为虚拟 WAN 站点到站点 VPN 配置数据包捕获:Azure 门户
本文将帮助你使用 Azure 门户为 Azure 虚拟 WAN 站点到站点 VPN 网关创建数据包捕获。 数据包捕获有助于将问题范围缩小到网络的特定部分。 它还可以帮助你确定问题是出在本地端还是 Azure 端。 缩小问题范围可以实现更有效地调试并采取补救措施。
虽然存在一些常用的数据包捕获工具,但使用这些工具实现相关的数据包捕获可能很麻烦,尤其是在高流量场景中。 主要区别在于虚拟 WAN 数据包捕获提供有筛选功能。 可以将虚拟 WAN 数据包捕获与常用数据包捕获工具一起使用。
注意
某些功能和设置正处于推出到 Azure 门户的过程中。
先决条件
验证环境中是否设置了以下配置:
- 虚拟 WAN 和虚拟中心。
- 虚拟中心中部署有站点到站点 VPN 网关。
- 还可以将 VPN 站点连接到你的站点到站点 VPN 网关。
创建存储帐户和容器
存储帐户用于存储数据包捕获结果。
生成 SAS URL
在停止数据包捕获时,必须提供所创建的存储容器的 SAS URL。 将通过此 URL 存储数据包捕获的结果。 为存储容器生成 SAS URL:
导航到新创建的容器。
在“设置”下,选择“共享访问令牌” 。
在“权限”选项卡上,确认“读取”和“写入”权限均已启用 。
在页面底部,单击“生成 SAS 令牌和 URL”按钮。
单击以复制生成到剪贴板的“Blob SAS URL”链接。
启动数据包捕获
在本部分中,你将在虚拟中心启动数据包捕获。
导航到虚拟中心。
单击“VPN (站点到站点)”。
在“VPN (站点到站点)”页面中,单击页面上方的“数据包捕获”按钮 。
在“数据包捕获”页中,单击“开始” 。
在“开始数据包捕获”页中,修改设置(如果需要)。 相关选项请参阅筛选器部分。
单击“开始”按钮以开始数据包捕获。 建议让数据包捕获至少运行 600 秒。 由于路径上多个组件之间的同步问题,如果数据包捕获时间较短,则可能无法提供完整的数据。
可选:指定筛选器
若要简化数据包捕获,可以在数据包捕获上指定筛选器,以侧重于特定行为。
参数 | 说明 | 默认值 | 可用值 |
---|---|---|---|
TracingFlags | 用于确定捕获的数据包类型的整数 | 11(ESP、IKE、OVPN) | ESP = 1 IKE = 2 OPVN = 8 |
TCPFlags | 用于确定捕获的 TCP 数据包类型的整数 | 0(无) | FIN = 1,SYN = 2,RST = 4,PSH = 8,ACK = 16,URG = 32,ECE = 64,CWR = 128 |
MaxPacketBufferSize | 捕获的数据包的最大大小(字节)。 如果数据包大于提供的值,会将数据包截断。 | 120 | 任意 |
MaxFileSize | 最大捕获文件大小(Mb)。 捕获的内容存储在一个循环缓冲区中,以便以先进先出 (FIFO) 方式处理溢出(先删除较旧的数据包) | 100 | 任意 |
SourceSubnets | 捕获指定 CIDR 范围的数据包。 指定为数组。 | [ ](所有 IPv4 地址) | IPV4 子网 |
DestinationSubnets | 捕获以指定 CIDR 范围为目标的数据包。 指定为数组。 | [ ](所有 IPv4 地址) | IPV4 子网 |
SourcePort | 捕获其源位于指定范围内的数据包。 指定为数组。 | [ ](所有端口) | 端口 |
DestinationPort | 捕获其目标位于指定范围内的数据包。 指定为数组。 | [ ](所有端口) | 端口 |
CaptureSingleDirectionTrafficOnly | 如果为 true,数据包捕获中只会显示双向流的一个方向。 这将捕获 IP 和端口的所有可能组合。 | 正确 | True、False |
协议 | 对应于 IANA 协议的整数的数组。 | [ ](所有协议) | 在此 iana.org 页面中列出的任何协议。 |
注意
对于 TracingFlags 和 TCPFlags,可以指定多个协议,方法是将要捕获的协议的数值相加(与逻辑 OR 相同)。 例如,如果只想捕获 ESP 和 OPVN 数据包,请将 TracingFlag 值指定为 8+1 = 9。
停止数据包捕获
本部分将帮助你停止或中止数据包捕获。
在虚拟中心页中,单击“数据包捕获”按钮,打开“数据包捕获”页,然后单击“停止” 。 随即将打开“停止数据包捕获”页。 此时,数据包捕获尚未停止。
在“停止数据包捕获”页中,将先前创建的存储容器的 SaS URL 粘贴到“输出 SAS URL”字段中。 这是数据包捕获文件的存储位置。
接下来,单击“停止”。 数据包捕获将停止,然后将创建 PCAP 文件并将其保存到存储帐户。 此过程可能需要几分钟才能完成。
中止数据包捕获
如果出于任何原因需要中止数据包捕获,请导航到虚拟中心,单击“数据包捕获”按钮,打开“数据包捕获”页,然后单击“中止” 。 数据包捕获中止后,不会生成或存储 PCAP 文件。
查看数据包捕获
本部分介绍如何下载要查看的数据包捕获 PCAP 文件。
在 Azure 门户中,导航到所创建的存储帐户。
单击“容器”查看存储帐户的容器。
单击所创建的容器。
浏览文件夹结构以找到你的 PCAP 文件。 文件夹名称和结构基于日期和 UTC 时间。 找到 PCAP 文件后,单击“下载”。
数据包捕获数据文件以 PCAP 格式生成。 可以使用 Wireshark 或其他常用应用程序打开 PCAP 文件。
重要注意事项
- 运行数据包捕获会影响性能。 不需要数据包捕获时,请记得将其停止。
- 建议的最短数据包捕获持续时间为 600 秒。 由于路径上多个组件之间的同步问题,较短的数据包捕获可能无法提供完整的数据。
- 数据包捕获数据文件以 PCAP 格式生成。 使用 Wireshark 或其他常用应用程序打开 PCAP 文件。
- 如果未正确配置 SASurl 参数,跟踪可能会失败并出现存储错误。
后续步骤
若要详细了解 Azure 虚拟 WAN,请参阅常见问题解答。