×
ข้ามไปยังเนื้อหาหลัก

การ Capture Packets บน IAG

ปรับปรุงเมื่อ

บทนำ

Capture Packets เป็นเครื่องมือ Diagnostic บน Sangfor IAG ที่ช่วยให้ผู้ดูแลระบบสามารถจับ Packet ที่ผ่านอุปกรณ์เพื่อวิเคราะห์ปัญหาเครือข่ายได้อย่างรวดเร็ว เครื่องมือนี้ใช้ TCPDUMP เป็น Engine หลักในการจับ Packet และสร้างไฟล์ .pcap ที่สามารถเปิดดูได้ด้วยโปรแกรม Wireshark, Sniffer หรือ Ethereal

ฟีเจอร์นี้มีประโยชน์ในการตรวจสอบปัญหาต่างๆ เช่น การเชื่อมต่อที่ล้มเหลว, Packet Loss, ปัญหาด้าน Routing, การตรวจสอบ Traffic ที่ผิดปกติ หรือการยืนยันว่า Policy ทำงานถูกต้อง

ข้อกำหนดเบื้องต้น

  • เข้าถึง Web Console ของ Sangfor IAG ด้วยสิทธิ์ Administrator
  • ทราบ Interface, IP Address หรือ Port ที่ต้องการ Capture
  • มีโปรแกรม Wireshark หรือ Sniffer สำหรับเปิดไฟล์ .pcap

ขั้นตอนการ Capture Packets

Capture Packets Options dialog with TCPDUMP settings

ส่วนที่ 1: ตั้งค่า Capture Options

  1. เข้าสู่ระบบ Web Console ของ Sangfor IAG
  2. ไปที่เมนู System > Diagnostics > Capture Packets
  3. คลิก Options เพื่อกำหนดค่าการ Capture
  4. ในหน้าต่าง Options กรอกข้อมูลดังนี้:

ส่วน Basics:

  • Max Packets: กำหนดจำนวน Packet สูงสุดที่ต้องการ Capture (ค่าเริ่มต้น: 4096)

ส่วน Advanced Mode (TCPDUMP):

  • Interface: เลือก Network Interface ที่ต้องการ Capture (เช่น eth0, eth1) สามารถเลือกหลาย Interface พร้อมกันได้
  • IP Address: ระบุ IP Address ที่ต้องการกรอง Packet (ไม่บังคับ)
  • Port: ระบุ Port Number ที่ต้องการกรอง (ไม่บังคับ)
  • Expression: ระบุ TCPDUMP Expression สำหรับกรอง Packet แบบกำหนดเอง (ใช้รูปแบบ TCPDUMP มาตรฐานของ Linux)

ส่วนที่ 2: เริ่มการ Capture

  1. คลิก Capture เพื่อเริ่มจับ Packet
  2. สถานะจะแสดง Status: Program is running. แสดงว่ากำลัง Capture อยู่
  3. คลิก Refresh เพื่อดูข้อมูลแบบ Real-time ระหว่างการ Capture

ส่วนที่ 3: หยุดการ Capture และ Download ไฟล์

  1. คลิก Stop เพื่อหยุดการ Capture
  2. ระบบจะสร้างไฟล์ .pcap (เช่น 2016-01-04-110819_tcpdump.pcap)
  3. สถานะจะเปลี่ยนเป็น Status: Stopped
  4. คลิก Download เพื่อ Download ไฟล์ .pcap ไปยังเครื่องคอมพิวเตอร์
  5. เปิดไฟล์ด้วย Wireshark หรือ Sniffer เพื่อวิเคราะห์ Packet

ส่วนที่ 4: จัดการไฟล์ Capture

  • คลิก Delete เพื่อลบไฟล์ Capture ที่ไม่ต้องการ
  • คลิก Refresh เพื่ออัปเดตรายการไฟล์

ตัวอย่างการใช้งาน TCPDUMP Expression

  • Capture เฉพาะ Traffic จาก IP 192.168.1.100: ระบุใน IP Address ว่า 192.168.1.100
  • Capture เฉพาะ Traffic HTTP (Port 80): ระบุใน Port ว่า 80
  • Capture เฉพาะ Traffic TCP: ระบุใน Expression ว่า tcp
  • Capture เฉพาะ Traffic ระหว่าง 2 IP: ระบุใน Expression ว่า host 192.168.1.100 and host 10.0.0.1
  • Capture เฉพาะ DNS Traffic: ระบุใน Expression ว่า port 53

การตรวจสอบ

  • ตรวจสอบว่าไฟล์ .pcap ถูก Download มาเก็บไว้ในเครื่องเรียบร้อย
  • เปิดไฟล์ด้วย Wireshark แล้วตรวจสอบว่ามี Packet ที่ตรงกับเงื่อนไขที่กำหนด
  • ตรวจสอบขนาดไฟล์ว่ามีข้อมูล (ไม่ใช่ไฟล์ว่าง)

หมายเหตุ

  • รองรับการ Capture บนหลาย Interface พร้อมกัน
  • รองรับการกำหนด Expression แบบกำหนดเองตามรูปแบบ TCPDUMP มาตรฐานของ Linux
  • ไฟล์ .pcap สามารถเปิดได้ด้วย Wireshark, Sniffer หรือ Ethereal
  • การ Capture Packet อาจส่งผลกระทบต่อ Performance ของอุปกรณ์เล็กน้อย แนะนำให้กำหนด Filter ให้เฉพาะเจาะจง และหยุด Capture เมื่อได้ข้อมูลเพียงพอแล้ว
  • ค่า Max Packets เริ่มต้นคือ 4096 สามารถปรับเพิ่มได้ตามความจำเป็น แต่อาจใช้พื้นที่จัดเก็บมากขึ้น

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น