Csomagrögzítés konfigurálása VPN-átjárókhoz
Csatlakozás képességgel és teljesítménnyel kapcsolatos problémák gyakran összetettek. A probléma okának szűkítése jelentős időt és erőfeszítést igényelhet. A csomagrögzítés segíthet a probléma hatókörének a hálózat bizonyos részeire való szűkítésében. Segítségével megállapíthatja, hogy a probléma a hálózat ügyféloldalán, a hálózat Azure-oldalán vagy valahol a kettő között van-e. A probléma szűkítése után hatékonyabb a hibakeresés és a javítási műveletek végrehajtása.
Vannak általánosan elérhető csomagrögzítési eszközök. Ezekkel az eszközökkel nehézkes lehet a megfelelő csomagrögzítések beszerzése, különösen nagy mennyiségű forgalom esetén. Az Azure VPN Gateway-csomagrögzítés által biztosított szűrési képességek jelentős különbséget jelentenek. A VPN Gateway csomagrögzítését a gyakran elérhető csomagrögzítési eszközökkel együtt használhatja.
Tudnivalók a VPN Gateway csomagrögzítéséről
A VPN Gateway csomagrögzítését az átjárón vagy egy adott kapcsolaton futtathatja az igényeitől függően. Egyszerre több alagúton is futtathat csomagrögzítést. Rögzítheti az egyirányú vagy kétirányú forgalmat, az IKE- és ESP-forgalmat, valamint a belső csomagokat, valamint a VPN-átjárókra való szűrést.
A nagy mennyiségű forgalommal kapcsolatos problémák elkülönítésekor hasznos ötszintű szűrőt (forrásalhálózat, célalhálózat, forrásport, célport, protokoll) és TCP-jelzőket (SYN, ACK, FIN, URG, PSH, RST) használni.
A JSON és a JSON-séma alábbi példái az egyes tulajdonságok magyarázatát nyújtják. Az alábbiakban néhány korlátozást érdemes szem előtt tartani a csomagrögzítések futtatásakor:
- Az itt látható sémában a szűrő egy tömb, de jelenleg egyszerre csak egy szűrő használható.
- Egyszerre nem futtathat több átjárószintű csomagrögzítést.
- Egyszerre nem futtathat több csomagrögzítést egyetlen kapcsolaton. Egyszerre több csomagrögzítést is futtathat különböző kapcsolatokon.
- Átjárónként legfeljebb öt csomagrögzítés futtatható párhuzamosan. Ezek a csomagrögzítések átjárószintű csomagrögzítések és kapcsolatonkénti csomagrögzítések kombinációja lehetnek.
- A MaxPacketBufferSize mértékegysége bájt, a MaxFileSize pedig megabájt
Feljegyzés
A CaptureSingleDirectionTrafficOnly beállítást állítsa hamisra, ha belső és külső csomagokat is rögzíteni szeretne.
Példa JSON-ra
{
"TracingFlags": 11,
"MaxPacketBufferSize": 120,
"MaxFileSize": 200,
"Filters": [
{
"SourceSubnets": [
"10.1.0.0/24"
],
"DestinationSubnets": [
"10.1.1.0/24"
],
"SourcePort": [
500
],
"DestinationPort": [
4500
],
"Protocol": [
6
],
"TcpFlags": 16,
"CaptureSingleDirectionTrafficOnly": true
}
]
}
JSON-séma
{
"type": "object",
"title": "The Root Schema",
"description": "The root schema input JSON filter for packet capture",
"default": {},
"additionalProperties": true,
"required": [
"TracingFlags",
"MaxPacketBufferSize",
"MaxFileSize",
"Filters"
],
"properties": {
"TracingFlags": {
"$id": "#/properties/TracingFlags",
"type": "integer",
"title": "The Tracingflags Schema",
"description": "Tracing flags that customer can pass to define which packets are to be captured. Supported values are CaptureESP = 1, CaptureIKE = 2, CaptureOVPN = 8. The final value is OR of the bits.",
"default": 11,
"examples": [
11
]
},
"MaxPacketBufferSize": {
"$id": "#/properties/MaxPacketBufferSize",
"type": "integer",
"title": "The Maxpacketbuffersize Schema",
"description": "Maximum buffer size of each packet. The capture will only contain contents of each packet truncated to this size.",
"default": 120,
"examples": [
120
]
},
"MaxFileSize": {
"$id": "#/properties/MaxFileSize",
"type": "integer",
"title": "The Maxfilesize Schema",
"description": "Maximum file size of the packet capture file. It is a circular buffer.",
"default": 100,
"examples": [
100
]
},
"Filters": {
"$id": "#/properties/Filters",
"type": "array",
"title": "The Filters Schema",
"description": "An array of filters that can be passed to filter inner ESP traffic.",
"default": [],
"examples": [
[
{
"Protocol": [
6
],
"CaptureSingleDirectionTrafficOnly": true,
"SourcePort": [
500
],
"DestinationPort": [
4500
],
"TcpFlags": 16,
"SourceSubnets": [
"10.1.0.0/24"
],
"DestinationSubnets": [
"10.1.1.0/24"
]
}
]
],
"additionalItems": true,
"items": {
"$id": "#/properties/Filters/items",
"type": "object",
"title": "The Items Schema",
"description": "An explanation about the purpose of this instance.",
"default": {},
"examples": [
{
"SourcePort": [
500
],
"DestinationPort": [
4500
],
"TcpFlags": 16,
"SourceSubnets": [
"10.1.0.0/24"
],
"DestinationSubnets": [
"10.1.1.0/24"
],
"Protocol": [
6
],
"CaptureSingleDirectionTrafficOnly": true
}
],
"additionalProperties": true,
"required": [
"SourceSubnets",
"DestinationSubnets",
"SourcePort",
"DestinationPort",
"Protocol",
"TcpFlags",
"CaptureSingleDirectionTrafficOnly"
],
"properties": {
"SourceSubnets": {
"$id": "#/properties/Filters/items/properties/SourceSubnets",
"type": "array",
"title": "The Sourcesubnets Schema",
"description": "An array of source subnets that need to match the Source IP address of a packet. Packet can match any one value in the array of inputs.",
"default": [],
"examples": [
[
"10.1.0.0/24"
]
],
"additionalItems": true,
"items": {
"$id": "#/properties/Filters/items/properties/SourceSubnets/items",
"type": "string",
"title": "The Items Schema",
"description": "An explanation about the purpose of this instance.",
"default": "",
"examples": [
"10.1.0.0/24"
]
}
},
"DestinationSubnets": {
"$id": "#/properties/Filters/items/properties/DestinationSubnets",
"type": "array",
"title": "The Destinationsubnets Schema",
"description": "An array of destination subnets that need to match the Destination IP address of a packet. Packet can match any one value in the array of inputs.",
"default": [],
"examples": [
[
"10.1.1.0/24"
]
],
"additionalItems": true,
"items": {
"$id": "#/properties/Filters/items/properties/DestinationSubnets/items",
"type": "string",
"title": "The Items Schema",
"description": "An explanation about the purpose of this instance.",
"default": "",
"examples": [
"10.1.1.0/24"
]
}
},
"SourcePort": {
"$id": "#/properties/Filters/items/properties/SourcePort",
"type": "array",
"title": "The Sourceport Schema",
