設定 Virtual WAN 站對站 VPN 的封包擷取:Azure 入口網站
本文章可協助您使用 Azure 入口網站,為 Azure Virtual WAN 站對站 VPN 閘道建立封包擷取。 封包擷取可協助您將問題範圍縮小至網路的特定部分。 其可協助您判斷問題是否位於內部部署端或 Azure 端。 藉由縮小問題範圍,您可有效偵錯並採取補救動作。
雖然確實有些容易取得的封包擷取工具,但透過這些工具取得相關的封包擷取可能會很麻煩,在大量流量案例下更是如此。 Virtual WAN 封包擷取提供的篩選功能會讓情況大為改觀。 Virtual WAN 封包擷取可與常用的封包擷取工具搭配使用。
注意
Azure 入口網站上正在跨區域推出功能與設定。
必要條件
確認您已在環境中進行下列組態:
- 虛擬 WAN 和虛擬中樞。
- 部署在虛擬中樞的站對站 VPN 閘道。
- 您也可具有將 VPN 網站連線至站對站 VPN 閘道的連線。
建立儲存體帳戶和容器
儲存體帳戶會用來儲存封包擷取的結果。
產生 SAS URL
停止封包擷取時,必須提供所建立儲存體容器的 SAS URL。 封包擷取的結果將會透過此 URL 儲存。 如何為您的儲存體容器產生 SAS URL:
瀏覽到您新建立的容器。
在 [設定] 底下,選取 [共用存取權杖]。
在 [權限] 索引標籤上,確認 [讀取] 和 [寫入] 都已啟用。
在頁面底部,按一下 [產生 SAS 權杖與 URL] 按鈕。
按一下即可將產生的 Blob SAS URL 連結複製到剪貼簿。
![已選取 [讀取] 和 [寫入] 的共用存取令牌頁面。](media/packet-capture-site-to-site-portal/generate-url.png)
![已選取 [讀取] 和 [寫入] 的共用存取令牌頁面。](media/packet-capture-site-to-site-portal/generate-url-expand.png#lightbox)
啟動封包擷取
本節會在虛擬中樞上啟動封包擷取。
瀏覽至虛擬中樞。
按一下 [VPN (站對站)]。
在 [VPN (站對站)] 頁面上,按一下頁面頂端的 [封包擷取] 按鈕。
![顯示 [開始擷取] 頁面的圖形。](media/packet-capture-site-to-site-portal/packet-capture.png)
在 [封包擷取] 頁面上,按一下 [啟動]。
在 [開始封包擷取] 頁面上,視需要修改設定。 關於選項,請參閱篩選一節。
按一下 [啟動] 按鈕將開始封包擷取。 建議您讓封包擷取至少執行 600 秒。 由於路徑上多個元件之間的同步問題,較短的封包擷取可能無法提供完整的資料。
![顯示 [開始擷取] 頁面的圖形。](media/packet-capture-site-to-site-portal/packet-capture-expand.png#lightbox)
選用:指定篩選
若要簡化封包擷取,您可指定封包擷取的篩選條件,聚焦於特定行為。
| 參數 | 描述 | 預設值 | 可用值 |
|---|---|---|---|
| TracingFlags | 整數,決定擷取的封包類型 | 11 (ESP、IKE、OVPN) | ESP = 1 IKE = 2 OVPN = 8 |
| TCPFlags | 整數,決定要擷取的 TCP 封包類型 | 0 (無) | FIN = 1、SYN = 2、RST = 4、PSH = 8、ACK = 16、URG = 32、ECE = 64、CWR = 128 |
| MaxPacketBufferSize | 擷取封包的大小上限,以位元組為單位。 若大於提供的值,則會截斷封包。 | 120 | 任意 |
| MaxFileSize | 擷取檔案大小上限,以 Mb 為單位。 擷取會儲存在迴圈緩衝區中,因此溢位會以 FIFO 方式處理 (先移除舊封包) | 100 | 任意 |
| SourceSubnets | 擷取來自指定 CIDR 範圍的封包。 指定為陣列。 | [] (全部 IPv4 位址) | IPv4 子網路 |
| DestinationSubnets | 擷取目的地在指定 CIDR 範圍內的封包。 指定為陣列。 | [] (全部 IPv4 位址) | IPv4 子網路 |
| SourcePort | 擷取來源在指定範圍內的封包。 指定為陣列。 | [ ] (全部連接埠) | 連接埠 |
| DestinationPort | 擷取目的地在指定範圍中的封包。 指定為陣列。 | [ ] (全部連接埠) | 連接埠 |
| CaptureSingleDirectionTrafficOnly | 若為 true,則封包擷取中只會顯示雙向流程的一個方向。 這會擷取全部可能的 IP 和連接埠組合。 | True | True、False |
| 通訊協定 | 對應 IANA 通訊協定的整數陣列。 | [ ] (全部通訊協定) | 此 iana.org 頁面上所列的任何通訊協定。 |
注意
針對 TracingFlags 和 TCPFlags,您可以針對想要擷取的通訊協定將數值加總 (與邏輯 OR 相同),藉以指定多個通訊協定。 例如,如果您想要只擷取 ESP 和 OVPN 封包,請指定 8+1 = 9 的 TracingFlag 值。
停止封包擷取
本節可協助您停止或中止封包擷取。
在虛擬中樞頁面上,按一下 [封包擷取] 按鈕以開啟 [封包擷取] 頁面,然後按一下 [停止]。 這會開啟 [停止封包擷取] 頁面。 此時,封包擷取尚未停止。
![顯示 [停止] 按鈕的圖形。](media/packet-capture-site-to-site-portal/packet-stop.png)
在 [停止封包擷取] 頁面的 [輸出 Sas URL] 欄位中,對於您稍早建立的儲存體容器將 SaS URL 貼上。 這是封包擷取檔案將儲存的位置。
接下來按一下 [停止]。 封包擷取將會停止,PCAP 檔案會建立並儲存至儲存體帳戶。 這需要數分鐘才能完成。
![顯示 [停止] 按鈕的圖形。](media/packet-capture-site-to-site-portal/packet-stop-expand.png#lightbox)
如何中止封包擷取
如果您需要中止封包擷取,請瀏覽至虛擬中樞,按一下 [封包擷取] 按鈕以開啟 [封包擷取] 頁面,然後按一下 [中止]。 中止封包擷取時,將不會產生或儲存 PCAP 檔案。
檢視封包擷取
本節可協助您下載封包擷取 PCAP 檔案以檢視。
在 Azure 入口網站中,瀏覽至您建立的儲存體帳戶。
按一下 [容器] 以檢視儲存體帳戶的容器。
按一下您建立的容器。
瀏覽資料夾結構以找出 PCAP 檔案。 資料夾名稱和結構是以日期和時間 UTC 時間為基礎。 找到 PCAP 檔案時,按一下 [下載]。
封包擷取資料檔案會以 PCAP 格式產生。 您可使用 Wireshark 或其他常用的應用程式來開啟 PCAP 檔案。
主要考量
- 執行封包擷取可能會影響效能。 如果您不需要封包擷取,請記得將其停止。
- 建議的最小封包擷取持續時間為 600 秒。 由於路徑上多個元件之間的同步問題,較短的封包擷取可能無法提供完整的資料。
- 封包擷取資料檔案會以 PCAP 格式產生。 使用 Wireshark 或其他常用的應用程式來開啟 PCAP 檔案。
- 如果未正確設定 SASurl 參數,則追蹤可能會失敗,並出現儲存體錯誤。
下一步
若要深入了解 Azure Virtual WAN,請參閱常見問題。