ソケットでトラフィックをキャプチャする方法

概要

Cato Networksは、ソケットWebUIに組み込まれたPCAP(Packet Capture)ユーティリティを提供しており、ログイン資格情報を持つ人なら誰でもネットワーク問題を診断できます。

ソケットWebUIの詳細については、ソケットWebUIへのアクセス を参照してください。

ソケットWebUIを使用してPCAPを取得する

このセクションでは、ソケットPCAPユーティリティを使用してネットワークの問題を分析する方法をステップバイステップで説明します。

注意: ソケットのLANに直接接続されている場合、ソケットの管理IPを使用して内部的にWebUIにアクセスすることもできます。

  1. Cato管理アプリケーションからソケットWebUIにログインします。

  2. PCAPを開始します。

  3. 問題を再現します。

  4. PCAPファイルをダウンロードします。

  5. ファイル内の結果を分析します。

Cato管理アプリケーションからのソケットWebUIへのログイン

編集者権限を持つ管理者は、Cato管理アプリケーションからソケットWebUIに自動的にログインすることができます。

Cato管理アプリケーションからソケットWebUIへのログインするには:

  1. ナビゲーションメニューから ネットワーク > サイト をクリックし、サイトを選択します。

  2. ナビゲーションメニューから、サイト設定 > ソケットをクリックします。

  3. ソケットのアクションメニューから、ソケットWebUIを選択します。

ブラウザが新しいタブを開き、ソケットWebUIにログインします。

image.png

ウィンドウが10分以上アイドル状態になると、ソケットWebUIは自動的にログアウトします。

PCAPの実行 (ソケット v17.0以降)

ソケットバージョン17.0からは、ソケットWebUI内のトラフィックキャプチャタブを使用できます。

image.png

トラフィックキャプチャタブでは、複数のアクティブインターフェース/トンネル/SDWANトンネルで同時にトラフィックを高度にキャプチャすることができます。

各インターフェースに関連するオプションを選択し、開始ボタンを押すだけでパケットキャプチャを開始できます。 パケットキャプチャの最大時間枠は60分で、そうでない場合、キャプチャはタイムアウトし、ファイルをダウンロードできません。

高度な設定のトラフィックキャプチャには以下のオプションが含まれます: 

  • サイド1サブネットとポート - IPとポートに基づくフィルタリング。

  • サイド2サブネットとポート - IPとポートに基づくフィルタリング。

    • 注: サイド1とサイド2の両方が送信元または宛先になります。 必要に応じて、パケット構文ルール を使用して、正しいオペレーターを使用した srcip/dstip フィールドで送信元と宛先のIPに対してフィルタリングします。 構文の詳細は以下参照。

  • IPプロトコル - プロトコル特有のパケットをフィルタリングします:

    • '*' - IPプロトコルのフィルタリングなし

    • ICMP

    • TCP

    • UDP

  • MACアドレス - MACアドレスに基づくフィルタリング。

  • パケット構文ルール 

    • 設定可能なスマート構文ルールに基づいてパケットをフィルタリングできます。

    • 可能な項目を表示 このリンクは、適用可能なオペレーターを含むすべての可能なフ​ィ​ー​ル​ドを含むJSONファイルを開きます。 

      ファイルはこの記事に添付されており、参考のためにダウンロードできます。

    • 例を表示 は、構文ルールを使用する方法のクリック可能な例です。

    注: パケット構文はWiresharkのキャプチャフィルタ構文に基づいていません。

  • パケットサイズの制限(バイト) - 記録するパケットサイズに制限を設けるためのフィルタ。

  • ファイルサフィックス - ファイルの末尾にサフィックスを追加できます。

    • サフィックスを追加する場合、ファイル命名は次の構造で行われます:{site_name}.{account_name}.{time}.{suffix}.pcapng

パケットの記録を開始した後、停止ダウンロード、またはダウンロード&停止を選択してパケットの記録を停止できます。

PCAPユーティリティは、ブラウザに設定されたダウンロードディレクトリに次のフォーマットでファイルを保存します: <site_name>.<account_name>.<interface>.<timestamp>.pcapng

インタフェースフィルタリング

ダウンロードしたPCAPファイルには、複数のインタフェースで記録されたトラフィックが含まれています。 特定のインタフェースで記録されたトラフィックを検索するには:

  • PCAPファイルを開き、フレームの下に、'インタフェースID'を検索します:

  • インタフェースIDを右クリックし、フィルタとして適用を選択し、選択済みをクリックします

    • 注意: それぞれのインタフェースには2つのIDがあり、1つはTX (送信) 用で、もう1つはRX (受信) 用です。 次の例では、フィルタがWAN1のTX側に適用されていることが確認できます。

      image.png

  • XはインタフェースのIDを表していますが、以下のフィルタを適用することで手動でフィルタすることも可能です。 

    frame.interface_id == X

注: ソケットにLAN LAGが設定されている場合、集約インタフェースがインタフェースのリストに表示されます。

PCAPの実行(Socket v16.xおよびそれ以前)

PCAPを開始するには、特定のインタフェース用にPCAPの設定を行います。

ベストプラクティス: ほとんどのネットワーク問題をトラブルシューティングするには、LANインタフェースでパケットキャプチャを行うことをお勧めします。 ソケットがPoPに接続できない場合、WANパケットキャプチャが役立つことがありますが、一度接続されると、WANインタフェース上のすべてのトラフィックはDTLS内で暗号化され、カプセル化されます。 暗号化されたトラフィックを含むPCAPを分析するのは難しいです。

PCAPを開始するには:

  1. モニタページで、PCAP列をクリックします。 列が展開され、PCAPのオプションが表示されます。

    image.png

  2. PCAPのための設定を入力します。 ソース、宛先およびポートの特定の設定を選択できます。

    image.png

    これらのオプション設定はキャプチャされるトラフィックを制限します。これらがない場合、PCAPは短時間で大量のデータを蓄積することがあります。

  3. キャプチャを開始するには、PCAP 列のチェックボックスを選択します。

    pcap3.png

問題を再現する

PCAPユーティリティが実行中の間に、トラブルシューティングしているネットワーク問題を再現してください。

パケットの分析

キャプチャファイルを開いてパケットを分析するには、Wireshark または同様のプログラムを使用することをお勧めします。 WiresharkはWindows、Mac、Linuxのための無料のプログラムで、 https://www.wireshark.org/からダウンロードできます

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント