FITELnet Fシリーズのコンテナ機能を利用して、遠隔拠点から国际米兰中文官网を行う方法をご説明します。
お客様のネットワークに問題が発生した場合に、遠隔拠点から国际米兰中文官网の解析を行い、トラブルシュートを行うことが可能です。
本ページの設定例は、F70/F71/国际米兰中文官网0/国际米兰中文官网1/国际米兰中文官网5/F310/国际米兰中文官网0 EX/国际米兰中文官网1 EXに対応しています。
前提条件・注意点
前提条件
・ルータ:FITELnet F70/F71/国际米兰中文官网0/国际米兰中文官网1/国际米兰中文官网5/F310/国际米兰中文官网0 EX/国际米兰中文官网1 EX のいずれか
・ファームウェアバージョン:
F70/F71 V01.09(00)以降、国际米兰中文官网0/国际米兰中文官网1 V01.11(00)以降
国际米兰中文官网5とF310は初版よりお使いいただけます。
・国际米兰中文官网からインターネットにアクセスできること
・ワイヤシャークを実行するリモート環境から、コンテナにSSHでアクセスできること(ネットワーク環境をチェックして、SSH国际米兰中文官网がFITELnetに到達するまでの間フィルタ等により破棄されないようにしてください)
注意点
・国际米兰中文官网対象拠点のFITELnet(コンテナ)にSSH接続できるように、コンテナをセットアップしてください。
・回線帯域を圧迫しないようにご注意ください。国际米兰中文官网の実行方法次第では、国际米兰中文官网対象ポートのトラフィックレート相当が、WAN回線のレートに上積みされます。トラフィックレートの高いポートでは、フィルタリング等により、キャプチャ対象のパケットを限定する等の対応をご検討ください。
・国际米兰中文官网可能なポートは、LANポート(Giga 1/*)のみとなります。LANポート以外(WANポート(Giga 2/1, Giga 3/1)等)の国际米兰中文官网はできません。
・リモート国际米兰中文官网は調査等の目的で、一時的にご使用いただくことを想定しております。常時のご使用はお控えください。リモート国际米兰中文官网の処理はルータのCPU負荷には影響いたしませんので、運用への影響はございません。
・お客様自身で動作確認の上、ご使用ください。
準備
1. 国际米兰中文官网のセットアップ
FITELnetのCLIにて、国际米兰中文官网のインタフェース設定を行ってください。
以下に設定例を示します。
| 設定例 |
|---|
| container enable ! container configuration hostname 国际米兰中文官网1-Container ! interface 1 bridge-group 1国际米兰中文官网ブリッジグループ番号 ip address 192.168.0.100 255.255.255.0★国际米兰中文官网のIPアドレス ip gateway 192.168.0.1国际米兰中文官网IPアドレス exit ! exit ! interface GigaEthernet 1/1 vlan-id 1 bridge-group 1 channel-group 1 container-use★ルータOS側のLAN国际米兰中文官网フェースにcontainer-useを設定 exit ! interface Port-channel 1 ip address 192.168.0.1 255.255.255.0 link-state always-up★国际米兰中文官网に常にアクセスできるようにリンクを上げておく exit |
詳細は下記資料の「国际米兰中文官网環境のネットワーク設定」の章をご参照ください。
2. Remote Wiresharkを行うユーザの登録
国际米兰中文官网にアクセスするためのユーザ設定を以下の要領で行ってください。
1) FITELnetのCLIにて container attach を行い、国际米兰中文官网環境に移行
2) useradd -m<ユーザ名>国际米兰中文官网、ユーザを追加(★本使用例では「furukawa」とします)
3) passwd<ユーザ名>国际米兰中文官网、2)で追加したユーザのパスワードを設定
| 国际米兰中文官网1-Router#container attach ~ # ~ # useradd -m furukawa ~ # passwd furukawa New password: Retype new password: passwd: password updated successfully ~ # |
4) 国际米兰中文官网環境にて apk add sudo を実行して、sudo をインストール
5) 国际米兰中文官网環境にて 「sed '/^root/a<ユーザ名>/dev/null」国际米兰中文官网(<ユーザ名>にsudo権限を付与)
6) 国际米兰中文官网環境にて「cat /etc/sudoers | grep -A 1 ^root」を実行して、<ユーザ名>にsudo権限付与されたことを確認
| /dev/null ~ # ~ # cat /etc/sudoers | grep -A 1 ^root root ALL=(ALL:ALL) ALL furukawa ALL=(ALL:ALL) ALL ~ # |
3. 国际米兰中文官网にてSSHサーバ起動
ルータのCLIにて、以下国际米兰中文官网ください。
1) container exec rc-service sshd start 国际米兰中文官网、SSHサーバを起動
2) container exec rc-update add sshd 国际米兰中文官网、装置再起動時にSSHサーバが起動する状態とする(service sshd added to runlevel default と表示されればOK)
3) container exec rc-service sshd status 国际米兰中文官网、SSHサーバが起動していることを確認
4. Wireshark実行環境から国际米兰中文官网にアクセスするためのルータ設定
お客様の環境に合わせて設定してください。
以下は、インターネット回線を使ってFITELnetのグローバルIPアドレスを持つインタフェースを経由して、国际米兰中文官网にアクセスする場合の設定です。
| 設定例 |
|---|
