12 февраля 2016

Дамп трафика на Juniper SRX

juniper tcpdump
В high-end серию файерволы Juniper встроено удобное средство захвата проходящего трафика. Дамп можно сохранить в обычном для снифферов формате (PCAP).










Предварительные настройки и критерии захвата. Дамп будет сохранен в файл PACKETDUMP:
conf
set security datapath-debug capture-file PACKETDUMP format pcap size 1m files 5
set security datapath-debug maximum-capture-size 1500
set security datapath-debug action-profile do-capture event np-egress packet-dump
set security datapath-debug action-profile do-capture event np-ingress packet-dump
set security datapath-debug packet-filter my-filter action-profile do-capture
set security datapath-debug packet-filter my-filter source-prefix 1.2.3.4/32
commit and-quit

Запуск и остановка дампа:
request security datapath-debug capture start
request security datapath-debug capture stop

Дамп можно посмотреть из CLI:
show security datapath-debug capture

Или можно выгрузить для дальнейшего анализа в Wireshark.