Nebula [Ladění] - Zrcadlení portů a zachycování paketů

Vytvořeno - Aktualizováno
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité upozornění:
Upozornění: Vážení zákazníci, upozorňujeme, že k poskytování článků v místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. V případě dotazů nebo nesrovnalostí ohledně správnosti informací v přeložené verzi si prosím prohlédněte původní článek zde: Originální verze

Tento článek ukazuje, jak řešit problémy s přístupovým bodem nebo přepínačem, pokud máte nějaké problémy/problémy s provozem. Ukazuje, jak zrcadlit porty na přepínači Nebula, sledovat/zachytávat pakety na přístupovém bodu (AP) a bráně firewall/gateway v Nebula CC.

Upozornění: Nedoporučujeme provádět na zařízeních Nebula žádné konfigurační příkazy přes SSH! Nemůžeme také podporovat případy, kdy k tomu došlo!

1) Zrcadlení portů

Zrcadlení portů umožňuje sledovat pakety přicházející do portu přepínače - v podstatě kopíruje provoz a posílá jej jak do původního cíle, tak do "zrcadlového portu" - zde můžete ke sledování provozu v síti použít software pro sledování paketů, například WireShark. Jedná se o mocný nástroj, pokud jde o analýzu a ladění problémů v síti. Při nastavení funkce Zrcadlení portů postupujte podle níže uvedených kroků:


Poznámka: V NCC (Network Control Center) existuje omezení, kdy lze zrcadlení zdrojového portu nakonfigurovat tak, aby monitorovalo maximálně tři porty přepínače.

1. Přihlaste se ke svému účtu Nebula prostřednictvím adresy https://nebula.zyxel.com.
2. Přejděte na stránku

Configure -> Switches -> Switch Settings

3. Najděte adresu

Port mirroring

a klikněte na

Add

mceclip1.png

4. Vyberte přepínač a port(y), které chcete nechat sledovat. Vyberte také cílový port. Zdrojový port označuje port, ze kterého provoz původně přichází, zatímco cílový port označuje port, který budete sledovat.

mceclip2.png

5. Uložte nastavení.

6. Otevřete aplikaci Wireshark

7. Vyberte síťový adaptér, který používáte (WiFi nebo Ethernet), a filtrujte pakety.

Filtrujte provoz, který chcete zachytit, např: 

multicast and broadcast
host 192.168.1.33
port 443

Později můžete filtrovat i po zachycení paketů pomocí např:

ip.addr==192.168.1.1
ip.proto 50
icmp 
.

8. Zachycení

9. Uložit soubor a analyzovat / Odeslat k analýze

2) Zachycení paketu

2.1 Pro bránu firewall - pomocí webového grafického rozhraní

Přejděte do části Údržba -> Zachytávání paketů a vyberte rozhraní, které chcete zachytávat (např. provoz v síti LAN / provoz v síti LAN). Provoz můžete také filtrovat, a to na základě adresy IP hostitele nebo portu hostitele. Poté kliknutím na tlačítko zachytit spusťte zachytávání paketů.

mceclip10.png

2.2 Pro bránu firewall - pomocí CLI/SSH

V systému Nebula používají zařízení řady USG FLEX / ATP strukturu SD-WAN, která je většinou založena na VLAN. Např. pokud chcete zachytávat pakety na rozhraní lan1, musíte zadáním příkazu zjistit, kterou VLAN používá firewall pro lan1:

dyn_repppp_9

V našem příkladu níže používá Nebula pro rozhraní lan1 VLAN3718.

mceclip19.png

Chcete-li provést sledování paketů na lan1 a zachytit provoz HTTPS, zadejte následující příkaz:

dyn_repppp_10

mceclip21.png

Chcete-li provést sledování paketů na lan1 a zachytit provoz z konkrétního hostitelského počítače, zadejte následující příkaz:

Port mirroring
1

mceclip20.png

2.3 Pro přístupové body - pomocí CLI/SSH

Přístupové body v Nebule nemohou provádět lokální sledování paketů. Pokud chcete provést zachycení paketů přístupového bodu, musíte k zařízení přistupovat lokálně z počítače a pomocí oddílu 3 se přihlásit k zařízení prostřednictvím SSH.

dyn_repppp_12

Pro přístupové body v systému Nebula jsou pásma rozdělena do dvou skupin wlan-1-1 (2,4 GHz) a wlan-2-1 (5 GHz).

Pokud chcete zachytit provoz HTTPS na klientech připojených k pásmu 5 GHz, použijte následující příkaz:

dyn_repppp_13

mceclip31.png

Pokud chcete zachytit provoz z konkrétního klienta, který je připojen k 2,4GHz, použijte následující příkaz:

Port mirroring
4

mceclip32.png

2.4 Na NSG

  1. Povolte zařízení odpovídat na služby HTTPS a SSH ze strany WAN (v tomto případě vybereme možnost "any").
  2. Tuto nabídku naleznete prostřednictvím
    dyn_repppp_15
  3. Poté přistupujte k zařízení NSG prostřednictvím jeho veřejné IP adresy přes WAN:


  4. Přejděte do příslušné Nabídky a aktivujte položku "Allow WAN to Device" a přidejte zdrojové IP adresy, kterým chcete povolit přístup přes SSH: 
    Port mirroring
    6

  5. Nyní byste měli mít přístup k vašemu NSG přes SSH - Gratulujeme!

    rozhraní: Rozhraní Ethernet (např. wan1, lan1 atd.)
    port: služba, kterou chcete zachytit (443 (HTTPS), 80 (HTTP) atd.).
    ip-proto: protokol, který chcete filtrovat (např. ping).
    src-host: zdroj, odkud pakety přicházejí (např. ze serveru (192.168.1.3) do cíle: any).

    dst-host: cíl, kam pakety směřují (např. na server (192.168.1.3) ze zdroje: any).

Články v tomto oddílu

Zobrazit další
Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 1 z 2
Sdílet

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.