Remarques :
- Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction au niveau gratuit d'Oracle Cloud Infrastructure.
- Il utilise des exemples de valeurs pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. Lorsque vous terminez votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.
Suivez les paquets dans l'architecture de routage VCN Hub et Spoke dans Oracle Cloud Infrastructure
Introduction
Les instances, les bases de données et les services réseau sont les blocs de construction classiques de l'application dans Oracle Cloud Infrastructure (OCI). Lorsque nous construisons une application sur le réseau, il est recommandé de savoir si le trafic que vous envoyez à partir d'une source atteint la destination. OCI propose l'analyseur de chemin réseau pour vérifier le chemin, mais vous souhaitez parfois obtenir un peu plus d'informations sur ce qui se passe sur les adresses elles-mêmes en mode saut par saut.
Ce tutoriel présente quelques scénarios que vous pouvez utiliser pour suivre vos paquets dans une architecture réseau hub et spoke au sein d'OCI.
Scénarios de flux de routage
Plusieurs scénarios de flux de routage sont applicables dans une architecture de routage VCN hub et spoke.
- Scénario 1 : suivre le paquet d'une instance de VCN satellite à une autre instance de VCN satellite
- Scénario 2 : suivre le paquet de l'instance VCN satellite vers l'instance de hub
- Scénario 3 : suivre le paquet de l'instance de hub vers l'instance de VCN satellite
- Scénario 4 : suivre le paquet de l'instance VCN satellite vers Internet
- Scénario 5 : suivre le paquet de l'instance VCN satellite vers le réseau de service OCI
- Scénario 6 : suivre le paquet d'une instance de hub vers Internet
- Scénario 7 : suivre le paquet d'Internet vers une instance de hub
- Scénario 8 : suivre le paquet d'une instance sur site à une instance VCN satellite
- Scénario 9 : suivre le paquet de l'instance VCN satellite vers l'instance sur site
- Scénario 10 : suivre le paquet de l'ordinateur distant vers l'équilibreur de charge vers l'instance VCN satellite
Nous allons seulement vous expliquer comment vous pouvez suivre le paquet avec le scénario 1. Pour les autres scénarios, vous pouvez utiliser la même méthode.
Objectifs
- Ce tutoriel présente une méthode de suivi des paquets réseau dans un environnement de locataire OCI à l'aide d'une architecture de routage réseau Hub et Spoke. We will use the combination of packet captures, TCPdumps, and subnet-level logging within VCNs to gather necessary data. Grâce à une analyse de données ultérieure, nous identifierons le chemin complet du paquet. Cette approche facilitera le dépannage de la connectivité de bout en bout et sera facile à trouver en cas de problème éventuel.
Scénario 1 : suivre le paquet d'une instance de VCN satellite à une autre instance de VCN satellite
Dans ce scénario, nous allons suivre le paquet d'une instance de VCN spoke à une instance d'un autre VCN spoke.
Le diagramme suivant est affiché avec les sauts spécifiés. Les points A à F indiquent les endroits où vous pouvez activer une forme de journalisation ou de capture de paquets. Nous explorerons tous ces endroits un par un afin de pouvoir suivre le paquet.
Nous devons déterminer notre source, notre destination et le port avec lequel nous allons tester. Cela nous permettra d'avoir un moyen ciblé d'analyser le paquet sans distraction.
Dans cet exemple, nous allons utiliser la source, la destination et le port suivants.
Source | Destination | Port de destination |
---|---|---|
172.16.1.93 | 172.16.2.88 | TCP/80 |
Pour bien démarrer ce parcours, l'ordre des opérations est important pour être aussi efficace que possible avec la mise en place de la journalisation, la capture et la collecte des informations correctement.
Tâche 1 : notez le temps écoulé
-
Dans ce tutoriel, nous utilisons un ordinateur central pour collecter toutes les données.
-
Notez la durée de démarrage des analyses. Pour cet exemple, il s'agit de
8:44
AM.
Tâche 2 : ouverture de la première session SSH sur l'instance A
-
Nous utiliserons cette session pour lancer la connexion HTTP à la destination.
- Connectez-vous avec SSH au terminal de l'instance A situé dans le VCN A.
- Essayez d'utiliser une connexion à onglets. Cela permet de basculer rapidement entre les sessions.
