以下のサイトを参考にさせていただきました!
ありがとうございます~
https://glodia.jp/blog/5796/
Juniper 隠しコマンド
今回実施した内容を図でまとめてみました!!
では始めます!!
① Monitor trafficコマンドにより通信をキャプチャ
キャプチャする対象インタフェース → fe-0/0/6.0
キャプチャするサイズを以下の数字で設定してみました
(理由は後ほど。。)
【対象装置:VR1】
admin@SRX100H2>monitor traffic interface fe-0/0/6.0 size 100000 write-file test.pcap
Address resolution is ON. Use <no-resolve> to avoid any reverse lookup delay.
Address resolution timeout is 4s.
Listening on fe-0/0/6.0, capture size 100000 bytes
ちなみに ?を押しても”write-file”は出てきませんでした。。がコマンドは使用できるようです
先のサイトの方がおっしゃってるように隠しコマンドみたいですね・・(^^;)
② 通信を発生させるため、対向のルータ(VR2)において
OSPFネイバー及びBGPネイバーをクリア!
【対象装置:VR2】
admin@SRX100H2> clear ospf neighbor instance VR2
admin@SRX100H2> clear bgp neighbor soft-inbound instance VR2
admin@SRX100H2>
③ Monitor trafficコマンドにより通信をキャプチャを停止
admin@SRX100H2>monitor traffic interface fe-0/0/6.0 size 100000 write-file test.pcap
Address resolution is ON. Use <no-resolve> to avoid any reverse lookup delay.
Address resolution timeout is 4s.
Listening on fe-0/0/6.0, capture size 100000 bytes
^C(CTRL+Cにより停止)
28 packets received by filter → 取得できたパケット
0 packets dropped by kernel
④ 取得できたパケットを見る!
admin@SRX100H2> monitor traffic read-file test.pcap
Reverse lookup for 172.30.30.5 failed (check DNS reachability).
Other reverse lookup failures will not be reported.
Use <no-resolve> to avoid reverse lookups on IP addresses.
09:41:13.128162 In IP 172.30.30.5 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:17.950329 Out IP 172.30.30.6 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:20.974870 Out IP 50.6.1.1.bgp > 50.5.1.1.56683: P 4182723317:4182723365(48 ) ack 1851795165 win 16384 <nop,nop,timestamp 13243105 13243095>: BGP, length: 4 8
09:41:21.828743 In IP 172.30.30.5 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:25.721444 Out IP 172.30.30.6 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:29.525761 In IP 172.30.30.5 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:30.064341 Out IP 50.6.1.1.bgp > 50.5.1.1.56683: P 48:67(19) ack 1 win 1638 4 <nop,nop,timestamp 13252191 13243207>: BGP, length: 19
09:41:34.737622 Out IP 172.30.30.6 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:35.856787 Out IP 50.6.1.1.bgp > 50.5.1.1.56683: . ack 20 win 16384 <nop,no p,timestamp 13257981 13257879>
09:41:37.102224 In IP 172.30.30.5 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:38.711814 In IP 172.30.30.5 > 224.0.0.5: OSPFv2, Hello, length 56
09:41:38.715835 Out IP 172.30.30.6 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:38.716638 Out IP 172.30.30.6 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:38.762315 In IP 172.30.30.5 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:38.765850 Out IP 172.30.30.6 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:38.766833 In IP 172.30.30.5 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:38.770976 Out IP 172.30.30.6 > 224.0.0.5: OSPFv2, Hello, length 60
09:41:38.786169 In IP 172.30.30.5 > 172.30.30.6: OSPFv2, Database Description, length 44
09:41:38.796611 Out IP 172.30.30.6 > 172.30.30.5: OSPFv2, Database Description, length 44
09:41:43.630628 Out IP 172.30.30.6 > 172.30.30.5: OSPFv2, Database Description, length 44
09:41:43.632220 In IP 172.30.30.5 > 172.30.30.6: OSPFv2, Database Description, length 44
09:41:43.672074 In IP 172.30.30.5 > 172.30.30.6: OSPFv2, Database Description, length 124
09:41:43.674793 Out IP 172.30.30.6 > 172.30.30.5: OSPFv2, Database Description, length 104
OSPFとBGPのパケットは取得できているようです!!
ですがこれだと見やすくないので、Wiresharkで見てみたいと思います!!
⑤ 取得したパケットをWiresharkで確認
方法は取得したSRX(VR1)からSCP接続でホスト(windows)に転送し、Wiresharkで眺める感じです
〇WinSCPで取得して良いかもですが、私の場合、タイムアウトになりSCPで転送できませんでした。。
WINSCPの設定変更もしくはバージョンアップで回避できそうでしたが、
私の場合は手っ取りばやくTeretermのSCP転送機能を使用しました・・(^^;)
以下手順です~
(1)SSHでSRXにログインしておきます
(2)SRXのファイルコマンドでpcapの場所を確認します
admin@SRX100H2> file list
/cf/var/home/admin/:
.ssh/
JSEC-begin-config
ipsec-zizen.cfg
ospf-config
policy-BaseVPN-2.cfg
policy-BaseVPN.cfg
security-policy.cfg
test.pcap
virtual-router.cfg
色々入れています(^^;)が今回の場合は”test.pcap”なので
取得元パスは ”/cf/var/home/admin/test.pcap” になります!
(3)TeretermのSCP転送機能によりホスト(Windows)に転送
ファイル→ SSH SCP で以下の画面がでるのでファイルを指定して受信!!
(4)Wiresharkで確認!
〇 Monitor trafficコマンドでサイズを設定した理由
一番最初に取得したパケットは以下のような感じでした(^^;)
(投入コマンド)
admin@SRX100H2>monitor traffic interface fe-0/0/6.0 write-file 1.pcap
BGPのメッセージを確認しよう!と思ったところ。。
以下のような表示となり中身が確認できませんでした。。
なのでサイズを変更すればよいのかな??と思い以下のコマンドを投入(サイズは感覚で。。)
(投入コマンド)
admin@SRX100H2>monitor traffic interface fe-0/0/6.0 size 100000 write-file test.pcap
今後も設定だけでなくパケットの中身も確認するようにしたいと思います~(^^;)