 다음 문을 입력합니다. 유효한 값의 범위는 2에서 1000 사이입니다. 기본값은 3입니다.
content_copy zoom_out_map[edit] user@host# set security traceoptions file files 3
파일에 정보를 로깅할 때 시스템에서 사용할 일치 기준을 지정하려면 다음 명령문을 입력합니다. 정규 표현식을 입력합니다. 와일드카드(*) 문자를 사용할 수 있습니다.
content_copy zoom_out_map[edit] user@host# set security traceoptions file match *thread
모든 사용자가 추적 파일을 읽을 수 있도록 하려면 문을 입력합니다
world-readable. 그렇지 않으면 문을 입력합니다no-world-readable.content_copy zoom_out_map[edit] user@host# set security traceoptions file world-readable user@host# set security traceoptions file no-world-readable
추적 파일이 증가할 수 있는 최대 크기를 지정하려면 다음 문을 입력합니다. 파일이 지정된 크기에 도달하면 압축되어 0.gz로 이름이 filename바뀌고 다음 파일의 이름이 filename1.gz 지정됩니다. 유효한 값의 범위는 10240에서 1,073,741,824 사이입니다.
content_copy zoom_out_map[edit] user@host# set security traceoptions file size 10240
추적 옵션을 설정하고 둘 이상의 추적 작업을 수행하려면 다음 플래그를 설정합니다.
content_copy zoom_out_map[edit] user@host# set security traceoptions flag all user@host# set security traceoptions flag compilation user@host# set security traceoptions flag configuration user@host# set security traceoptions flag routing-socket
이러한 추적 옵션 설정이 적용되거나 적용되지 않는 그룹을 지정하려면 다음 문을 입력합니다.
content_copy zoom_out_map[edit] user@host# set security traceoptions apply-groups value user@host# set security traceoptions apply-groups-except value
로그 및 추적 파일 표시
monitor start 명령을 입력하여 시스템 로그 및 추적 파일에 대한 실시간 추가 사항을 표시합니다.
user@host> monitor start filename
장치가 에 의해 지정된 filename파일에 레코드를 추가하면 레코드가 화면에 표시됩니다. 예를 들어, [edit system] 계층 수준의 문을 포함하여 syslog 라는 system-log 시스템 로그 파일을 구성한 경우 명령을 입력하여 monitor start system-log 시스템 로그에 추가된 레코드를 표시할 수 있습니다.
모니터링 중인 파일 목록을 표시하려면 명령을 입력하십시오 monitor list . 지정된 파일에 대한 레코드 표시를 중지하려면 명령을 입력합니다 monitor stop filename .
보안 추적 옵션에 대한 출력 표시
목적
보안 추적 옵션에 대한 출력을 표시합니다.
작업
show security traceoptions 명령을 사용하여 추적 파일의 출력을 표시합니다. 예:
[edit] user@host # show security traceoptions file usp_trace user@host # show security traceoptions flag all user@host # show security traceoptions rate-limit 888
이 예제의 출력은 다음과 같습니다.
Apr 11 16:06:42 21:13:15.750395:CID-906489336:FPC-01:PIC-01:THREAD_ID-01:PFE:now update 0x3607edf8df8in 0x3607e8d0 Apr 11 16:06:42 21:13:15.874058:CID-1529687608:FPC-01:PIC-01:THREAD_ID-01:CTRL:Enter Function[util_ssam_handler] Apr 11 16:06:42 21:13:15.874485:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default1: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874538:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default1: Destination ID set to 1 Apr 11 16:06:42 21:13:15.874651:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default2: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874832:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default2: Destination ID set to 1 Apr 11 16:06:42 21:13:15.874942:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default3: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874997:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default3: Destination ID set to 1
멀티캐스트 추적 작업 표시
멀티캐스트 추적 작업을 모니터링하고 표시하려면 다음 명령을 입력합니다.mtrace monitor
user@host> mtrace monitor
Mtrace query at Apr 21 16:00:54 by 192.1.30.2, resp to 224.0.1.32, qid 2a83aa packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:00:57 by 192.1.30.2, resp to 224.0.1.32, qid 25dc17 packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:01:00 by 192.1.30.2, resp to same, qid 20e046 packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:01:10 by 192.1.30.2, resp to same, qid 1d25ad packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60)
이 예에서는 쿼리만 mtrace 표시합니다. 그러나 디바이스가 응답을 캡처 mtrace 할 때 디스플레이는 비슷하지만 완전한 mtrace 응답도 나타납니다(명령 출력에 표시된 것과 정확히 일치).mtrace from-source
표 1 는 디스플레이의 출력 필드를 요약합니다.
필드 | 설명 |
|---|---|
|
|
| 쿼리를 실행하는 호스트의 IP 주소입니다. |
|
|
|
|
|
|
|
|
|
|
|
|
장치 목록 표시하기
디바이스와 지정된 대상 호스트 간의 디바이스 목록을 표시하려면 다음 구문을 사용하여 명령을 입력합니다 traceroute .
user@host> traceroute host <interface interface-name> <as-number-lookup> <bypass-routing> <gateway address> <inet | inet6> <no-resolve> <routing-instance routing-instance-name> <source source-address> <tos number> <ttl number> <wait seconds>
표 2에는 traceroute 명령 옵션에 대한 설명이 나와 있습니다.
옵션 | 설명 |
|---|---|
| 지정한 호스트 이름 또는 IP 주소로 경로 추적 패킷을 보냅니다. |
| (선택 사항) 지정한 인터페이스에서 트레이스라우트 패킷을 전송합니다. 이 옵션을 포함하지 않으면 모든 인터페이스에서 traceroute 패킷이 전송됩니다. |
| (선택 사항) 디바이스와 대상 호스트 간 각 중간 홉의 AS(Autonomous System) 번호를 표시합니다. |
| (선택 사항) 라우팅 테이블을 우회하고 직접 연결된 인터페이스의 호스트에만 traceroute 패킷을 보냅니다. 호스트가 직접 연결된 인터페이스에 없는 경우 오류 메시지가 반환됩니다. 이 옵션을 사용하면 경로가 없는 인터페이스를 통해 로컬 시스템에 대한 경로를 표시할 수 있습니다. |
| (선택 사항) 라우팅할 지정한 게이트웨이를 사용합니다. |
| (선택 사항) 트레이스라우트 패킷을 IPv4 대상으로 강제 적용합니다. |
| (선택 사항) 트레이스라우트 패킷을 IPv6 대상으로 강제 적용합니다. |
| (선택 사항) 경로를 따라 홉의 호스트 이름이 표시되지 않도록 합니다. |
| (선택 사항) traceroute에 대해 지정한 라우팅 인스턴스를 사용합니다. |
| (선택 사항) traceroute 패킷에서 지정한 소스 주소를 사용합니다. |
| (선택 사항) 경로 추적 패킷의 IP 헤더에서 서비스 유형(TOS) 값을 설정합니다. |
| (선택 사항) 트레이스라우트 패킷의 TTL(Time-to-Live) 값을 설정합니다. 에서 까지 |
| (선택 사항) 응답을 기다리는 최대 시간을 설정합니다. |
명령을 종료 traceroute 하려면 Ctrl-C를 누릅니다.
다음은 명령의 샘플 출력입니다 traceroute .
user@host> traceroute host2
traceroute to 173.24.232.66 (172.24.230.41), 30 hops max, 40 byte packets 1 173.18.42.253 (173.18.42.253) 0.482 ms 0.346 ms 0.318 ms 2 host4.site1.net (173.18.253.5) 0.401 ms 0.435 ms 0.359 ms 3 host5.site1.net (173.18.253.5) 0.401 ms 0.360 ms 0.357 ms 4 173.24.232.65 (173.24.232.65) 0.420 ms 0.456 ms 0.378 ms 5 173.24.232.66 (173.24.232.66) 0.830 ms 0.779 ms 0.834 ms
디스플레이의 필드는 J-Web traceroute 진단 도구에 의해 표시되는 필드와 동일합니다.
