¶ Диагностика сетевых соединений на NSX EDGE (Часть 2)
¶ Последовательность захвата сетевых пакетов на EDGE
Рассмотрим возможность проводить захват сетевых пакетов на EDGE с дальнейшим его анализом в Wireshark, это бывает полезным в диагностике широкого спектра проблем.
Определимся с сетевым интерфейсом, на котором мы будем снимать пакеты - show interface
В примере описанном ниже, будем слушать трафик на внешнем интерфейсе vNic_0. Есть две возможности захвата трафика:
- на экран и
- в файл.
¶ I. Захват трафика и просмотр в терминале.
Запускаем debug packet display interface vNic_0 и получаем вывод о трафике в консоль.
Для завершения захвата нажимаем CTRL+C. Если включить логирование вывода в настройках SSH клиента в файл, то мы получим эти данные в файле.
Для фильтрации трафика обмена с конкретным хостом, например с 47.56.168.241
- debug packet display interface vNic_0 47.56.168.241
Для фильтрации трафика по хосту 47.56.168.241 и 22 порту используем:
- debug packet display interface vNic_0 port_22_and_host_47.56.168.241
Можно исключить из вывода те соединения, которые мы используем для соединения с EDGE по SSH, добавляя not к правилам, исключая свой хост 47.56.168.241:
- debug packet display interface vNic_0 not_port_22_and_not_host_47.56.168.241
Для захвата по нескольким портам UDP/500 (ISAKMP) или UDP/4500 (IPSEC) и Remote host IP: 192.168.255.2 пишем:
- debug packet display interface vNic_0 host_192.168.255.2_and_udp_port_500_or_udp_port_4500
Другие примеры возможной фильтрации:
- debug packet display interface any host_11.22.33.44_and_tcp_port_80
- debug packet display interface vNic_0 udp
- debug packet display interface vNic_0 icmp
- debug packet display interface vNic_0 host_10.10.10.10
- debug packet display interface vNic_0 tcp_src_port_53
- debug packet display interface any host_10.10.10.10_or_host_11.22.33.44
¶ II. Захват трафика c сохранением в файл
Запишем весь захваченный трафик в файл - debug packet capture interface vNic_0
И можем дальше продолжить работу в консоли. Как решим завершить собирать трафик, вводим - no debug packet capture interface vNic_0.Теперь посмотрим созданный файл с данным - debug show files
Файл мы сохранили, теперь скопируем его с EDGE на удаленный сервер, где продолжим с ним работать и анализировать. Поддерживаются следующие протоколы - FTP или SCP. Я скопирую в корень FTP сервера 192.168.2.2, размещенного в VDC,debug copy ftp ИМЯ_ПОЛЬЗОВАТЕЛЯ_FTP@FTP_SERVER:/ tcpdump_vNic_0.0, после нас запросят ввести пароль
По аналогии делается и по протоколу SCP. Файл скопирован на FTP, на EDGE не будем его хранить и удалим debug remove tcpdump_vNic_0.0
На сервере, с установленным Wireshark-м откроем его стандартно.
