Jefferson.gondek: Post de artigo sobre Captura de Pacotes em Roteadores Juniper (v1)

2026-02-24T19:34:58Z

Post de artigo sobre Captura de Pacotes em Roteadores Juniper (v1)

Página nova

A visibilidade granular do tráfego é o pilar fundamental para o diagnóstico de redes modernas.

No JunOS, os dispositivos das linhas SRX (Security Services Gateway) e MX (Multi-Service Router) oferecem ferramentas robustas para captura de pacotes, permitindo desde a análise rápida de cabeçalhos em tempo real até a coleta profunda de arquivos '''.pcap''' para inspeção forense em analisadores como o Wireshark.

== '''Métodos de Captura e Visibilidade''' ==
Diferente de sistemas legados, o Junos separa as capturas em três abordagens lógicas:
# '''Captura de Fluxo (Transit Traffic):''' Captura pacotes que atravessam o roteador (PFE). Requer filtros de firewall ou depuração de datapath.
# '''Captura de Control Plane (RE Traffic):''' Captura tráfego destinado ou originado pelo roteador (BGP, OSPF, LACP, ARP).
# '''Captura de Segurança (IDP):''' Focada em ataques, permitindo capturar pacotes antes e depois de um evento malicioso.

== '''Captura via CLI (Modo de Configuração)''' ==
Este método é o mais comum para gerar arquivos que serão analisados externamente.

'''Passo 1:''' ''Configuração das Opções de Encaminhamento''

Definimos os limites de armazenamento para não comprometer a memória flash do equipamento.<blockquote>
<code>set forwarding-options packet-capture file filename ANALISE-BPF files 5 size 2m world-readable</code>

<code>set forwarding-options packet-capture maximum-capture-size 1500</code>
* '''Significado:''' Define o nome do arquivo, rotaciona entre 5 arquivos de 2MB e permite leitura por usuários comuns.
* '''Importância:''' Evita o preenchimento total do disco <code>/var/tmp</code> e garante que o pacote completo (MTU 1500) seja coletado, incluindo cabeçalhos de Camada 2.
</blockquote> '''Passo 2:''' ''O Filtro de Firewall (Amostragem)''

A captura no Junos funciona por amostragem. Sem o comando sample, o pacote passa, mas não é copiado para o arquivo.<blockquote>
<code>set firewall filter FILTRO-CAPTURAR term T1 from protocol icmp</code>

<code>set firewall filter FILTRO-CAPTURAR term T1 then sample accept</code>

<code>set firewall filter FILTRO-CAPTURAR term ALLOW-ALL then accept</code>
* '''Significado:''' Filtra apenas tráfego ICMP e aplica a ação sample.
* '''Importância:''' Filtros restritivos são vitais para a performance. Capturar todo o tráfego de uma interface Gigabit pode causar instabilidade no sistema.
</blockquote> '''Passo 3:''' ''Aplicação na Interface''<blockquote>
<code>set interfaces ge-0/0/0 unit 0 family inet filter input FILTRO-CAPTURAR</code>

<code>set interfaces ge-0/0/0 unit 0 family inet filter output FILTRO-CAPTURAR</code>
* '''Nota:''' Para capturar protocolos de controle (como OSPF ou LACP), a aplicação na direção output é obrigatória para pacotes gerados pelo próprio Routing Engine.
</blockquote>

=== Captura em Tempo Real: monitor traffic ===
Para diagnósticos rápidos ("o pacote está chegando?"), usamos o modo operacional.<blockquote>
<code>monitor traffic interface xe-0/0/0 matching "ether proto 0x8809" detail</code>
* '''Exemplo LACP:''' O filtro acima captura especificamente PDUs LACP (Ethertype 0x8809) em interfaces físicas (xe), essencial para diagnosticar falhas em LAGs.
* '''Cuidados:''' Sempre utilize <code>count</code> ou <code>matching</code> para limitar a saída, pois o excesso de logs no terminal degrada a performance.
</blockquote>

== Capturas Avançadas: Datapath Debug e IDP ==

==== Depuração de Caminho de Dados (Transit Traffic) ====
Em cenários onde o tráfego de trânsito precisa ser capturado sem filtros de firewall tradicionais, usamos o datapath-debug:<blockquote>
<code>set security datapath-debug capture-file meu-pcap format pcap size 1m</code>

<code>set security datapath-debug action-profile capturar event np-ingress packet-dump</code>
* '''Significado:''' Captura pacotes no ingresso do processador de rede (NP).
</blockquote>

==== Captura de Segurança (IDP) ====
Para análise forense de ataques, o Juniper SRX permite capturar pacotes pre-attack e post-attack.<blockquote>
<code>set security idp sensor-configuration packet-log total-memory 5</code>

<code>set security idp idp-policy POL-1 rulebase-ips rule 1 then notification packet-log pre-attack 1 post-attack 3</code>
* '''Importância:''' Permite entender o que aconteceu imediatamente antes de uma assinatura de ataque ser disparada.
</blockquote>

== Extração e Boas Práticas ==
# '''Desativar antes de extrair:''' É mandatório usar <code>set forwarding-options packet-capture disable</code> antes de mover o arquivo de <code>/var/tmp</code> para garantir que o buffer interno seja gravado no disco.
# '''Encapsulamento:''' Se mudar o encapsulamento da interface (ex: de Ethernet para PPP), desative a captura primeiro para evitar corrupção do arquivo '''.pcap'''.
# '''Incompatibilidade:''' Não é possível rodar <code>traffic sampling</code> e <code>packet-capture</code> simultaneamente.

== Conclusão ==
A maestria na captura de pacotes em ambientes Juniper transforma o processo de troubleshooting de uma tentativa de "tentativa e erro" em uma ciência exata.
Seja através do <code>monitor traffic</code> para respostas rápidas ou do <code>datapath-debug</code> para análises complexas, o administrador ganha visibilidade total sobre o que transita na infraestrutura, garantindo segurança e estabilidade operacional.

== Referências ==
1. '''JUNIPER NETWORKS'''. '''''Use Packet Capture to Analyze Network Traffic'''''. Disponível em: https://www.juniper.net. Acesso em: 2024.

2. '''JUNIPER NETWORKS'''. '''''IDP Security Packet Capture'''''. Disponível em: https://www.juniper.net.

4. '''STACK EXCHANGE'''. '''''Capturing LACP PDUs on Juniper MX'''''. Disponível em: https://networkengineering.stackexchange.com.

5. '''REDDIT'''. '''''Best way for Packet Capture on Juniper SRX1500. r/Juniper community'''''.

Captura de Pacotes em Roteadores Juniper - Histórico de revisão

Jefferson.gondek: Post de artigo sobre Captura de Pacotes em Roteadores Juniper (v1)