松柏SRX嗅探

Question

我有一个Juniper SRX 340集群(15.1X49-D70.3)，我必须在该集群上进行一些调试。我知道如何在接口上采样数据包，我的问题是:是否可以同时在WAN和LAN接口上采样通信量(并将其保存到单独的文件中)？

我的目标是跟踪TCP会话何时进入防火墙和何时退出防火墙。

Answer 1

当您在SRX上进行数据包捕获时，您可以指定要保存PCAPs的文件名，然后SRX会追加它捕获它们的接口的名称。

[edit forwarding-options packet-capture]
 user@host# set file filename testpacketcapture

看这里- https://kb.juniper.net/InfoCenter/index?page=content&id=KB11709

捕获的文件位于/var/tmp目录中，并以PCAP格式格式化。可以使用“文件列表”命令找到该文件。

user@host> file list /var/tmp/ | match testpacketcapture*  
testpacketcapture1.ge-0.0

在上面的例子中，他们使用了ge-0/0/0接口。

它也适用于reth接口，但据我所知，它将用物理接口标记它们。

您可以在多个接口上运行数据包捕获。您只需要用防火墙过滤器标记每个接口(如果您的过滤器被称为PCAP )，就可以了。

user@host# set interfaces ge-0/0/0 unit 0 family inet filter output PCAP
user@host# set interfaces ge-0/0/0 unit 0 family inet filter input PCAP

并确保您的防火墙过滤器有正确的条款，以捕获所需的流量。