能遠就不要近,能透過網路遠端連線,就不要近端接Console線,這是一個在這行工作省工的訣竅。
在上一篇《Aruba CX Switch Mirror 實踐與設定大全》中,已經講解各種Mirror,如今,為了除錯需求,又希望能夠遠端收集就好,就需要更好的技術去實踐。
Remote Mirror是個很好用的除錯技能,能堅持住「能遠不要近」的名言,畢竟有些重鎮,出入都很麻煩,交通也花時間,所以,要繼續探討Remote Mirror的使用技巧。
本篇會以搭配Wireshark去實作。
將會使用筆電,精確抓包,並透過Remote Mirror去導出流量到筆電,筆電也精確過濾,確保我們收集的都是想要的量。※ Wireshark在大流量時,收錄會缺失。
前言
有陣子在鑽研Mirror技巧時,Remote Mirror剛好可以整合最近學到的技巧,於是昇華變成實用技能。
也藉著這個技巧,我透過IP,用wireshark看到交換器很多封包,作為文件教學用途。
這個技巧也能長期穩定收錄封包,在適當的環境部署收錄流量設備,而不用放在交換器周圍。
如果只有一台CX Switch,又或者只想改動一台CX Switch,不做Remote Endpoint。
Remote Mirror流量是GRE包裝,因此,如果Wireshark針對GRE去蒐集,就能避免掉日常流量。
而Remote Mirror流量可能又會參雜非目標流量,又可以再進階過濾,更精準收錄,減少判讀時的干擾。
Wireshark 如何只錄 GRE 流量
啟動Wireshark,在 filter 輸入 (ip proto 47) ,即為GRE的Protocol Number。
ip proto 47
Wireshark 如何精準錄 GRE 流量中的特定流量
由於Wireshark的Filter的IP過濾是以外層IP為主,因此原始流量的來源目的IP就需要使用「偏移」的方式去過濾。
# 抓GRE & 內部IP為來源目的IP 168.95.1.1
ip proto 47 and (ip[58:4]=0xa85f0101 or ip[62:4]=0xa85f0101)
# 抓GRE & 內部IP為來源目的IP 8.8.8.8
ip proto 47 and (ip[58:4]=0x08080808 or ip[62:4]=0x08080808)IP需要變成16進位才能作為過濾條件值,不過這是小事。
使用此方法,可以把IP改為其他自己想要的。從源頭減少收錄封包,避免流量大時發生收錄不全。
CX Switch Policy Based Mirror
說到源頭,從Switch上就精準過濾並導出,Wireshark只要搭配過濾出GRE去收錄,就能減少頻寬使用,能稱上良好的Mirror操作。
以下針對IP為8.8.8.8的流量,經過int1/1/24時,透過Mirror丟到遠端分析工具(172.26.1.109)。
mirror session 4
destination tunnel 172.26.1.109 source 172.26.1.225
enable
class ip 8.8.8.8
10 match any any 8.8.8.8
20 match any 8.8.8.8 any
policy 8.8.8.8_mirror4
10 class ip 8.8.8.8 action mirror 4
int 1/1/24
apply policy 8.8.8.8_mirror4 in
apply policy 8.8.8.8_mirror4 out
exitRemote Mirror大幅方便除錯與觀察
透過本文技巧,能讓收錄變得更專一,也能減少不必要的流量被鏡像出。
擺脫過往得要近端接線,讓收錄封包更輕鬆。
遠端收錄可以搭配Wireshark的循環收錄,就能做到無間斷的收錄。適用於偶發的網路狀況,確保在狀況當下,能收集到當下的流量,提供除錯研判。
除了網路狀況,也可以應用於應用程式與伺服器間的溝通排查,使不易收錄到的地方能簡單收錄到,進而釐清是否為網路問題。
所以很推薦工程師學習此技巧。