1. Juniper Packet Capture(pcap)
- Packet Capture(.pcap) 파일을 저장하여 Wireshark와 같은 프로그램으로 패킷 분석 가능
- 인터넷에서 'firewall filter'로 Packet Capture를 할 수 있다고 하지만 이는 MX, QFX, EX 시리즈에서는 불가능하고 SRX에서만 가능한 것으로 파악
- Packet Capture가 안 되거나 단방향만 Capture가 될 경우
- Logical Interface[xe-0/0/0.0]로 시도하는 것을 권고
- irb 및 ae 설정을 했을 시, 해당 인터페이스로 시도하는 것을 권고
- irb와 ae가 동시에 설정되었을 경우, irb 인터페이스로 시도하는 것을 권고
1) Packet Capture Method - Case 1(Monitor Traffic)
USER@QFX5120-48T_01> monitor traffic interface xe-0/0/0 write-file /var/tmp/CAPTURE_MONITOR-TRAFFIC.pcap size 9000
Address resolution is ON. Use <no-resolve> to avoid any reverse lookup delay.
Address resolution timeout is 4s.
Listening on xe-0/0/0, capture size 9000 bytes
7 packets received by filter
0 packets dropped by kernel- xe-0/0/0에서 최대 9000 byte의 패킷을 캡처하고 '/var/tmp/' 디렉터리에 'CAPTURE_MONITOR-TRAFFIC.pcap'로 저장
USER@QFX5120-48T_02> ping 1.1.1.1 count 3
PING 1.1.1.1 (1.1.1.1): 56 data bytes
64 bytes from 1.1.1.1: icmp_seq=0 ttl=64 time=10.393 ms
64 bytes from 1.1.1.1: icmp_seq=1 ttl=64 time=11.975 ms
64 bytes from 1.1.1.1: icmp_seq=2 ttl=64 time=12.308 ms
--- 1.1.1.1 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max/stddev = 10.393/11.559/12.308/0.835 ms- R2 Lo0 → R1 Lo0으로 ICMP Request 전송
USER@QFX5120-48T_01> file list /var/tmp/CAPTURE_MONITOR-TRAFFIC.pcap detail
-rw-r--r-- 1 USER wheel 932 Nov 15 14:35 /var/tmp/CAPTURE_MONITOR-TRAFFIC.pcap
total files: 1- Packet Capture를 저장한 파일의 크기가 증가한 것을 확인
USER@QFX5120-48T_01> file copy /var/tmp/CAPTURE_MONITOR-TRAFFIC.pcap ftp://USER@192.168.50.254/CAPTURE_MONITOR-TRAFFIC.pcap
Password for icraft@192.168.50.254:
ftp://icraft@192.168.50.254/CAPTURE_MONITOR-TR100% of 932 B 5613 kBps- R1에서 FTP를 이용하여 PC와 연결되어 있는 다른 장비로 Packet Capture(pcap) 파일을 전송
USER@FTP> file list /var/home/USER/ detail
/var/home/USER/:
total blocks: 308
~~~ 생략 ~~~
-rw-r--r-- 1 USER 20 932 Nov 15 23:39 CAPTURE_MONITOR-TRAFFIC.pcap
~~~ 생략 ~~~
total files: 28- Packet Capture(pcap) 파일을 수신한 장비에서 Packet Capture 파일 확인
- PC에서 FileZilla와 같은 프로그램을 이용하여 Packet Capture(pcap) 파일을 복사
- Packet Capture(pcap) 파일이 Wireshark로 열고 ICMP Request 및 Reply가 잘 캡처된 것을 확인
2) Packet Capture Method - Case 2(TCPDUMP)
USER@QFX5120-48T_01> start shell user root
Password:
root@QFX5120-48T_01:RE:0%- shell mode로 진입
root@QFX5120-48T_01:RE:0% tcpdump -w /var/tmp/CAPTURE_TCPDUMP.pcap -i xe-0/0/0 -s 1500 -c 1000
Address resolution is ON. Use <no-resolve> to avoid any reverse lookup delay.
Address resolution timeout is 4s.
