Nebula [Virheenkorjaus] - Porttipeilaus & pakettien kaappaus

Luotu - Päivitetty
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Lisäkysymyksiä? Lähetä pyyntö

Tärkeä huomautus:
Hyvät asiakkaat, huomioikaa, että käytämme konekäännöstä tarjotaksemme artikkeleita paikallisella kielelläsi. Kaikkea tekstiä ei välttämättä voida kääntää tarkasti. Jos käännetyssä versiossa on kysymyksiä tai ristiriitaisuuksia tietojen oikeellisuudesta, tutustu alkuperäiseen artikkeliin täällä: Alkuperäinen versio.

Tässä artikkelissa kerrotaan, miten yhteyspisteen tai kytkimen vianmääritys tehdään, jos sinulla on ongelmia/ongelmia liikenteen kanssa. Siinä näytetään, miten Nebula-kytkimen porttipeilaus, pakettien jäljitys/kaappaus liityntäpisteessä (AP) ja palomuuri/porttiyhteys Nebula CC:ssä.

Huomaa: Emme suosittele konfigurointikomentojen suorittamista SSH:n kautta Nebula-laitteisiin! Emme myöskään voi tukea tapauksia, joissa näin on tapahtunut!

1) Porttipeilaus

Porttipeilauksen avulla voit jäljittää kytkinporttiin tulevia paketteja - se periaatteessa kopioi liikenteen ja lähettää sen sekä alkuperäiseen määränpäähän että "peiliporttiin" - tässä tapauksessa voit käyttää pakettien jäljitysohjelmistoa, kuten WireSharkia, jäljittääksesi liikennettä verkossa. Tämä on tehokas työkalu verkko-ongelmien analysoinnissa ja vianmäärityksessä. Seuraa alla olevia ohjeita Port Mirroringin määrittämiseksi:


Huomautus: NCC:ssä (Network Control Center) on rajoitus, jonka mukaan peililähdeportti voidaan määrittää valvomaan enintään kolmea kytkinporttia.

1. Kirjaudu sisään Nebula-tilillesi osoitteessa https://nebula.zyxel.com.
2. Siirry kohtaan

dyn_repppppppp_0

3. Etsi

dyn_repppppppp_1

ja klikkaa

Add

mceclip1.png

4. Valitse kytkin ja portti(t), joita haluat valvoa. Valitse myös kohdeportti. Lähdeportti ilmoittaa portin, josta liikenne alun perin tulee, kun taas kohdeportti ilmoittaa portin, jota seurataan.

mceclip2.png

5. Tallenna asetukset.

6. Avaa Wireshark

7. Valitse käyttämäsi verkkosovitin (WiFi tai Ethernet) ja suodata paketit.

Suodata liikenne, jonka haluat kaapata, esim:

dyn_repppppppp_3 dyn_repppppppp_4 dyn_repppppppp_5

Myöhemmin voit suodattaa myös pakettien kaappauksen jälkeen käyttämällä esim. seuraavaa:

dyn_repppppppp_6 dyn_repppppppp_7 dyn_repppppppp_8

8. Capture

9. Tallenna tiedosto ja analysoi / Lähetä analysoitavaksi.

2) Pakettien kaappaus

2.1 Palomuuria varten - Web GUI:n käyttöliittymän käyttö

Siirry kohtaan Maintenance (Ylläpito) -> Packet Capture (Pakettikaappaus) ja valitse rajapinta, jonka haluat kaapata (esim. LAN-liikenne/WAN-liikenne). Voit myös suodattaa liikennettä isännän IP-osoitteen tai isäntäportin perusteella. Aloita pakettien kaappaus napsauttamalla Capture.

mceclip10.png

2.2 Palomuuria varten - CLI/SSH:n käyttö

Nebulassa USG FLEX / ATP -sarjassa käytetään SD-WAN-rakennetta, joka on enimmäkseen VLAN-pohjainen. Jos esimerkiksi haluat kaapata paketteja lan1-liitännästä, sinun on selvitettävä, mitä VLANia palomuuri käyttää lan1:n kohdalla syöttämällä komento:

dyn_repppppppp_9

Alla olevassa esimerkissämme Nebula käyttää VLAN3718:a lan1-liittymää varten.

mceclip19.png

Jos haluat tehdä pakettien jäljityksen lan1:ssä ja kaapata HTTPS-liikenteen, anna seuraava komento:

dyn_repppppppp_10

mceclip21.png

Jos haluat tehdä pakettien jäljityksen lan1:ssä ja kaapata tietyn isäntätietokoneen liikenteen, anna seuraava komento:

dyn_repppppppp_11

mceclip20.png

2.3 Liityntäpisteitä varten - CLI/SSH:n käyttö

Nebulassa olevat Access Pointsit eivät voi tehdä pakettien jäljitystä paikallisesti. Jos haluat tehdä pakettikaappauksen Access Pointista, sinun on päästävä laitteeseen paikallisesti PC:ltä ja kirjauduttava laitteeseen SSH:n kautta kohdan 3 avulla.

dyn_repppppppp_12

Nebulan tukiasemien taajuusalueet on jaettu kahteen ryhmään wlan-1-1 (2,4 GHz) ja wlan-2-1 (5 GHz).

Jos haluat kaapata HTTPS-liikennettä asiakkailta, jotka ovat yhteydessä 5 GHz:n taajuuteen, käytä seuraavaa komentoa:

dyn_repppppppp_13

mceclip31.png

Jos haluat kaapata tietyn 2,4GHz:iin yhdistetyn asiakkaan liikenteen, käytä seuraavaa komentoa:

dyn_repppppppp_14

mceclip32.png

2.4 NSG:ssä

  1. Salli laitteen vastata HTTPS- ja SSH-palveluun WAN-puolelta (tässä tapauksessa valitsemme "any").
  2. Löydät tämän valikon osoitteesta
    dyn_repppppppp_15
  3. Ota sitten yhteys NSG:hen sen julkisen IP-osoitteen kautta WANin kautta:


  4. Siirry vastaavaan valikkoon ja aktivoi "Allow WAN to Device" ja lisää lähde-IP-osoitteet, joille haluat sallia pääsyn SSH:n kautta: dyn_repppppppp_16

  5. Nyt sinun pitäisi pystyä käyttämään NSG:täsi SSH:n kautta - Onnittelut!

    käyttöliittymä: Ethernet-liitännät (esim. wan1, lan1 jne.).
    portti: palvelu, jonka haluat kaapata (443 (HTTPS), 80 (HTTP) jne.).
    ip-proto: protokolla, jonka haluat suodattaa (esim. ping).
    src-host: lähde, josta paketit tulevat (esim. palvelimelta (192.168.1.3) määränpäähän: any).

    dst-host: kohde, johon paketit ovat menossa (esim. palvelimelle (192.168.1.3) lähteestä: any).

Tämän osion artikkelit

Näytä lisää
Oliko tämä artikkeli hyödyllinen?
1/2 koki tästä olevan apua
Jaa

Kommentit

0 kommenttia

Kirjaudu sisään jättääksesi kommentin.