"description": "An array of source ports that need to match the Source port of a packet. Packet can match any one value in the array of inputs.",
"default": [],
"examples": [
[
500
]
],
"additionalItems": true,
"items": {
"$id": "#/properties/Filters/items/properties/SourcePort/items",
"type": "integer",
"title": "The Items Schema",
"description": "An explanation about the purpose of this instance.",
"default": 0,
"examples": [
500
]
}
},
"DestinationPort": {
"$id": "#/properties/Filters/items/properties/DestinationPort",
"type": "array",
"title": "The Destinationport Schema",
"description": "An array of destination ports that need to match the Destination port of a packet. Packet can match any one value in the array of inputs.",
"default": [],
"examples": [
[
4500
]
],
"additionalItems": true,
"items": {
"$id": "#/properties/Filters/items/properties/DestinationPort/items",
"type": "integer",
"title": "The Items Schema",
"description": "An explanation about the purpose of this instance.",
"default": 0,
"examples": [
4500
]
}
},
"Protocol": {
"$id": "#/properties/Filters/items/properties/Protocol",
"type": "array",
"title": "The Protocol Schema",
"description": "An array of protocols that need to match the Protocol of a packet. Packet can match any one value in the array of inputs.",
"default": [],
"examples": [
[
6
]
],
"additionalItems": true,
"items": {
"$id": "#/properties/Filters/items/properties/Protocol/items",
"type": "integer",
"title": "The Items Schema",
"description": "An explanation about the purpose of this instance.",
"default": 0,
"examples": [
6
]
}
},
"TcpFlags": {
"$id": "#/properties/Filters/items/properties/TcpFlags",
"type": "integer",
"title": "The Tcpflags Schema",
"description": "A list of TCP flags. The TCP flags set on the packet must match any flag in the list of flags provided. FIN = 0x01,SYN = 0x02,RST = 0x04,PSH = 0x08,ACK = 0x10,URG = 0x20,ECE = 0x40,CWR = 0x80. An OR of flags can be provided.",
"default": 0,
"examples": [
16
]
},
"CaptureSingleDirectionTrafficOnly": {
"$id": "#/properties/Filters/items/properties/CaptureSingleDirectionTrafficOnly",
"type": "boolean",
"title": "The Capturesingledirectiontrafficonly Schema",
"description": "A flags which when set captures reverse traffic also.",
"default": false,
"examples": [
true
]
}
}
}
}
}
}
Fő szempontok
- A csomagrögzítés futtatása befolyásolhatja a teljesítményt. Ne felejtse el leállítani a csomagrögzítést, ha nincs rá szüksége.
- A javasolt minimális csomagrögzítési időtartam 600 másodperc. Az útvonal több összetevője közötti szinkronizálási problémák miatt előfordulhat, hogy a rövidebb csomagrögzítések nem biztosítanak teljes adatokat.
- A csomagrögzítési adatfájlok PCAP formátumban jönnek létre. PcAP-fájlok megnyitásához használja a Wiresharkot vagy más gyakran elérhető alkalmazásokat.
- A csomagrögzítések nem támogatottak a szabályzatalapú átjárókon.
- A csomagrögzítési adatfájlok maximális fájlmérete 500 MB.
- Ha a
SASurlparaméter nincs megfelelően konfigurálva, előfordulhat, hogy a nyomkövetés storage-hibákkal meghiúsul. Példák a paraméter helyes létrehozásáraSASurl: Stop-AzVirtualNetworkGatewayPacketCapture. - Ha felhasználó által delegált SAS-t konfigurál, győződjön meg arról, hogy a felhasználói fiók megfelelő RBAC-engedélyeket kap a tárfiókhoz, például a Storage Blob-adattulajdonoshoz.
Csomagrögzítés – portál
Ez a szakasz segít elindítani és leállítani a csomagrögzítést az Azure Portalon.
Csomagrögzítés indítása – portál
A csomagrögzítést az Azure Portalon állíthatja be.
Nyissa meg a VPN-átjárót az Azure Portalon.
A bal oldalon válassza a VPN Gateway-csomagrögzítés lehetőséget a VPN Gateway Csomagrögzítés lapjának megnyitásához.
Válassza a Csomagrögzítés indítása lehetőséget.
A Csomagrögzítés indítása lapon végezze el a szükséges módosításokat. Ne válassza az "Egyirányú forgalom rögzítése csak" lehetőséget, ha belső és külső csomagokat is rögzíteni szeretne.