Listening on xe-0/0/0, capture size 1500 bytes
8 packets received by filter
0 packets dropped by kernel- tcpdump란, 리눅스 계열 OS에서 송수신되는 패킷을 복사하는 기능
- tcpdump를 '/var/tmp/' 디렉터리에 'CAPTURE_TCPDUMP.pcap' 형식으로 패킷 파일 저장
| 옵션 | 설명 | 예시 |
| -c | ∘ 지정한 수만큼 패킷을 캡처 | ∘ tcpdump -c 100 → 100개의 패킷을 캡처 |
| -i | ∘ 지정한 인터페이스에서 송수신하는 패킷을 캡처 | ∘ tcpdump -i xe-0/0/0 → xe-0/0/0을 송수신하는 패킷을 캡처 |
| -w | ∘ 캡처한 패킷을 지정된 위치에 파일로 생성 | ∘ tcpdump -w /var/tmp/test.pcap → /var/tmp 경로에 test.pcap 형식으로 캡처 파일 저장 |
| -v | ∘ 패킷 내용 상세 확인 | ∘ tcpdump -vi xe-0/0/0 → xe-0/0/0에서 송수신되는 패킷을 상세 확인 |
| network, mask |
∘ 특정 네트워크를 지정 | ∘ tcpdump network 1.1.2.0 mask 255.255.255.0 → 특정 네트워크가 통신하는 패킷을 지정하여 캡처 |
| src | ∘ Source 주소를 지정 | ∘ tcpdump src 1.1.1.1 → Source IP가 1.1.1.1인 패킷을 지정하여 캡처 |
| dst | ∘ Destination 주소를 지정 | ∘ tcpdump dst 2.2.2.2 → Destination IP가 2.2.2.2인 패킷을 지정하여 캡처 |
| port | ∘ Port 번호를 지정 | ∘ tcpdump port 22 → 22번 포트로 통신되는 패킷을 지정하여 캡처 |
| && | ∘ 그리고(and) | ∘ tcpdump src 1.1.1.1 && dst 2.2.2.2 → Source가 1.1.1.1이고 Destination인 2.2.2.2인 패킷을 지정하여 캡처 |
| || | ∘ 또는(or) | ∘ tcpdump src 1.1.1.1 || src 2.2.2.2 → Source가 1.1.1.1 또는 Destination인 2.2.2.2인 패킷을 지정하여 캡처 |
| ! | ∘ 아닌(not) | ∘ tcpdump src 1.1.1.1 ! port 22 → Source가 1.1.1.1이지만 22번 포트로 통신하는 패킷을 제외하여 캡처 |
USER@QFX5120-48T_02> ping 1.1.1.1 count 3
PING 1.1.1.1 (1.1.1.1): 56 data bytes
64 bytes from 1.1.1.1: icmp_seq=0 ttl=64 time=9.361 ms
64 bytes from 1.1.1.1: icmp_seq=1 ttl=64 time=13.791 ms
64 bytes from 1.1.1.1: icmp_seq=2 ttl=64 time=10.513 ms
--- 1.1.1.1 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max/stddev = 9.361/11.222/13.791/1.877 ms- R2 Lo0 → R1 Lo0으로 ICMP Request 전송
USER@QFX5120-48T_01> file list /var/tmp/CAPTURE_TCPDUMP.pcap detail
-rw-r--r-- 1 root wheel 932 Nov 15 14:37 /var/tmp/CAPTURE_TCPDUMP.pcap
total files: 1- Packet Capture를 저장한 파일의 크기가 증가한 것을 확인
USER@QFX5120-48T_01> file copy /var/tmp/CAPTURE_TCPDUMP.pcap ftp://USER@192.168.50.254/CAPTURE_TCPDUMP.pcap
Password for icraft@192.168.50.254:
ftp://icraft@192.168.50.254/CAPTURE_TCPDUMP.pc100% of 932 B 5613 kBps- R1에서 FTP를 이용하여 PC와 연결되어 있는 다른 장비로 Packet Capture(pcap) 파일을 전송
USER@FTP> file list /var/home/USER/ detail
/var/home/USER/:
total blocks: 308
~~~ 생략 ~~~
-rw-r--r-- 1 USER 20 932 Nov 15 23:39 CAPTURE_TCPDUMP.pcap
~~~ 생략 ~~~
total files: 28- Packet Capture(pcap) 파일을 수신한 장비에서 Packet Capture 파일 확인
- PC에서 FileZilla와 같은 프로그램을 이용하여 Packet Capture(pcap) 파일을 복사
- Packet Capture(pcap) 파일을 Wireshark로 열고 ICMP Request 및 Reply가 잘 캡처된 것을 확인
'Network > Juniper Basic' 카테고리의 다른 글
| Juniper Monitor Traffic (0) | 2025.05.15 |
|---|---|
| Juniper Traceoption(debug) (0) | 2025.05.01 |
| Juniper Configuration Backup (0) | 2024.10.27 |
| Juniper Interface Types and Naming (1) | 2024.10.25 |
| Juniper Candidate vs Active Configuration (0) | 2024.10.23 |
| Juniper CLI Mode (0) | 2024.10.21 |