Поделиться через

Настройка сбора пакетов для VPN-подключения типа "сеть — сеть" Виртуальной глобальной сети с помощью портала

  • Статья

В этой статье описано создание сбора пакетов для VPN-шлюза типа "сеть — сеть" Виртуальной глобальной сети Azure с помощью портала Azure. Сбор пакетов помогает ограничить область проблемы до определенных частей сети. Это поможет определить, находится ли проблема на локальной стороне или в стороне Azure. Сужая проблему, вы можете эффективней отлаживать систему и принимать меры по исправлению.

Несмотря на то что существуют некоторые общедоступные инструменты сбора пакетов, получение соответствующих пакетов с помощью этих инструментов может быть обременительным, особенно в сценариях с большим объемом трафика. Возможности фильтрации, которые для сбора пакетов обеспечивает Виртуальная глобальная сеть, играют при этом важную роль. Сбор пакетов Виртуальной глобальной сети можно использовать вместе с общедоступными средствами сбора пакетов.

Примечание.

Функции и параметры находятся в процессе развертывания в регионах на портале Azure.

Необходимые компоненты

Убедитесь, что в вашей среде уже настроена указанная ниже конфигурация:

  • Виртуальная глобальная сеть и виртуальный концентратор.
  • VPN-шлюз типа "сеть — сеть", развернутый в виртуальном концентраторе.
  • Вы также можете подключать VPN-сайты к VPN-шлюзу типа "сеть — сеть".

Создание учетной записи хранения и контейнера

Учетная запись хранения используется для хранения результатов сбора пакетов.

  1. Создание учетной записи хранения. Пошаговые инструкции см. в статье Создание учетной записи хранения.
  2. Создайте объект контейнера в учетной записи хранения. Пошаговые инструкции см. в разделе Создание контейнера.

Создание URL-адреса SAS

При остановке сбора пакетов необходимо указать URL-адрес SAS созданного вами контейнера хранилища. Результаты сбора пакетов будут храниться по этому URL-адресу. Чтобы создать URL-адрес SAS для контейнера хранилища, выполните следующие действия:

  1. Перейдите к только что созданному контейнеру.

  2. В разделе Параметры выберите Токены общего доступа.

  3. На вкладке Разрешения проверьте, включены ли разрешения на чтение и запись.

  4. Внизу страницы нажмите кнопку Создать маркер SAS и URL-адрес.

  5. Щелкните, созданную ссылку URL-адрес SAS BLOB-объекта, чтобы скопировать ее в буфер обмена.

    Shared access tokens page with both Read and Write selected.

Запуск записи пакета

В этом разделе вы запустите сбор пакетов в виртуальном концентраторе.

  1. Перейдите к виртуальному концентратору.

  2. Выберите VPN (сеть — сеть).

  3. В верхней части страницы VPN (сеть — сеть) нажмите кнопку Сбор пакетов.

    Graphic showing the Start Capture page.

  4. На странице Сбор пакетов щелкните Запуск.

  5. На странице Запуск сбора пакетов при необходимости измените параметры. Параметры см. в разделе Фильтры.

  6. Нажмите кнопку Запуск, чтобы начать сбор пакетов. Рекомендуется запускать сбор пакетов в течение не менее чем 600 секунд. Из-за проблем синхронизации между несколькими компонентами в пути, более короткий сбор пакетов может не предоставлять полные данные.

Необязательно: указание фильтров

Чтобы упростить захват пакетов, можно указать фильтры для записи пакетов, чтобы сосредоточиться на конкретных поведениях.

Параметр Описание Значения по умолчанию Доступные значения
TracingFlags Целое число, определяющее типы собираемых пакетов. 11 (ESP, IKE, OVPN) ESP = 1 IKE = 2 OPVN = 8
TCPFlags Целое число, определяющее, какие типы TCP-пакетов записываются 0 (нет) FIN=1, SYN=2, RST=4, PSH=8, ACK=16,URG=32, ECE=64, CWR=128
MaxPacketBufferSize Максимальный размер собираемого пакета в байтах. Если размер пакета больше указанного значения, пакет усекается. 120 Любое
Maxfilesize Максимальный размер файла собранных данных в МБ. Собранные данные хранятся в кольцевом буфере, работающем в режиме FIFO (сначала удаляются старые пакеты) во избежание переполнения. 100 Любое
SourceSubnets Собираются пакеты из указанных диапазонов CIDR. Задается как массив. [] (все IPv4-адреса) Подсеть IPV4
DestinationSubnets Собираются пакеты, направляемые в указанные диапазоны CIDR. Задается как массив. [] (все IPv4-адреса) Подсеть IPV4
SourcePort Собираются пакеты с источником в указанных диапазонах. Задается как массив. [ ] (все порты) Порт
Порт назначения Собираются пакеты с назначением в указанных диапазонах. Задается как массив. [ ] (все порты) Порт
CaptureSingleDirectionTrafficOnly Если значение равно true, собираются пакеты только одного направления двунаправленного потока. Сбор выполняется для всех возможных сочетаний IP-адресов и портов. Истина True, False
Протокол Массив целых чисел, соответствующих протоколам IANA. [ ] (все протоколы) Все протоколы, перечисленные на странице iana.org.

Примечание.

Для трассировкиFlags и TCPFlags можно указать несколько протоколов, добавив числовые значения для протоколов, которые требуется записать (так же, как и логический ИЛИ). Например, если нужно собирать только пакеты ESP и OPVN, укажите значение TracingFlag, равное 8+1=9.

Прекращение записи пакета

В этом разделе описана остановка или прерывание сбора пакетов.

  1. На странице виртуального концентратора нажмите кнопку Сбор пакетов, чтобы открыть страницу Сбор пакетов, а затем нажмите щелкните Остановить. Откроется страница Остановка сбора пакетов. На этом этапе запись пакетов еще не остановлена. Graphic showing the Stop button.

  2. На странице Остановка сбора пакетов вставьте URL-адрес SAS для созданного ранее контейнера хранилища в поле Подписанный URL-адрес для выходных данных. Это расположение, в котором будут храниться файлы сбора пакетов.

    Graphic showing where to paste the Output Sas Url.

  3. Затем щелкните Остановить. Сбор пакетов будет остановлен, а в учетной записи хранения будет создан и сохранен PCAP-файл. Этот этап может занять несколько минут.

Прерывание сбора пакетов

Если по какой-либо причине вам необходимо прервать сбор пакетов, перейдите к виртуальному концентратору, нажмите кнопку Сбор пакетов, чтобы открыть страницу Сбор пакетов, а затем щелкните Прервать. PCAP-файл не будет создан или сохранен при прерывании сбора пакетов.

Просмотр сбора пакетов

В этом разделе описано скачивание PCAP-файла сбора пакетов для просмотра.

  1. На портале Azure перейдите к созданной учетной записи хранения.

  2. Щелкните Контейнеры, чтобы просмотреть контейнеры для учетной записи хранения.

  3. Щелкните созданный контейнер.

  4. Перейдите по структуре папок, чтобы найти PCAP-файл. Имя папки и структура основаны на дате и времени в формате UTC. Найдя PCAP-файл, щелкните Скачать.

    Graphic showing how to download file.

  5. Файлы данных сбора пакетов создаются в формате PCAP. Открыть файлы PCAP можно в Wireshark или другом общедоступном приложении.

Основные рекомендации

  • Выполнение сбора пакетов может повлиять на производительность. Не забудьте отключить сбор пакетов, если он не нужен.
  • Рекомендуемая минимальная длительность сбора пакетов составляет 600 секунд. Из-за проблем синхронизации между несколькими компонентами пути при коротких операциях сбора пакетов могут предоставляться неполные данные.
  • Файлы данных сбора пакетов создаются в формате PCAP. Используйте Wireshark или другие доступные приложения для открытия файлов PCAP.
  • Если параметр SASurl настроен неправильно, трассировка может завершиться ошибками хранения.

Следующие шаги

Дополнительные сведения о Виртуальной глобальной сети Azure см. на странице часто задаваемых вопросов.