Miután konfigurálta a beállításokat, kattintson a Csomagrögzítés indítása gombra.
Csomagrögzítés leállítása – portál
A csomagrögzítés elvégzéséhez meg kell adnia egy érvényes SAS (vagy közös hozzáférésű jogosultságkód) URL-címet olvasási/írási hozzáféréssel. Ha egy csomagrögzítés leáll, a rendszer a csomagrögzítés kimenetét az SAS URL-cím által hivatkozott tárolóba írja.
Az SAS URL-címének lekéréséhez lépjen a tárfiókba.
Lépjen a használni kívánt tárolóra, és kattintson a jobb gombbal a legördülő lista megjelenítéséhez. Válassza a Sas létrehozása lehetőséget a Sas létrehozása lap megnyitásához.
A Sas létrehozása lapon konfigurálja a beállításokat. Győződjön meg arról, hogy olvasási és írási hozzáférést adott.
Kattintson az SAS-jogkivonat és AZ URL-cím létrehozása elemre.
A rendszer létrehozza az SAS-jogkivonatot és az SAS URL-címet, és azonnal megjelenik a gomb alatt. Másolja ki a Blob SAS URL-címét.
Lépjen vissza a VPN Gateway Csomagrögzítés lapjára az Azure Portalon, és kattintson a Csomagrögzítés leállítása gombra.
Illessze be a SAS URL-címet (az előző lépésből) a Kimeneti SAS URL-cím szövegmezőbe, és kattintson a Csomagrögzítés leállítása gombra.
A csomagrögzítési (pcap) fájl a megadott fiókban lesz tárolva.
Feljegyzés
Kerülje az Azure által létrehozott tárolók használatát, például $logs. Az első $ tárolók általában belső tárolók, és csak az őket létrehozó szolgáltatás használhatja őket. Az Azure Storage-fiók például $logs tárfiókokkal kapcsolatos naplók írására használja.
Csomagrögzítés – PowerShell
Az alábbi példák a csomagrögzítések indítását és leállítását szolgáló PowerShell-parancsokat mutatják be. További információ a paraméterbeállításokról: Start-AzVirtualnetworkGatewayPacketCapture.
Előfeltételek
A csomagrögzítési adatokat egy tárfiókba kell bejelentkeznie az előfizetésében. Lásd: tárfiók létrehozása.
A csomagrögzítés leállításához létre kell hoznia a
SASUrltárfiókot. Lásd: felhasználói delegálási SAS létrehozása.
Csomagrögzítés indítása VPN-átjáróhoz
Start-AzVirtualnetworkGatewayPacketCapture -ResourceGroupName "YourResourceGroupName" -Name "YourVPNGatewayName"
A választható paraméterrel -FilterData szűrőt alkalmazhat.
VPN-átjáró csomagrögzítésének leállítása
Stop-AzVirtualNetworkGatewayPacketCapture -ResourceGroupName "YourResourceGroupName" -Name "YourVPNGatewayName" -SasUrl "YourSASURL"
További információ a paraméterbeállításokról: Stop-AzVirtualNetworkGatewayPacketCapture.
Csomagrögzítés indítása VPN-átjárókapcsolathoz
Start-AzVirtualNetworkGatewayConnectionPacketCapture -ResourceGroupName "YourResourceGroupName" -Name "YourVPNGatewayConnectionName"
A választható paraméterrel -FilterData szűrőt alkalmazhat.
Csomagrögzítés leállítása VPN-átjárókapcsolaton
Stop-AzVirtualNetworkGatewayConnectionPacketCapture -ResourceGroupName "YourResourceGroupName" -Name "YourVPNGatewayConnectionName" -SasUrl "YourSASURL"
További információ a paraméterbeállításokról: Stop-AzVirtualNetworkGateway Csatlakozás ionPacketCapture.
Következő lépések
További információ a VPN Gatewayről: Mi a VPN Gateway?