예: SRX 시리즈 디바이스에서 엔드투엔드 디버깅 구성
이 예에서는 하이엔드 SRX 시리즈 방화벽에서 패킷 캡처를 구성하고 SRX5K-MPC를 사용하는 SRX 시리즈 방화벽에서 엔드 투 엔드 디버깅을 활성화하는 방법을 보여줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
100기가비트 이더넷 CFP 트랜시버와 함께 SRX5K-MPC가 설치된 SRX5600 디바이스
SRX 시리즈 방화벽용 Junos OS 릴리스 12.1X47-D15 이상
시작하기 전에:
이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.
개요
데이터 경로 디버깅은 패킷 처리 경로를 따라 여러 처리 장치에서 추적 및 디버깅을 제공하여 문제 해결 기능을 향상시킵니다. 데이터 경로 디버깅 기능을 사용하면 처리 경로를 따라 서로 다른 데이터 지점에서 추적 및 디버깅(패킷 캡처)을 수행할 수 있습니다. 각 이벤트에서 작업(개수, 패킷 덤프, 패킷 요약 및 추적)을 지정하고 필터를 설정하여 캡처할 패킷을 정의할 수 있습니다.
이 예제에서는 트래픽 필터를 정의한 다음 작업 프로필을 적용합니다. 작업 프로필은 처리 장치에 대한 다양한 작업을 지정합니다. 수신 및 송신은 들어오고 나가는 트래픽에 대한 데이터를 캡처하기 위해 처리 경로의 위치로 지정됩니다.
다음에는 운영 모드에서 데이터 경로 디버깅을 사용하도록 설정하고 마지막으로 데이터 캡처 보고서를 봅니다.
데이터 경로 디버깅은 SRX5400, SRX5600 및 SRX5800에서 지원됩니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.
set security datapath-debug traceoptions file e2e.trace size 10m set security datapath-debug capture-file e2e.pcap format pcap set security datapath-debug maximum-capture-size 1500 set security datapath-debug capture-file files 10 set security datapath-debug action-profile profile-1 preserve-trace-order set security datapath-debug action-profile profile-1 record-pic-history set security datapath-debug action-profile profile-1 event np-ingress trace set security datapath-debug action-profile profile-1 event np-ingress count set security datapath-debug action-profile profile-1 event np-ingress packet-summary set security datapath-debug action-profile profile-1 event np-egress trace set security datapath-debug action-profile profile-1 event np-egress count set security datapath-debug action-profile profile-1 event np-egress packet-summary
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
데이터 경로 디버깅을 구성하려면 다음을 수행합니다.
패킷 처리 경로를 따라 여러 처리 장치에 대한 security datapath 디버깅 옵션을 편집합니다.
content_copy zoom_out_map[edit] user@host# edit security datapath-debug
캡처 파일, 파일 형식, 파일 크기 및 파일 수를 활성화합니다.
content_copy zoom_out_map[edit security datapath-debug] user@host# set traceoptions file e2e.trace size 10m user@host# set capture-file e2e.pcap format pcap; user@host# set maximum-capture-size 1500 user@host# set capture-file files 10
작업 프로필, 이벤트 유형 및 작업 프로필에 대한 작업을 구성합니다.
content_copy zoom_out_map[edit security datapath-debug] user@host# set action-profile profile-1 preserve-trace-order user@host# set action-profile profile-1 record-pic-history user@host# set action-profile profile-1 event np-ingress trace user@host# set action-profile profile-1 event np-ingress count user@host# set action-profile profile-1 event np-ingress packet-summary user@host# set action-profile profile-1 event np-egress trace user@host# set action-profile profile-1 event np-egress count user@host# set action-profile profile-1 event np-egress packet-summary
결과
구성 모드에서 show security datapath-debug 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
traceoptions {
file e2e.trace size 10m;
}
capture-file e2e.pcap format pcap;
maximum-capture-size 1500;
capture-file files 10;
action-profile {
profile-1 {
preserve-trace-order;
record-pic-history;
event np-ingress {
trace;
packet-summary;
packet-dump;
}
event np-egress {
trace;
packet-summary;
packet-dump;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.
예: 데이터 경로 디버깅을 위한 패킷 캡처 구성
이 예는 디바이스를 통과하는 트래픽을 모니터링하도록 패킷 캡처를 구성하는 방법을 보여줍니다. 그런 다음 패킷 캡처는 나중에 tcpdump 유틸리티로 검사할 수 있는 PCAP 파일 형식으로 패킷을 덤프합니다.
