Blog

F5 Networks plugin za Wireshark

Wireshark je besplatan i open source program za analiziranje mrežnog prometa. U IT svijetu među inženjerima Wireshark je vrlo popularan alat za analizu, razvoj softvera i komunikacijskih protokola, ali i za edukaciju. Program je moguće koristiti na raznim platformama kao što su Linux, macOS, BSD, Solaris, još neki Unix-like operativni sustavi te Microsoft Windows. Uz Wireshark, koji je GUI based, moguće je koristiti i TShark koji je terminal-based verzija programa.

S obzirom na učestalost korištenja programa te potrebu prilikom analize i otklanjanja problema u radu sustava, F5 je kreirao svoj plugin za Wireshark. Plugin omogućava uvid u različite dodatne dijagnostičke podatke koje je moguće prikupiti snimanjem prometa korištenjem tcpdump alata na F5 uređajima. Ovi podaci najviše koriste F5 support timu prilikom rješavanja raznovrsnih problema kod svojih korisnika, međutim isto tako, iskusnijim inženjerima može pomoći prilikom vlastite analize problema prije kontaktiranja F5 support tima.

Prikupljanje dodatnih informacija o prometu

Svaki F5 sustav ima nekoliko fizičkih sučelja, čiji broj ovisi o tipu platforme. Jedno od fizičkih sučelja je izdvojeno i koristi se za management promet. Sva ostala sučelja zovu se TMM sučelja i njih F5 koristi kako bi poslao ili primio aplikativni promet, odnosno promet koji je prvenstveno namijenjen za load-balancing i dodatnu obradu.

Korištenjem tcpdump alata na F5 sustavima, moguće je snimiti promet koji prolazi kroz sustav preko njegovih fizičkih sučelja. F5 plugin za Wireshark omogućava prikupljanje informacija o prometu kako on prolazi preko internih TMM sučelja te na taj način omogućava detaljniju analizu prometa. Osim prilikom analize problema u produkcijskom prometu, ovo je veoma korisno prilikom različitih pilot testiranja te incijalne implementacije uređaja kako bi se izbjegli svi potencijalni problemi u obradi prometa u trenutku kad se uređaj postavi u produkciju.

Kako bi se iskoristile sve prednosti ovog plugina, potrebno je voditi računa o tome kako se piše naredba za snimanje prometa. Naredba za snimanje prometa u tom slučaju izgleda slično sljedećem:

tcpdump -s0 -ni vlan5:nnn -w/var/tmp/filename.pcap

Obavezno treba uključiti zastavicu ‘-s0’ koja omogućava snimanje cijelog paketa i dodatnih TMM informacija. Dodatno, potrebno je definirati razinu dodatnih informacija koje želimo prikupiti na sučelju na kojem snimamo promet i to korištenjem ‘nnn’ zastavica budući da upravo one označavaju razinu dodatnih informacija i to na sljedeći način:

  • Low Details (:n) – uključuje smjer data flow-a, slot i TMM koji su obradili paket te ime virtualnog servera, ukoliko je primjenjivo,
  • Medium Details (:nn) – uključuje sve gore navedeno, te dodaje informacije o ID-ju data flow-a te ID druge strane komunikacije, kao i zašto je F5 poslao TCP RST ukoliko je do toga došlo,
  • High Details (:nnn) – uključuje sve gore navedeno, ali i sve informacije vezane uz drugu stranu komunikacije, protokol, VLAN povezan uz data flow, lokalnu i remote IP adresu i portove.

Sljedeća slika prikazuje kako izgleda snimak prometa nakon što je prikazan u Wiresharku korištenjem F5 plugina. Za razliku od prikazivanja prometa bez korištenja F5 plugina, u ovom slučaju INFO frame prikazuje informacije o platformi koja se koristi i softveru koji se nalazi na istoj kao i koja je točno naredba iskorištena za snimanje prometa.

Na slici se vidi paket koji je došao do virtualnog servera i koji je obrađen na istom. Za razumijevanje dodatnih informacija bitno je razlikovati sljedeće:

  • Peer – izraz koji se koristi kako bi se definirala i opisala konekcija,
  • Connection – sastoji se od dva flow-a,
  • Flow – svaki flow je peer onog drugog u konekciji.

 

Prilikom analize prometa, vrlo često postoji problem povezivanja front-end i back-end strane komunikacije, pogotovo u situacijama kad F5 nije postavljen kao defultni gateway za pozadinske servere, tzv. one-armed mode. U tim situacijama moguće je iskoristiti flow ID jer upravo to omogućava povezivanje front-end i back-end strane komunikacije. Flow ID je moguće iskoristiti kao filter kao što je prikazano na sljedećoj slici te prikazati kompletnu komunikaciju za te IP adrese. Također, filter je moguće definirati i ručno.

Bitno je napomenuti da je ove dodatne informacije moguće vidjeti jedino ako je sučelje na kojem se snima promet jedno od VLAN sučelja. Ako se promet snima na fizičkim sučeljima, dodatne informacije nisu uključene u snimak prometa budući da se tu vidi promet prije ili nakon obrade na TMM sučeljima, ali i ne dok prolazi kroz TMM sučelja. Također, količina dodatnih informacija ovisit će i o verziji TMOS softvera koji je instaliran na F5 uređaju.

Plugin i dodatne informacije moguće je pronaći na DevCentral stranicama nakon kreiranja korisničkog računa: https://devcentral.f5.com/d/wireshark-plugin.

Za više detalja ili savjet, kontaktirajte nas.

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter