×
ข้ามไปยังเนื้อหาหลัก

การใช้ Packet Capture บน NGAF (Sangfor Network Secure)

ปรับปรุงเมื่อ

Packet Capture เป็นเครื่องมือบน Sangfor NGAF / Network Secure ที่ใช้เก็บ Packet ที่วิ่งผ่านอุปกรณ์เป็นไฟล์ .pcap เพื่อนำไปวิเคราะห์ด้วย Wireshark หรือเครื่องมืออื่นภายนอก เหมาะสำหรับเป็นเครื่องมือเสริมในการ Troubleshoot ปัญหา Network ที่ต้องดู Packet ดิบในรายละเอียด

การเข้าใช้งาน

ไปที่เมนู System > Troubleshooting > Tools > Packet Capture

ขั้นตอนการใช้งาน

Step 1. กด Create Capture Task แล้วเลือกโหมด Rolling

ใน Settings Dialog กำหนดค่าต่อไปนี้:

  • Max Files: จำนวนไฟล์สูงสุดที่จะเก็บ
  • Packets per File: จำนวน Packet ต่อไฟล์ (เช่น 10000)
  • Mode: Non-promiscuous (เก็บเฉพาะ Packet ที่ส่งถึง Interface) หรือ Promiscuous (เก็บทุก Packet ที่เห็นบน Interface)
  • Timeout: ระยะเวลาที่จะ Capture (ตั้งได้ตั้งแต่ 1 วินาทีถึง 1 วัน)
  • Interfaces: กด Add เพื่อเพิ่ม Interface ที่ต้องการ Capture พร้อมกำหนด Filter Expression
หน้า Packet Capture Settings dialog บน NGAF แสดงการตั้งค่า Max Files, Packets per File, Mode, Timeout และ Interfaces พร้อม Filter Expression

Filter Expression ใช้ Syntax แบบ tcpdump เช่น:

  • host 192.168.1.10 — Capture เฉพาะ Traffic ที่เกี่ยวข้องกับ IP 192.168.1.10
  • host 192.168.1.10 and port 80 — Capture เฉพาะ Traffic ของ IP ดังกล่าวที่ Port 80
  • port 443 — Capture เฉพาะ Traffic Port 443

Step 2. กด Capture — โปรแกรม Capture จะเริ่มทำงาน และ Task จะปรากฏใน Capture List

หน้า Packet Capture แสดง Task ที่กำลังทำงาน (Rolling mode) พร้อม Interface, Filter Expression, Progress และ Size

Step 3. สร้าง Traffic ที่ต้องการตรวจสอบ เช่น Request เว็บไซต์ ทดสอบ Connection หรือทำซ้ำขั้นตอนที่เกิดปัญหา

Step 4. เมื่อ Capture ได้ Traffic เพียงพอ กด Stop แล้วกด Download เพื่อ Download ไฟล์ .pcap มาที่เครื่อง PC

หน้า Packet Capture แสดง Task ที่ Capture เสร็จแล้ว (Completed) พร้อมปุ่ม Download และ Recapture

Step 5. เปิดไฟล์ .pcap ด้วย Wireshark, Sniffer หรือ Ethereal เพื่อดูรายละเอียด Packet

 

โหมด Rolling vs Non-Rolling

  • Rolling: Capture แบบหมุนเวียน — เมื่อครบจำนวน Max Files จะลบไฟล์เก่าสุดทิ้ง เหมาะกับการ Capture ระยะยาวเพื่อรอ Event ที่ไม่แน่นอน
  • Non-Rolling: Capture จนครบจำนวนที่กำหนดแล้วหยุด เหมาะกับการ Capture เพื่อทดสอบกรณีที่สามารถ Reproduce ได้

หมายเหตุ

  • การกำหนด Filter Expression ให้เฉพาะเจาะจง (ระบุ Host / Port) จะช่วยลดขนาดไฟล์และลด Performance Impact ต่ออุปกรณ์
  • โหมด Promiscuous อาจใช้ Resource สูงกว่าโหมด Non-promiscuous
  • Packet Capture เก็บ Packet ดิบเป็นไฟล์ .pcap ไม่ได้แสดง Processing Flow ภายใน Firewall หากต้องการดูว่า Packet ถูก Process หรือ Drop ที่ Module ใด ให้ใช้ Packet Tracing แทน
  • เมื่อใช้งานเสร็จแล้วควรลบ Task ออกเพื่อไม่ให้กิน Resource ของอุปกรณ์

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น