요구 사항
시작하려면 데이터 경로 디버깅(CLI 절차)을 참조하십시오.
개요
필터는 트래픽을 필터링하도록 정의되며, 정의된 후에 작업 프로필이 필터링된 트래픽에 적용됩니다. 작업 프로필은 처리 장치에 대한 다양한 작업을 지정합니다. 지원되는 작업 중 하나는 패킷을 라우팅 엔진으로 전송하고 show security datapath-debug capture 명령을 사용하여 읽을 수 있는 전용 형식으로 저장하는 패킷 덤프입니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.
set security datapath-debug capture-file my-capture set security datapath-debug capture-file format pcap set security datapath-debug capture-file size 1m set security datapath-debug capture-file files 5 set security datapath-debug maximum-capture-size 400 set security datapath-debug action-profile do-capture event np-ingress packet-dump set security datapath-debug packet-filter my-filter action-profile do-capture set security datapath-debug packet-filter my-filter source-prefix 1.2.3.4/32
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
패킷 캡처 구성 방법:
packet-processing 경로를 따라 여러 처리 장치에 대한 security datapath-debug 옵션을 편집합니다.
content_copy zoom_out_map[edit] user@host# edit security datapath-debug
캡처 파일, 파일 형식, 파일 크기, 파일 수를 활성화합니다. 크기 번호는 캡처 파일의 크기를 제한합니다. 제한 크기에 도달한 후 파일 번호가 지정되면, 캡처 파일이 파일명 x으로 바뀝니다. 여기서 x는 지정된 인덱스에 도달할 때까지 자동 증분된 다음 0을 반환합니다. 지정된 파일 인덱스가 없으면, 크기 제한에 도달한 후 패킷이 삭제됩니다. 기본 크기는 512킬로바이트입니다.
content_copy zoom_out_map[edit security datapath-debug] user@host# set capture-file my-capture format pcap size 1m files 5 [edit security datapath-debug] user@host# set maximum-capture-size 400
작업 프로필을 활성화하고 이벤트를 설정합니다. 작업 프로필을 do-capture로 설정하고, 이벤트 유형을 np-ingress로 설정합니다.
content_copy zoom_out_map[edit security datapath-debug] user@host# edit action-profile do-capture [edit security datapath-debug action-profile do-capture] user@host# edit event np-ingress
작업 프로필에 대한 패킷 덤프를 활성화합니다.
content_copy zoom_out_map[edit security datapath-debug action-profile do-capture event np-ingress] user@host# set packet-dump
패킷 필터, 작업, 필터 옵션을 활성화합니다. 패킷 필터는 my-filter, 작업 프로필은 do-capture, 필터 옵션은 source-prefix 1.2.3.4/32로 설정합니다.
content_copy zoom_out_map[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter action-profile do-capture
content_copy zoom_out_map[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter source-prefix 1.2.3.4/32
결과
구성 모드에서 show security datapath-debug 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
security {
datapath-debug {
capture-file {
my-capture
format pcap
size 1m
files 5;
}
}
maximum-capture-size 100;
action-profile do-capture {
event np-ingress {
packet-dump
}
}
packet-filter my-filter {
source-prefix 1.2.3.4/32
action-profile do-capture
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.
검증
구성이 올바르게 작동하고 있는지 확인합니다.
패킷 캡처 확인하기
목적
패킷 캡처가 작동하고 있는지 확인합니다.
작업
운영 모드에서 request security datapath-debug capture start 명령을 입력하여 패킷 캡처를 시작하고, request security datapath-debug capture stop 명령을 입력하여 패킷 캡처를 중지시킵니다.
결과를 보려면, CLI 운영 모드에서 로컬 UNIX 셸에 액세스하고 /var/log/my-capture 디렉터리로 이동합니다. 결과는 tcpdump 유틸리티를 사용하여 읽을 수 있습니다.
데이터 경로 디버깅 경로 확인하기
목적
데이터 경로 디버깅 캡처 파일의 세부 사항을 확인합니다.
