Packet Tracing เป็นเครื่องมือ Diagnosis บน Sangfor NGAF / Network Secure ที่ใช้ตรวจสอบ Packet Processing Flow และระบุสาเหตุที่ Packet ถูก Drop โดยจะวิเคราะห์ Packet จริงที่วิ่งผ่านอุปกรณ์ในช่วงเวลาที่กำหนด แล้วแสดงว่า Packet ผ่าน Module ใดของ Firewall บ้าง และถูก Discard ที่ขั้นตอนไหนพร้อมเหตุผล
เมื่อใดควรใช้ Packet Tracing
- เมื่อต้องการทราบว่า Packet ที่วิ่งผ่าน Firewall ถูก Forward หรือ Discard และถูก Discard ที่ Module ไหน (เช่น Security Policy, IPS, Application Control)
- เมื่อ Traffic ของ User / Service บางอย่างไม่ทำงาน และต้องการดู Processing Flow ที่ Firewall ทำกับ Packet นั้น
- ใช้ Diagnose ปัญหาในระดับ Packet โดยไม่ต้อง Download ไฟล์ .pcap มาเปิดด้วย Wireshark
การเข้าใช้งาน
ไปที่เมนู Monitor > Diagnosis > Packet Tracing
กำหนดเงื่อนไขการวิเคราะห์
กรอก Filter ตามที่ต้องการ จากนั้นกด Analyze:
- IP Address Type: All / IPv4 / IPv6
- Src IP: IP ต้นทาง (Optional)
- Src Port: Port ต้นทาง (Optional)
- Dst IP: IP ปลายทาง (Optional)
- Dst Port: Port ปลายทาง (Optional)
- Protocol: All หรือเลือก Protocol ที่ต้องการ
- Inbound Interface: Interface ขาเข้าที่ต้องการ Trace
- Analysis Duration: ระยะเวลาที่จะเก็บ Packet เพื่อวิเคราะห์
- Packets Captured: จำนวน Flow และจำนวน Packet ต่อ Flow ที่จะเก็บ (เช่น 10 Flows × 10 Packets/Flow)
หากเว้น Field ใดไว้ จะถือว่า Match ทั้งหมดสำหรับ Field นั้น
การอ่านผลลัพธ์
หลังจากกด Analyze ระบบจะแสดง:
- Flows panel (ด้านซ้าย): รายการ Flow ที่ตรงกับเงื่อนไข แต่ละ Flow แสดง Src IP:Port → Dst IP:Port และ Protocol หาก Flow ใดมี Packet ที่ถูก Discard จะมี ไอคอนสีแดงพร้อมจำนวน Packet ที่ Discard กำกับไว้ที่ Flow นั้น
- Packet list (ด้านขวา): รายการ Packet ภายใน Flow ที่เลือก พร้อม Tab กรอง All Packets / Forwarded / Discarded
- แต่ละแถวแสดง: No., Status (Forwarded สีเขียว / Discarded สีแดง), Inbound Interface, Outbound Interface, Time Occurred
- ปุ่ม Re-analyze, Export, Clear Analysis Results สำหรับจัดการผลลัพธ์
ดู Packet Processing Flow
คลิก View Packet Processing Flow ที่คอลัมน์ Operation ของ Packet ใด ๆ เพื่อดูว่า Packet นั้นถูก Process โดย Module ใดของ Firewall บ้าง โดย Module หลัก ๆ ที่ปรากฏใน Flow ได้แก่:
- Check Inbound Interface
- Packet integrity check
- Special packet processing
- Session Details / Session update
- TCP packet processing
- Software-layer distribution
- Application identification (service security processing)
- IPS scan
- Application control policy matching (service security processing)
- TCP proxy
- Security Policy
- Send Packet
สำหรับ Packet ที่ถูก Discard จะแสดง Module ที่ทำการ Discard พร้อมเหตุผล (Possible discard reasons) เช่น ชื่อ Policy, Attack Type, Rule ID, Rule Name ทำให้สามารถระบุได้ทันทีว่า Packet ถูก Block ที่ Module ใดและด้วยกฎใด
หมายเหตุ
- Packet Tracing วิเคราะห์เฉพาะ Packet ที่ Match เงื่อนไขในช่วง Analysis Duration เท่านั้น หากไม่มี Traffic เข้ามาในช่วงเวลาดังกล่าวจะไม่มี Flow ปรากฏ
- การกำหนด Src IP / Dst IP / Port ให้ชัดเจน จะช่วยลดจำนวน Flow ที่ไม่เกี่ยวข้องและทำให้หาปัญหาเจอเร็วขึ้น
- Packet Tracing ต่างจาก Packet Capture ตรงที่ Packet Tracing เน้นแสดง Processing Flow ภายใน Firewall และเหตุผลของการ Discard ส่วน Packet Capture จะเก็บ Packet ดิบเป็นไฟล์ .pcap เพื่อนำไปวิเคราะห์ภายนอก
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น