JuniperSRXにおけるパケット取得の一例

以下のサイトを参考にさせていただきました！
ありがとうございます～

https://glodia.jp/blog/5796/
Juniper 隠しコマンド

今回実施した内容を図でまとめてみました！！

では始めます！！

①　Monitor trafficコマンドにより通信をキャプチャ
　　　　　キャプチャする対象インタフェース　→　fe-0/0/6.0
　キャプチャするサイズを以下の数字で設定してみました
　　（理由は後ほど。。）
【対象装置：VR1】

admin@SRX100H2>monitor traffic interface fe-0/0/6.0 size 100000 write-file test.pcap
Address resolution is ON. Use <no-resolve> to avoid any reverse lookup delay.
Address resolution timeout is 4s.
Listening on fe-0/0/6.0, capture size 100000 bytes

ちなみに　？を押しても”write-file”は出てきませんでした。。がコマンドは使用できるようです
先のサイトの方がおっしゃってるように隠しコマンドみたいですね・・(^^;)

②　通信を発生させるため、対向のルータ（VR2）において
　　OSPFネイバー及びBGPネイバーをクリア！
【対象装置:VR2】
admin@SRX100H2> clear ospf neighbor instance VR2

admin@SRX100H2> clear bgp neighbor soft-inbound instance VR2

admin@SRX100H2>

③　Monitor trafficコマンドにより通信をキャプチャを停止
admin@SRX100H2>monitor traffic interface fe-0/0/6.0 size 100000 write-file test.pcap
Address resolution is ON. Use <no-resolve> to avoid any reverse lookup delay.
Address resolution timeout is 4s.
Listening on fe-0/0/6.0, capture size 100000 bytes

^C（CTRL+Cにより停止）

28 packets received by filter　　→　取得できたパケット
0 packets dropped by kernel

④　取得できたパケットを見る！
admin@SRX100H2> monitor traffic read-file test.pcap
Reverse lookup for 172.30.30.5 failed (check DNS reachability).
Other reverse lookup failures will not be reported.
Use <no-resolve> to avoid reverse lookups on IP addresses.

09:41:13.128162 In IP 172.30.30.5 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:17.950329 Out IP 172.30.30.6 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:20.974870 Out IP 50.6.1.1.bgp > 50.5.1.1.56683: P 4182723317:4182723365(48 ) ack 1851795165 win 16384 <nop,nop,timestamp 13243105 13243095>: BGP, length: 4 8
09:41:21.828743 In IP 172.30.30.5 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:25.721444 Out IP 172.30.30.6 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:29.525761 In IP 172.30.30.5 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:30.064341 Out IP 50.6.1.1.bgp > 50.5.1.1.56683: P 48:67(19) ack 1 win 1638 4 <nop,nop,timestamp 13252191 13243207>: BGP, length: 19
09:41:34.737622 Out IP 172.30.30.6 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:35.856787 Out IP 50.6.1.1.bgp > 50.5.1.1.56683: . ack 20 win 16384 <nop,no p,timestamp 13257981 13257879>
09:41:37.102224 In IP 172.30.30.5 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:38.711814 In IP 172.30.30.5 > 224.0.0.5: OSPFv2, Hello, length 56
09:41:38.715835 Out IP 172.30.30.6 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:38.716638 Out IP 172.30.30.6 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:38.762315 In IP 172.30.30.5 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:38.765850 Out IP 172.30.30.6 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:38.766833 In IP 172.30.30.5 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:38.770976 Out IP 172.30.30.6 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:38.786169 In IP 172.30.30.5 > 172.30.30.6: OSPFv2, Database Description, length 44
09:41:38.796611 Out IP 172.30.30.6 > 172.30.30.5: OSPFv2, Database Description, length 44
09:41:43.630628 Out IP 172.30.30.6 > 172.30.30.5: OSPFv2, Database Description, length 44
09:41:43.632220 In IP 172.30.30.5 > 172.30.30.6: OSPFv2, Database Description, length 44
09:41:43.672074 In IP 172.30.30.5 > 172.30.30.6: OSPFv2, Database Description, length 124
09:41:43.674793 Out IP 172.30.30.6 > 172.30.30.5: OSPFv2, Database Description, length 104

OSPFとBGPのパケットは取得できているようです！！
ですがこれだと見やすくないので、Wiresharkで見てみたいと思います！！

⑤　取得したパケットをWiresharkで確認
方法は取得したSRX（VR1）からSCP接続でホスト（windows）に転送し、Wiresharkで眺める感じです

〇WinSCPで取得して良いかもですが、私の場合、タイムアウトになりSCPで転送できませんでした。。　
　WINSCPの設定変更もしくはバージョンアップで回避できそうでしたが、
　私の場合は手っ取りばやくTeretermのSCP転送機能を使用しました・・(^^;)

以下手順です～

（１）SSHでSRXにログインしておきます
（２）SRXのファイルコマンドでpcapの場所を確認します

admin@SRX100H2> file list

/cf/var/home/admin/:
.ssh/
JSEC-begin-config
ipsec-zizen.cfg
ospf-config
policy-BaseVPN-2.cfg
policy-BaseVPN.cfg
security-policy.cfg
test.pcap
virtual-router.cfg

色々入れています(^^;)が今回の場合は”test.pcap”なので
取得元パスは ”/cf/var/home/admin/test.pcap”　になります！

（３）TeretermのSCP転送機能によりホスト(Windows）に転送
　　ファイル→　SSH SCP　で以下の画面がでるのでファイルを指定して受信！！