작업
운영 모드에서 show security datapath-debug capture 명령을 입력합니다.
user@host>show security datapath-debug capture
문제를 해결하면 (flow traceoptions에 국한되지 않는) 모든 traceoptions 구성과 전체 보안 datapath-debug 구성 stanza를 제거하거나 비활성화해야 합니다. 디버깅 구성이 활성화 상태로 유지되면 디바이스의 CPU 및 메모리 리소스를 계속 사용할 수 있습니다.
데이터 경로 디버깅 사용
절차
단계별 절차
데이터 경로 디버깅을 구성한 후에는 운영 모드에서 디바이스의 프로세스를 시작해야 합니다.
데이터 경로 디버깅을 사용하도록 설정합니다.
content_copy zoom_out_mapuser@host> request security datapath-debug capture start
content_copy zoom_out_mapdatapath-debug capture started on file datapcap
구성을 확인하고 보고서를 보기 전에 데이터 경로 디버깅을 비활성화해야 합니다.
content_copy zoom_out_mapuser@host> request security datapath-debug capture stop
content_copy zoom_out_mapdatapath-debug capture succesfully stopped, use show security datapath-debug capture to view
주:데이터 캡처를 완료한 후 디버그 프로세스를 중지해야 합니다. 디버그 프로세스를 중지하지 않고 캡처된 파일을 열려고 하면 타사 소프트웨어(예: tcpdump 및 wireshark)를 통해 가져온 파일을 열 수 없습니다.
검증
구성이 올바르게 작동하고 있는지 확인합니다.
데이터 경로 디버그 패킷 캡처 세부 정보 확인
목적
데이터 경로 디버깅 구성을 활성화하여 캡처된 데이터를 확인합니다.
작업
운영 모드에서 show security datapath-debug capture 명령을 입력합니다.
Packet 8, len 152: (C2/F2/P0/SEQ:57935:np-ingress) 00 10 db ff 10 02 00 30 48 83 8d 4f 08 00 45 00 00 54 00 00 40 00 40 01 9f c7 c8 07 05 69 c8 08 05 69 08 00 91 1f 8f 03 2a a2 ae 66 85 53 8c 7d 02 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 Packet 9, len 152: (C2/F2/P0/SEQ:57935:np-egress) 00 30 48 8d 1a bf 00 10 db ff 10 03 08 00 45 00 00 54 00 00 40 00 3f 01 a0 c7 c8 07 05 69 c8 08 05 69 08 00 91 1f 8f 03 2a a2 ae 66 85 53 8c 7d 02 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37....
간결성을 show 위해 명령 출력은 몇 가지 샘플만 표시하도록 잘립니다. 추가 샘플은 타원으로 대체되었습니다 (...).
결과를 보려면 CLI 운영 모드에서 로컬 UNIX 셸에 액세스하고 디렉터리 /var/log/<file-name>로 이동합니다. 유틸리티는 사용하여 결과를 읽을 수 있습니다 tcpdump .
user@host>start shell %tcpdump -nr/var/log/e2e.pcap
21:50:04.288767 C0/F3 event:1(np-ingress) SEQ:1 IP 192.168.14.2 > 192.168.13.2: ICMP echo request, id 57627, seq 0, length 64 21:50:04.292590 C0/F3 event:2(np-egress) SEQ:1 IP 192.168.14.2 > 192.168.13.2: ICMP echo request, id 57627, seq 0, length 64 1:50:04.295164 C0/F3 event:1(np-ingress) SEQ:2 IP 192.168.13.2 > 192.168.14.2: ICMP echo reply, id 57627, seq 0, length 64 21:50:04.295284 C0/F3 event:2(np-egress) SEQ:2 IP 192.168.13.2 > 192.168.14.2: ICMP echo reply, id 57627, seq 0, length 64
데이터 경로 디버깅 문제 해결을 마쳤으면 수동으로 시작/중지해야 하는 패킷 캡처(packet-dump)를 위한 데이터 경로 디버그 구성을 포함하여 모두 traceoptions (플로우 추적 옵션에 국한되지 않음) 및 전체 데이터 경로 디버그 구성을 제거합니다. 디버깅 구성의 일부가 활성 상태로 유지되면 디바이스의 리소스(CPU/메모리)를 계속 사용합니다.
