Nebula [Отладка] - зеркалирование портов и захват пакетов

Создан - Обновлено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем местном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия в отношении точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

В этой статье показано, как устранить неполадки в точке доступа или коммутаторе, если у вас возникли проблемы с трафиком. В ней показано, как зеркалировать порты на коммутаторе Nebula, отслеживать/перехватывать пакеты на точке доступа (AP) и брандмауэре/шлюзе в Nebula CC.

Обратите внимание: мы не рекомендуем выполнять любые команды конфигурации через SSH на устройствах Nebula! Мы также не можем поддержать случаи, в которых это произошло!

1) Зеркалирование портов

Зеркалирование портов позволяет отслеживать пакеты, поступающие на порт коммутатора, - по сути, оно копирует трафик и отправляет его как на исходный, так и на "зеркальный порт". Для отслеживания трафика в сети можно использовать программу трассировки пакетов, например WireShark. Это мощный инструмент, позволяющий анализировать и отлаживать сетевые проблемы. Чтобы настроить зеркалирование портов, выполните следующие действия:


Примечание: Существует ограничение в NCC (Network Control Center), согласно которому порт источника зеркалирования может быть настроен на мониторинг максимум трех портов коммутатора.

1. Войдите в свою учетную запись Nebula по адресу https://nebula.zyxel.com.
2. Перейдите к разделу

Configure -> Switches -> Switch Settings

3. Найдите

Port mirroring

и нажмите на

Add

mceclip1.png

4. Выберите коммутатор и порт(ы), которые необходимо контролировать. Также выберите порт назначения. Порт источника указывает на порт, с которого изначально поступает трафик, а порт назначения - на порт, который вы будете отслеживать.

mceclip2.png

5. Сохраните настройки.

6. Откройте Wireshark

7. Выберите используемый сетевой адаптер (WiFi или Ethernet) и отфильтруйте пакеты

Отфильтруйте трафик, который вы хотите захватить, например: 

multicast and broadcast
host 192.168.1.33
port 443

В дальнейшем вы можете фильтровать и после захвата пакетов, например:

ip.addr==192.168.1.1
ip.proto 50
icmp 

8. Захват

9. Сохранить файл и проанализировать / Отправить на анализ

2) Захват пакетов

2.1 Для брандмауэра - с помощью веб-интерфейса

Перейдите в раздел Maintenance -> Packet Capture и выберите интерфейс, который вы хотите захватить (например, трафик LAN/WAN). Вы также можете отфильтровать трафик, основываясь на IP-адресе хоста или порте хоста. Затем нажмите кнопку capture, чтобы начать захват пакетов.

mceclip10.png

2.2 Для брандмауэра - использование CLI/SSH

В Nebula устройства USG FLEX / ATP Series используют структуру SD-WAN, которая в основном основана на VLAN. Например, если вы хотите перехватить пакеты на интерфейсе lan1, вам нужно узнать, какой VLAN использует брандмауэр для lan1, введя команду:

show sdwan interface

В нашем примере ниже Nebula использует VLAN3718 для интерфейса lan1.

mceclip19.png

Чтобы выполнить трассировку пакетов на lan1 и захватить HTTPS-трафик, введите следующую команду:

Port mirroring
0

mceclip21.png

Чтобы выполнить трассировку пакетов на lan1 и захватить трафик с определенного хост-компьютера, введите следующую команду:

Port mirroring
1

mceclip20.png

2.3 Для точек доступа - использование CLI/SSH

Точки доступа в Nebula не могут выполнять трассировку пакетов локально. Если вы хотите выполнить захват пакетов точки доступа, вам нужно получить доступ к устройству локально с ПК и использовать раздел 3 для входа в устройство через SSH.

Port mirroring
2

Для точек доступа в Nebula диапазоны разделены на две группы wlan-1-1 (2,4 ГГц) и wlan-2-1 (5 ГГц).

Если вы хотите захватить HTTPS-трафик на клиентах, подключенных к 5 ГГц, используйте следующую команду:

Port mirroring
3

mceclip31.png

Если вы хотите захватить трафик с определенного клиента, подключенного к частоте 2,4 ГГц, используйте следующую команду:

Port mirroring
4

mceclip32.png

2.4 На NSG

  1. Разрешите устройству отвечать на услуги HTTPS и SSH со стороны WAN (в данном случае мы выбираем "any").
  2. Вы можете найти это меню через
    Port mirroring
    5
  3. Затем получите доступ к NSG по его публичному IP-адресу через WAN:


  4. Перейдите в соответствующее меню, активируйте "Allow WAN to Device" и добавьте IP-адреса источников, которым вы хотите разрешить доступ по SSH: dyn_repppppppp_16

  5. Теперь вы должны иметь доступ к NSG через SSH - поздравляем!

    интерфейс: Ethernet-интерфейсы (например, wan1, lan1 и т. д.)
    порт: служба, которую вы хотите перехватить (443 (HTTPS), 80 (HTTP) и т. д.)
    ip-proto: протокол, который вы хотите фильтровать (например, ping).
    src-host: источник, с которого приходят пакеты (например, с сервера (192.168.1.3) в пункт назначения: any)

    dst-host: место назначения, куда направляются пакеты (например, на сервер (192.168.1.3) от источника: any)

Статьи в этом разделе

Больше
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 1 из 2
Поделиться

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.