- Exécutez la commande
timedatectl
pour obtenir l'heure en cours de l'instance. - Assurez-vous que le temps défini est correct. Pour cet exemple, il s'agit de
8:44
AM.
Tâche 3 : ouvrir une deuxième session SSH sur l'instance A
-
Ouvrez une deuxième connexion à l'instance A située dans le VCN A.
-
Nous utiliserons cette session pour activer les commandes
tcpdump
afin de pouvoir démarrer le paquet suivant à l'aide detcpdump
.
Tâche 4 : ouvrir une session SSH sur l'instance B
-
Nous utiliserons cette session pour recevoir la connexion HTTP de la source.
- Connectez-vous avec SSH au terminal de l'instance B situé dans le VCN B.
- Essayez d'utiliser une connexion à onglets. Cela permet de basculer rapidement entre les sessions.
- Exécutez la commande
timedatectl
pour obtenir l'heure en cours de l'instance. - Assurez-vous que le temps défini est correct. Pour cet exemple, il s'agit de
8:45 AM
.
Tâche 5 : ouvrir une session Web sur le pare-feu pfSense
-
Etant donné que nous utilisons une architecture de routage VCN Hub et Spoke, le trafic transitera par le pare-feu pfSense si le trafic circule d'un satellite à un autre. Le pare-feu pfSense autorise ou refuse le trafic. Nous voulons voir cela dans le pare-feu pfSense à l'aide des captures de paquets.
- Ouvrez la console de gestion du pare-feu pfSense.
- Cliquez sur Diagnostics et sur Packet Capture.
-
Vous allez être redirigé vers la page Capture de paquet. Ne démarrez pas la capture de paquets, nous voulons juste l'ouvrir.
Tâche 6 : activer la journalisation (tous les journaux) sur le satellite d'un sous-réseau privé
-
Etant donné que notre source est attachée au sous-réseau privé dans le VCN spoke A, nous activerons la journalisation au niveau du sous-réseau dans le VCN.
- Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
- Cliquez sur Fonctions de réseau.
- Cliquez sur Réseaux cloud virtuels.
-
Cliquez sur spoke A VCN.
-
Cliquez sur le sous-réseau privé dans le VCN A.
- Cliquez sur Journaux.
- Sélectionnez Activer le journal pour tous les journaux et définissez-le sur Activé.
-
Conservez tous les paramètres de journal par défaut et cliquez sur Activer le journal.
-
Le statut est Création.
- Après quelques minutes, le statut passe à Actif.
- Notez que l'option Activer le journal pour tous est Activé.
Tâche 7 : activer la journalisation (tous les journaux) sur le sous-réseau privé Spoke B
-
Suivez les étapes pour le sous-réseau privé VCN B spoke identique à la tâche 6.
- Accédez à Networking, Virtual Cloud Networking, Spoke B VCN, Détails du sous-réseau et Journaux.
- Après quelques minutes, le statut passe à Actif.
- Notez que l'option Activer le journal pour tous est Activé.
Tâche 8 : activer la journalisation (tous les journaux) sur le sous-réseau privé du hub
-
Suivez les étapes pour le sous-réseau privé du hub comme pour la tâche 6.
- Accédez à Networking, Virtual Cloud Networking, Hub VCN, Détails du sous-réseau et Journaux.
- Après quelques minutes, le statut passe à Actif.
- Notez que l'option Activer le journal pour tous est Activé.
Tâche 9 : démarrer la session tcpdump sur la deuxième session SSH de l'instance A
-
Accédez à la deuxième session SSH de l'instance A.
-
Exécutez la commande suivante pour activer tcpdump :
sudo tcpdump -i ens3 dst 172.16.2.88 and src 172.16.1.93 and dst port 80
.Remarque : dans la commande
tcpdump
, assurez-vous d'utiliser les filtres appropriés afin de ne voir que les informations sur le trafic que vous recherchez. Dans cet exemple, nous indiquons la source, la destination et le port. -
Notez que tcpdump sera activé.
Tâche 10 : démarrer la session tcpdump sur la session SSH de l'instance B
-
Accédez à la session SSH de l'instance B.
