В данной статье мы рассмотрим возможность проводить захват сетевых пакетов на EDGE с дальнейшим его анализом в Wireshark, это бывает полезным в диагностике широкого спектра проблем. После получения доступа к консоли виртуального роутера, как это было описано в Части 1
Определимся с сетевым интерфейсом, на котором мы будем снимать пакеты - show interface
Рисунок 1
В примере описанном ниже, будем слушать трафик на внешнем интерфейсе vNic_0. Есть две возможности захвата трафика:
- на экран и
- в файл.
I. Захват трафика и просмотр в терминале.
Запускаем debug packet display interface vNic_0 и получаем вывод о трафике в консоль.
Рисунок 2
Для завершения захвата нажимаем CTRL+C. Если включить логирование вывода в настройках SSH клиента в файл, то мы получим эти данные в файле.
Рисунок 3
Для фильтрации трафика обмена с конкретным хостом, например с 90.107.69.171
- debug packet display interface vNic_0 90.107.69.171
Для фильтрации трафика по хосту 90.107.69.171 и 22 порту используем:
- debug packet display interface vNic_0 port_22_and_host_90.107.69.171
Можно исключить из вывода те соединения, которые мы используем для соединения с EDGE по SSH, добавляя not к правилам, исключая свой хост 90.107.69.171:
- debug packet display interface vNic_0 not_port_22_and_not_host_90.107.69.171
Для захвата по нескольким портам UDP/500 (ISAKMP) или UDP/4500 (IPSEC) и Remote host IP: 192.168.255.2 пишем:
- debug packet display interface vNic_0 host_192.168.255.2_and_udp_port_500_or_udp_port_4500
Другие примеры возможной фильтрации:
- debug packet display interface any host_11.22.33.44_and_tcp_port_80
- debug packet display interface vNic_0 udp
- debug packet display interface vNic_0 icmp
- debug packet display interface vNic_0 host_10.10.10.10
- debug packet display interface vNic_0 tcp_src_port_53
- debug packet display interface any host_10.10.10.10_or_host_11.22.33.44
II. Захват трафика c сохранением в файл
Запишем весь захваченный трафик в файл - debug packet capture interface vNic_0
Рисунок 4
И можем дальше продолжить работу в консоли. Как решим завершить собирать трафик, вводим - no debug packet capture interface vNic_0.Теперь посмотрим созданный файл с данным - debug show files
Рисунок 5
Файл мы сохранили, теперь скопируем его с EDGE на удаленный сервер, где продолжим с ним работать и анализировать. Поддерживаются следующие протоколы - FTP или SCP. Я скопирую в корень FTP сервера 192.168.2.2, размещенного в VDC, debug copy ftp ИМЯ_ПОЛЬЗОВАТЕЛЯ_FTP@FTP_SERVER:/ tcpdump_vNic_0.0, после нас запросят ввести пароль
Рисунок 6
По аналогии делается и по протоколу SCP. Файл скопирован на FTP, на EDGE не будем его хранить и удалим debug remove tcpdump_vNic_0.0
Рисунок 7
На сервере, с установленным Wireshark-м откроем его стандартно.
Рисунок 8
Рисунок 9