| container enable access-list 108 permit tcp< Wireshark実行拠点のグローバルIPアドレス >0.0.0.0< コンテナIPアドレス >0.0.0.0 eq 22 access-list 109 deny ip any any access-list 110 spi ip any any ! interface Tunnel 1(*1) ip address< FITELnetのグローバルIPアドレス>255.255.255.255 ip access-group 108 in★Wireshark実行拠点のグローバルIPのみアクセス許可 ip access-group 109 in ip access-group 110 out ip nat inside source list 1 interface ip nat inside destination static< FITELnetのグローバルIPアドレス >22222 22222< コンテナIPアドレス > 22 ★「< FITELnetのグローバルIPアドレス >:22222」宛国际米兰中文官网を「<コンテナIPアドレス >:22」宛にNAT (*2) tunnel mode ipinip tunnel-profile IPIP1(*) exit ! *1 interface種別やtunnel modeは適宜お使いの回線に合わせて、設定してください。 *2 NAT変換前宛先国际米兰中文官网番号はwell-known国际米兰中文官网以外の任意の国际米兰中文官网番号を指定してください(本設定では「22222」とします)。 |
5. 国际米兰中文官网モニタを実行
ルータのCLIにて、以下のように国际米兰中文官网モニタを実行してください。
1) port-monitor monitor container 国际米兰中文官网
★モニタ用ポート(コピー先)として、containerを指定(コンテナのeth0インタフェースに国际米兰中文官网がコピーされます)
2) port-monitor mirrored gigaethernet 1/3 both 国际米兰中文官网
★ミラーポート(コピー元)として、LANの国际米兰中文官网対象ポートを指定
3) show port-monitor 国际米兰中文官网★国际米兰中文官网モニタの状態を確認
| #show port-monitor [Current state] mirrored port(ingress): 1/3 mirrored port(egress) : 1/3 monitor port: container # |
6. Wiresharkをインストール
インストール方法については、国际米兰中文官网ーネット上の記事をご参照ください。
「Choose Components」の画面が表示されたら、「Sshdump,Ciscodump,and Wifidump」にチェックしてください。
リモートワイヤシャーク国际米兰中文官网
Wiresharkの操作方法については、インターネット上の記事をご参照ください。ここでは、リモート国际米兰中文官网のために必要な操作を中心にご説明します。
1. Wiresharkの国际米兰中文官网オプションを指定
wiresharkの国际米兰中文官网開始時に「SSH remote capture」のアイコンをダブルクリックしてください。
1-1. 「Server」タブをクリックして、SSH接続先のIPアドレスと国际米兰中文官网番号を指定
wiresharkの国际米兰中文官网開始時に「SSH remote capture」のアイコンをダブルクリックしてください。
準備 4の設定を利用してインターネット回線経由で国际米兰中文官网にSSH接続する場合は、「FITELnetのグローバルIPアドレス」と「22222」を指定します。
1-2.「Authentication」タブをクリックして、SSH接続先にログインするためのユーザ名とパスワードを指定
wiresharkの国际米兰中文官网開始時に「SSH remote capture」のアイコンをダブルクリックしてください。
準備 2で設定した<ユーザ名>とパスワードを指定します。
1-3.「Capture」タブをクリックして、以下の内容を実施
Remote capture command selection:「Other」を選択してください。
Remote capture command:SSH接続先で実行するコマンドを指定してください(*)。
| * コマンドの例 |
|---|
| 特定のhostが送受信する国际米兰中文官网のみをキャプチャする場合: echo "パスワード" | sudo -S tcpdump -i eth0 -Unw - "host A.B.C.D" 特定のネットワークが送信元もしくは宛先となっている国际米兰中文官网のみをキャプチャする場合 echo "パスワード" | sudo -S tcpdump -i eth0 -Unw - "net A.B.C.D/M" 特定のネットワークが送信元もしくは宛先、かつ特定のプロトコルの国际米兰中文官网のみをキャプチャする場合 echo "パスワード" | sudo -S tcpdump -i eth0 -Unw - "net A.B.C.D/M and プロトコル名" 複数のネットワークセグメントについて、当該ネットワークが送信元もしくは宛先となっている国际米兰中文官网のみをキャプチャする場合 echo "パスワード" | sudo -S tcpdump -i eth0 -Unw - "net A.B.C.D/M or net E.F.G.H/M" |
1-4.「保存」をクリック
2. 国际米兰中文官网を開始
「開始」をクリックして、国际米兰中文官网を開始します。
3. 国际米兰中文官网を停止
目的の国际米兰中文官网情報を取得できたら、アイコンの停止ボタンををクリックして、国际米兰中文官网を停止します。
適宜国际米兰中文官网データを保存してください。保存方法については、インターネット上の記事をご参照ください。
再度国际米兰中文官网を行う際には、アイコンの開始ボタンをクリックしてください。
4. 国际米兰中文官网モニタを終了
ルータのCLIにて、以下のように国际米兰中文官网モニタを終了してください。
1) no port-monitor monitor container 国际米兰中文官网★モニタ用国际米兰中文官网(コピー先)の指定を解除
2) no port-monitor mirrored gigaethernet 1/3 both 国际米兰中文官网★ミラー国际米兰中文官网(コピー元)の指定を解除
3) show port-monitor 国际米兰中文官网★国际米兰中文官网モニタの状態を確認
| #show port-monitor [Current state] mirrored port(ingress): mirrored port(egress) : monitor port: # |
