Juniper – Utilisation du mode debug flow sur Juniper ISG

Voici une commande très utile pour réaliser le diagnostique d’un flux sur un pare-feu Juniper ISG. Cette commande permet de d’analyser un trafic particulier afin d’y étudier le comportement dans le cadre d’un problème rencontré en production par exemple. Pour l’exemple ces commande ont été appliquées sur un Juniper ISG 2000

Ci-dessous les étapes pour faire un debug flow sur le Juniper :

 

  1. Si nécessaire, cette commande permet d’activer le buffer dbuf (passage en buffer des flux) afin d’éviter d’envoyer les flux en transit vers la la console (ce qui peut avoir des effets néfaste sur les performances de l’équipement).

fw-> set console dbuf

 

2.     Préparer un filtre sur le flux désiré.

fw-> set ffilter ?

dst-ip               flow filter dst ip
dst-port             flow filter dst port
ip-proto             flow filter ip proto
src-ip               flow filter src ip
src-port             flow filter src port

 

3.     Activation du debug flow. Le mode basic est un compromis entre un bon niveau de détail et une utilisation CPU faible. Le mode drop permet d'afficher le trafic écarté ou bien interdit (dropped packet or denied).

fw-> debug flow basic 

fw-> debug flow drop


4.     Désactivation du mode debug

fw-> undebug all

 

5.     Consultation du buffer

fw-> get dbuf stream

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *