Denne artikkelen viser hvordan du feilsøker tilgangspunktet eller svitsjen hvis du har problemer med trafikken. Den viser hvordan du speiler porter på en Nebula-svitsj, sporer/fangster pakker på et tilgangspunkt (AP) og brannmur/gateway i Nebula CC.

Merk: Vi anbefaler ikke at du utfører konfigurasjonskommandoer via SSH på Nebula-enhetene dine! Vi kan heller ikke støtte tilfeller der dette har skjedd!

1) Portspeiling

Med portspeiling kan du spore pakker som kommer inn i en svitsjeport - den kopierer i utgangspunktet trafikken og sender den til både den opprinnelige destinasjonen og "speilingsporten" - her kan du bruke en pakkesporingsprogramvare som WireShark for å spore opp trafikken i nettverket ditt. Dette er et kraftig verktøy når det gjelder å analysere og feilsøke nettverksproblemer. Følg trinnene nedenfor for å konfigurere Port Mirroring:

Merk: Det finnes en begrensning i NCC (Network Control Center) der en speilingskildeport bare kan konfigureres til å overvåke maksimalt tre svitsjeporter.

1. Logg inn på Nebula-kontoen din via https://nebula.zyxel.com
2. Naviger til

3. Finn

og klikk på

4. Velg svitsjen og hvilke(n) port(er) du vil ha overvåket. Velg også en destinasjonsport. Kildeporten angir porten som trafikken kommer fra i utgangspunktet, mens destinasjonsporten angir porten du vil spore på.

5. Lagre innstillingene.

6. Åpne Wireshark

7. Velg nettverkskortet du bruker (WiFi eller Ethernet), og filtrer pakkene dine

Filtrer trafikken du vil fange opp, for eksempel:

Senere kan du også filtrere etter at du har fanget opp pakkene ved å bruke f.eks:

8. Fangst

9. Lagre filen og analyser / Send for analyse

2) Pakkeinnfanging

2.1 For brannmur - ved hjelp av web-GUI

Gå til Vedlikehold -> Pakkefangst, og velg grensesnittet du vil fange opp (f.eks. LAN-trafikk/WAN-trafikk). Du kan også filtrere trafikken basert på verts-IP-adresse eller vertsport. Klikk deretter på Capture for å starte pakkeopptaket.

2.2 For brannmur - bruk av CLI/SSH

I Nebula bruker USG FLEX/ATP-serien en SD-WAN-struktur, som for det meste er VLAN-basert. Hvis du f.eks. vil fange opp pakker på lan1-grensesnittet, må du finne ut hvilket VLAN brannmuren bruker for lan1 ved å skrive inn kommandoen:

I eksempelet nedenfor bruker Nebula VLAN3718 for lan1-grensesnittet.

Hvis du vil utføre en pakkesporing på lan1 og fange opp HTTPS-trafikk, skriver du inn følgende kommando:

Hvis du vil utføre en pakkesporing på lan1 og fange opp trafikk fra en bestemt verts-PC, skriver du inn følgende kommando:

2.3 For tilgangspunkter - bruk av CLI/SSH

Tilgangspunktene i Nebula kan ikke spore pakker lokalt. Hvis du vil gjøre en pakkesporing av et tilgangspunkt, må du få tilgang til enheten lokalt fra en PC og bruke avsnitt 3 til å logge på enheten via SSH.

For aksesspunktene i Nebula er båndene delt inn i to grupper: wlan-1-1 (2,4 GHz) og wlan-2-1 (5 GHz).

Hvis du vil fange opp HTTPS-trafikk på klienter som er koblet til 5 GHz, kan du bruke følgende kommando:

Hvis du vil fange opp trafikk fra en bestemt klient som er koblet til 2,4 GHz, kan du bruke følgende kommando:

2.4 På NSG

1. Tillat enheten å svare på HTTPS- og SSH-tjenester fra WAN-siden (i dette tilfellet velger vi "any").
2. Du finner denne menyen via
   dyn_repppppppp_15
3. Få deretter tilgang til NSG via den offentlige IP-adressen via WAN:
   
   
   
4. Naviger til den respektive menyen og aktiver "Allow WAN to Device" og legg til kilde-IP-adressene du vil tillate tilgang via SSH: dyn_repppppppp_16

5. Du skal nå kunne få tilgang til NSG-enheten din via SSH - gratulerer!
   
   

   grensesnitt: Ethernet-grensesnitt (f.eks. wan1, lan1 osv.)
   port: tjenesten du ønsker å fange opp (443 (HTTPS), 80 (HTTP) osv.)
   ip-proto: protokollen du ønsker å filtrere (f.eks. ping)
   src-host: kilden der pakkene kommer fra (f.eks. fra serveren (192.168.1.3) til destinasjonen: hvilken som helst)

   dst-host: destinasjonen som pakkene skal til (f.eks. til serveren (192.168.1.3) fra kilden: hvilken som helst)