Voici une commande très utile pour réaliser le diagnostique d’un flux sur un pare-feu Juniper ISG. Cette commande permet de d’analyser un trafic particulier afin d’y étudier le comportement dans le cadre d’un problème rencontré en production par exemple. Pour l’exemple ces commande ont été appliquées sur un Juniper ISG 2000
Ci-dessous les étapes pour faire un debug flow sur le Juniper :
- Si nécessaire, cette commande permet d’activer le buffer dbuf (passage en buffer des flux) afin d’éviter d’envoyer les flux en transit vers la la console (ce qui peut avoir des effets néfaste sur les performances de l’équipement).
fw-> set console dbuf
2. Préparer un filtre sur le flux désiré.
fw-> set ffilter ?
dst-ip flow filter dst ip
dst-port flow filter dst port
ip-proto flow filter ip proto
src-ip flow filter src ip
src-port flow filter src port
3. Activation du debug flow. Le mode basic est un compromis entre un bon niveau de détail et une utilisation CPU faible. Le mode drop permet d'afficher le trafic écarté ou bien interdit (dropped packet or denied).
fw-> debug flow basic
fw-> debug flow drop
4. Désactivation du mode debug
fw-> undebug all
5. Consultation du buffer
fw-> get dbuf stream