聯絡我們
搜尋

如何使用 Port Mirroring 抓包(控制器模式)

使用者應用程式需求
更新03-11-2024 02:41:56 AM Number of views for this article3937
這篇文章適用於: 

應用場景

Mirroring 鏡像)可以讓乙太網路封包從選定的來源連接複製到指定的目標連接,而不會中斷來自交換器和路由器等設備的正常網路流量。封包擷取分析是解決各種網路問題的重要工具以及方式。例如,它可以幫助診斷路由器無法從 ISP 取得 IP 位址、用戶端無法取得 IP 位址或遇到其他網路相關問題等等。

在實際的故障排除場景中,當無法直接觀察某些連接埠時,我們通常會結合使用 Port Mirroring 連接埠鏡像和抓包來分析問題。 使用以下拓撲為範例,我們將學習如何在以控制器模式運作的 Omada 路由器或交換器中設定 Port Mirroring 連接埠鏡像)並搭配 Wireshark 來抓包

設定步驟

在深入了解設定方式之前,讓我們花點時間介紹一下 Wireshark,我們將使用此工具來擷取封包。Wireshark 是一款出色的免費封包分析工具。它擁有相當多種用途,包括網路故障排除、分析、軟體和通訊協定分析或是教育訓練分析。您可以從其官方網站 https://www.wireshark.org 下載取得 Wireshark 。

1. 連接埠鏡像:路由器

示範型號:ER707-M2(需要控制器 v5.6 以上版本)

管理者 Tim 在控制器上設定了 Client-to-Site L2TP VPN。然而,完成設定後,他發現 VPN 連線無法正常運作。為了解決這個問題,我們需要確定 L2TP 協商通訊過程中具體哪一步出現了問題。為此,我們需要路由器的上傳和下載流量訊息,以便使用連接埠鏡像捕捉相關封包分析。

1)前往「設備」,然後點擊路由器以載入「詳細資料」視窗。然後點擊 連接埠

2)選擇 PC 與路由器連接的 LAN4(連接埠 4)。然後點選編輯 按鈕。

3)設定連接埠鏡像的基本參數:

  • 啟用 Mirroring 鏡像
  • 將所選連接埠指定為 Port6(WAN 網路來源)
  • 將鏡像模式指定為 上傳 下載
  • 最後點選「套用」

4)成功套用連接埠鏡像後,您會看到 LAN4 旁邊有一個小眼睛形狀的圖示。

5)測試驗證:

通常,當 PC 連接在 LAN 連接埠後面時,它無法擷取來源位址或目標位址與 WAN 連接埠 IP 位址相符的封包。不過,如果我們分析封包時可以看到 WAN 埠的 IP 位址,就證明我們的連接埠鏡像設定成功了。

管理員 Tim 利用連接埠鏡像成功捕捉到下面顯示的封包訊息。在擷取的封包訊息中,IP 位址 61.228.91.136 屬於 L2TP 用戶端。分析該封包訊息得知了是 ISAKMP 協商初始階段的問題。

(指令「ip.addr == xx」通常用於過濾與特定 IP 位址相關的封包。)

我們可以使用以下語法來分析 ISAKMP 協商階段的封包 ip.addr == 61.228.91.x and (esp or isakmp or tcp or l2tp)

經過排查,Tim 發現是 L2TP 用戶端密碼輸入錯誤(Result Code 768)。隨後這問題解決後,最終 VPN 協商過程順利成功,如下圖所示。

2. 連接埠鏡像:交換器

示範型號:SG2210XMP-M2(Omada SG-2 、SX-2 系列及 SG-3、SG-6、SX-6 系列交換器皆支援)

Tim 的手機可以連接到 EAP 的無線網路,但無法從路由器拿到 IP 位址。經排查,EAP無法取得 IP 位址。由於 EAP 直接將 DHCP 封包轉傳給路由器,接在交換器的 PC 預設無法抓包。因此,我們需要透過連接埠鏡像抓取並啟用 Port1 的上傳和下載的流量封包。

1)前往「設備」,然後點擊交換器以載入「詳細資料」視窗。然後點擊 連接埠

2)選擇 PC 與交換器連接的 LAN4(連接埠 4)。然後點選 編輯 按鈕。

3)設定連接埠鏡像的基本參數:

  • 啟用 覆蓋設定檔
  • 啟用 Mirroring 鏡像
  • 將所選連接埠指定為 Port1(連接路由器)
  • 最後點選「套用」

4)成功套用連接埠鏡像後,您會看到 Port4 旁邊有一個小眼睛形狀的圖示。

5)測試驗證:

通常情況下,PC 只能擷取對應交換器連接埠的上傳和下載流量。但如果抓包數據中包含其他連接埠的數據,例如無線用戶端到外部網路或閘道的數據,則表示交換器的連接埠鏡像功能已設定成功。

Tim 使用上述交換器連接埠鏡像設定並且成功擷取了以下封包。觀察後,EAP 僅發送 DHCP Discover 封包,但沒有接收其他封包,例如 DHCP Offer。這表示路由器沒有為 EAP 指派 IP 位址。(頂部欄位指令「dhcp」通常用於過濾與動態主機設定協定相關的資料包。)

Tim 仔細查看了一下,發現自己無意間關閉了路由器的 DHCP 服務。一旦他重新調整設定,就成功獲得了下面的取得 DHCP IP 的過程。

這篇faq是否有用?

您的反饋將幫助我們改善網站

推薦產品

來自 United States?

取得您的地區產品、活動和服務。

前往 其他選項

本網站使用 cookie 來改善網站引導、分析線上活動並在我們的網站上提供最佳的使用者體驗。您可以隨時反對使用 cookie。您可以在我們的隱私權政策中找到更多資訊。 不再顯示

本網站使用 cookie 來改善網站引導、分析線上活動並在我們的網站上提供最佳的使用者體驗。您可以隨時反對使用 cookie。您可以在我們的隱私權政策中找到更多資訊。 不再顯示

基本 Cookies

These cookies are necessary for the website to function and cannot be deactivated in your systems.

TP-Link

SESSION, JSESSIONID, accepted_local_switcher, tp_privacy_base, tp_privacy_marketing, tp_smb-select-product_scence, tp_smb-select-product_scenceSimple, tp_smb-select-product_userChoice, tp_smb-select-product_userChoiceSimple, tp_smb-select-product_userInfo, tp_smb-select-product_userInfoSimple, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType

Youtube

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Zendesk

OptanonConsent, __cf_bm, __cfruid, _cfuvid, _help_center_session, _pendo___sg__.<container-id>, _pendo_meta.<container-id>, _pendo_visitorId.<container-id>, _zendesk_authenticated, _zendesk_cookie, _zendesk_session, _zendesk_shared_session, ajs_anonymous_id, cf_clearance

分析和行銷 Cookies

Analysis cookies enable us to analyze your activities on our website in order to improve and adapt the functionality of our website.

The marketing cookies can be set through our website by our advertising partners in order to create a profile of your interests and to show you relevant advertisements on other websites.

Google Analytics & Google Tag Manager

_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>

Google Ads & DoubleClick

test_cookie, _gcl_au