如何在JUNOS SRX防火墙上抓包？

爱卫生

本贴说明如何在JUNOS SRX防火墙上开启PCAP格式的报文捕捉。步骤如下：

1 进入到forwarding-options然后开始抓包:

[edit]user@host# edit forwarding-options packet-capture

[edit forwarding-options packet-capture]

2 指定一个抓包文件的文件名并且设置最大捕捉大小为1500字节：

[edit forwarding-options packet-capture]

user@host# set file filename testpacketcapture

[edit forwarding-options packet-capture]

user@host# set maximum-capture-size 1500

[edit forwarding-options packet-capture]

user@host# show

file filename testpacketcapture;

maximum-capture-size 1500;

3 决定你需要从哪个接口开始抓包，必须要是一个以太网口。可以通过show interface terse命令查看。本例中，假设我们是在ge-0/0/0口进行抓包：

4 使用top命令回到根目录。并进入到interface的unit下：

[edit forwarding-options packet-capture]

user@host# top

[edit]

user@host# edit interfaces ge-0/0/0 unit 0 family inet

[edit interfaces ge-0/0/0 unit 0 family inet]

user@host#

5 选择抓包的方向，本例中假设in和out都抓：

[edit interfaces ge-0/0/0 unit 0 family inet]

user@host# set sampling input output

[edit interfaces ge-0/0/0 unit 0 family inet]

user@host# show

sampling {
    input;
    output;

}

6 提交配置：

7 检查抓包文件。抓包文件的位置以及可以通过命令查看：

user@host> file list /var/tmp/ | match testpacketcapture*   

testpacketcapture.ge-0.0.0

8 将该文件通过ftp等方式从/var/tmp目录下上传到自己的桌面用wireshark等工具查看。

hrbqby

请教以上方法在JUNIPER 的MX系列JUNOS的交换机里是否受用?

hrbqby

还有打开以上配置是否对设备有性能上的影响. 是不是抓完包后,就需要在FORWARDING OPTION下关闭掉 ?

yonka

M系列呢？
比如作为E GGSN平台的M20、M120和M320等。

hycl5410

yonka 发表于 2012-9-13 05:25
M系列呢？
比如作为E GGSN平台的M20、M120和M320等。

MPG可以抓包但是仅限测试局点，现网是不能这么抓的。
方法是登陆到相应的U-PIC或者C-PIC上进行tcpdump（写好过滤条件）

hycl5410

应该不行，没听说过这种方式。