-
Exécutez la commande suivante pour activer tcpdump :
sudo tcpdump -i ens3 src 172.16.0.20 and port 80
. -
Notez que tcpdump sera activé.
`
Tâche 11 : démarrage de la capture de paquets sur le pare-feu pfSense
-
Accédez à la console de pare-feu pfSense.
-
Faites défiler la page jusqu'à la section Options de filtre personnalisé.
-
Dans la section Filtre non balisé, entrez les informations suivantes et cliquez sur Démarrer.
- Sélectionnez Inclure au moins un.
- Adresse ou sous-réseau d'ID d'hôte : pour la destination, sélectionnez tout et entrez
172.16.2.88
. - PROTOCOLE ET NUMÉRO DE PORT : pour le PORT, sélectionnez l'un de et entrez
80
.
-
Défiler vers le bas.
-
Notez qu'il existe déjà des paquets capturés. Il s'agit de tout le trafic qui se trouve sur le port 80 et qui concerne notre adresse IP de destination (
172.16.2.88
). Le trafic est déjà visible car un équilibreur de charge est actif et effectue également des vérifications de l'état sur le port 80. -
Nous allons laisser la capture pendant quelques minutes pendant que nous faisons notre test HTTP de notre source afin que nous puissions utiliser l'application Wireshark plus tard pour filtrer les informations correctes que nous recherchons.
Tâche 12 : envoyer le trafic HTTP au serveur Web de l'instance B à partir de la première session SSH de l'instance A
-
Lancez le trafic de la source vers la destination.
- Accédez à la première session SSH de l'instance A.
- Exécutez à nouveau la commande
timedatectl
pour obtenir l'heure en cours de l'instance. - Notez l'heure. Pour cet exemple, il s'agit de
8:56 AM
.
-
Exécutez la commande suivante pour envoyer le trafic HTTP :
curl http://172.16.2.88
. -
Notez que le serveur Web de l'instance B répond au contenu HTML.
-
Répétez le processus en exécutant la même commande trois ou quatre fois pour envoyer le trafic HTTP plusieurs fois.
Tâche 13 : examiner tous les points de journalisation et les captures de paquets et suivre le chemin
Nous pouvons commencer à collecter les informations afin de pouvoir suivre le paquet.
Arrêtez toutes les opérations de journalisation, de capture de paquets et de vidage TCP :
Avant de commencer les informations de collecte, arrêtez toute la journalisation, les captures de paquets et les tcpdumps pour vous assurer que nous n'obtenons pas trop d'informations.
-
Arrêtez tcpdump des instances A et B.
- Accédez à la deuxième session SSH de l'instance A et cliquez sur ctrl+c pour arrêter tcpdump.
- Accédez à la session SSH de l'instance B et cliquez sur ctrl+c pour arrêter tcpdump.
-
Accédez à la console de gestion du pare-feu pfSense et arrêtez la capture de paquets.
-
Désactivez la journalisation sur le VCN hub.
- Accédez à Networking, Virtual Cloud Networking, Hub VCN, Détails du sous-réseau et cliquez sur Journaux.
- Activez/désactivez l'option Activer le journal pour tous afin de désactiver la journalisation.
-
Le statut est Mise à jour.
-
Après quelques minutes, le statut passe à Inactif.
-
Désactivez la journalisation sur le VCN A spoke.
- Accédez à Networking, Virtual Cloud Networking, Spoke VCN A, Détails du sous-réseau et cliquez sur Journaux.
- Après quelques minutes, le statut passe à Inactif.
- Assurez-vous que l'option Activer le journal pour tous est Désactivé.
-
Désactivez la journalisation sur le VCN B spoke.
- Accédez à Networking, Virtual Cloud Networking, Spoke VCN B, Détails du sous-réseau et cliquez sur Journaux.
- Après quelques minutes, le statut passe à Inactif.
- Assurez-vous que l'option Activer le journal pour tous est Désactivé.
-
Nous avons désactivé toute la journalisation, les captures de paquets et les tcpdumps, il est temps de regarder les données.
Le diagramme suivant présente tous les points de journalisation A, B, C, D, E et F.
Point de journalisation A : tcpdump sur l'instance A
- Accédez à la deuxième session SSH de l'instance A.
- Notez que la sortie tcpdump générée.
-
Sortie de Tcpdump.
[opc@ih-instance-vcn-a ~]$ sudo tcpdump -i ens3 dst 172.16.2.88 and src 172.16.1.93 and dst port 80 dropped privs to tcpdump tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ens3, link-type EN10MB (Ethernet), capture size 262144 bytes 08:56:50.489159 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.57422 > 172.16.2.88.http: Flags [S], seq 1817516973, win 62720, options [mss 8960,sackOK,TS val 3736091466 ecr 0,nop,wscale 7], length 0 08:56:50.491649 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.57422 > 172.16.2.88.http: Flags [.], ack 372277210, win 490, options [nop,nop,TS val 3736091468 ecr 671349263], length 0 08:56:50.491702 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.57422 > 172.16.2.88.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736091468 ecr 671349263], length 75: HTTP: GET / HTTP/1.1 08:56:50.492114 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.57422 > 172.16.2.88.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736091469 ecr 671349265], length 0 08:56:50.492210 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.57422 > 172.16.2.88.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736091469 ecr 671349265], length 0 08:56:50.492982 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.57422 > 172.16.2.88.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736091469 ecr 671349265], length 0 08:56:50.493488 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.57422 > 172.16.2.88.http: Flags [.], ack 874, win 485, options [nop,nop,TS val 3736091470 ecr 671349267], length 0 08:57:09.284210 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54210 > 172.16.2.88.http: Flags [S], seq 3049648180, win 62720, options [mss 8960,sackOK,TS val 3736110261 ecr 0,nop,wscale 7], length 0 08:57:09.284913 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54210 > 172.16.2.88.http: Flags [.], ack 728296369, win 490, options [nop,nop,TS val 3736110261 ecr 671368058], length 0 08:57:09.284973 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54210 > 172.16.2.88.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736110261 ecr 671368058], length 75: HTTP: GET / HTTP/1.1 08:57:09.285422 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54210 > 172.16.2.88.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736110262 ecr 671368059], length 0 08:57:09.285522 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54210 > 172.16.2.88.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736110262 ecr 671368059], length 0 08:57:09.285590 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54210 > 172.16.2.88.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736110262 ecr 671368059], length 0 08:57:09.286060 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54210 > 172.16.2.88.http: Flags [.], ack 874, win 485, options [nop,nop,TS val 3736110263 ecr 671368059], length 0 08:57:10.963760 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54214 > 172.16.2.88.http: Flags [S], seq 1863177286, win 62720, options [mss 8960,sackOK,TS val 3736111940 ecr 0,nop,wscale 7], length 0 08:57:10.964504 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54214 > 172.16.2.88.http: Flags [.], ack 464215720, win 490, options [nop,nop,TS val 3736111941 ecr 671369737], length 0 08:57:10.964551 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54214 > 172.16.2.88.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736111941 ecr 671369737], length 75: HTTP: GET / HTTP/1.1 08:57:10.965048 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54214 > 172.16.2.88.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736111942 ecr 671369738], length 0 08:57:10.965135 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54214 > 172.16.2.88.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736111942 ecr 671369738], length 0 08:57:10.965351 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54214 > 172.16.2.88.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736111942 ecr 671369738], length 0 08:57:10.965865 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54214 > 172.16.2.88.http: Flags [.], ack 874, win 485, options [nop,nop,TS val 3736111942 ecr 671369739], length 0 08:58:23.663598 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.53200 > 172.16.2.88.http: Flags [S], seq 407465876, win 62720, options [mss 8960,sackOK,TS val 3736184640 ecr 0,nop,wscale 7], length 0 08:58:23.664381 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.53200 > 172.16.2.88.http: Flags [.], ack 3047424129, win 490, options [nop,nop,TS val 3736184641 ecr 671442437], length 0 08:58:23.664430 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.53200 > 172.16.2.88.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736184641 ecr 671442437], length 75: HTTP: GET / HTTP/1.1 08:58:23.665005 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.53200 > 172.16.2.88.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736184641 ecr 671442438], length 0 08:58:23.665129 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.53200 > 172.16.2.88.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736184642 ecr 671442438], length 0 08:58:23.665297 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.53200 > 172.16.2.88.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736184642 ecr 6714 08:58:23.666655 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5 gs [.], ack 874, win 485, options [nop,nop,TS val 3736184643 ecr 671442440], l 08:58:24.529502 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5 gs [S], seq 3610633804, win 62720, options [mss 8960,sackOK,TS val 3736185506 0 08:58:24.530337 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5 gs [.], ack 575035162, win 490, options [nop,nop,TS val 3736185507 ecr 6714433 08:58:24.530386 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5 gs [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736185507 ecr 6714 / HTTP/1.1 08:58:24.530886 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5 gs [.], ack 239, win 489, options [nop,nop,TS val 3736185507 ecr 671443304], l 08:58:24.530966 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5 gs [.], ack 873, win 485, options [nop,nop,TS val 3736185507 ecr 671443304], l 08:58:24.531347 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5 gs [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736185508 ecr 6714 08:58:24.531891 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5 gs [.], ack 874, win 485, options [nop,nop,TS val 3736185508 ecr 671443305], l 08:58:25.562327 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5 gs [S], seq 3415948315, win 62720, options [mss 8960,sackOK,TS val 3736186539 0 08:58:25.563186 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5 gs [.], ack 2043572435, win 490, options [nop,nop,TS val 3736186540 ecr 671444 08:58:25.563244 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5 gs [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736186540 ecr 6714 / HTTP/1.1 08:58:25.563718 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5 gs [.], ack 239, win 489, options [nop,nop,TS val 3736186540 ecr 671444337], l 08:58:25.563845 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5 gs [.], ack 873, win 485, options [nop,nop,TS val 3736186540 ecr 671444337], l 08:58:25.564627 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5 gs [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736186541 ecr 6714 08:58:25.565113 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5 gs [.], ack 874, win 485, options [nop,nop,TS val 3736186542 ecr 671444338], l
-
Analysez le résultat. Cette sortie indique que le trafic HTTP a été envoyé à partir de l'instance A.
- Première section de sortie de la demande de boucle effectuée.
- Deuxième section de sortie de la demande de boucle effectuée.
- DNS/IP source.
- DNS/IP de destination.
- Port.
- Indicateurs TCP.
Point de journalisation B : connexion au sous-réseau privé VCN A du satellite
Maintenant, regardez la journalisation au niveau du sous-réseau pour voir si les paquets sont visibles sur le sous-réseau du VCN.
-
Accédez à Networking, Réseaux cloud virtuels, Spoke VCN A, Détails du sous-réseau (privé), Journaux et cliquez sur le nom du journal pour la catégorie
all
.- Cliquez sur le menu déroulant Actions.
- Cliquez sur Examiner avec la recherche de journal.
-
Dans Filtres personnalisés, entrez les filtres suivants.
data.destinationAddress='172.16.2.88'
.data.sourceAddress='172.16.1.93'
.
-
Le filtre de la destination est ajouté.
-
Le filtre de la source est ajouté.
- Filtrer par heure : sélectionnez Heure passée.
- Notez que le graphique à barres indique que des données de journal sont disponibles pour la source et la destination que nous utilisons dans le filtre.
- Défiler vers le bas.
- Notez l'adresse IP source.
- Notez l'adresse IP de destination.
- Notez le port.
- Défiler vers le haut.
- Cliquez sur Journaux.
Point de journalisation C : connexion au sous-réseau privé VCN du hub
-
Cliquez sur le nom du journal pour le VCN du hub.
-
Le trafic ne passe pas du pare-feu au VCN de l'instance B, nous devons donc modifier les filtres source et de destination.
- Dans Filtres personnalisés, entrez les filtres suivants.
data.destinationAddress='172.16.0.20'
data.sourceAddress='172.16.1.93'
data.destinationPort='80'
- Notez que le graphique à barres indique que des données de journal sont disponibles pour la source et la destination que nous utilisons dans le filtre.
- Défiler vers le bas.
- Notez la section de journalisation détaillée.
- Notez l'adresse IP source.
- Notez l'adresse IP de destination.
- Notez le port.
- Dans Filtres personnalisés, entrez les filtres suivants.
Point de journalisation D : capture de paquets sur le pare-feu pfSense
-
Accédez à la console de gestion du pare-feu pfSense.
- Cliquez sur télécharger en local.
- Assurez-vous que la capture est téléchargée.
-
Ouvrez la capture de paquets dans Wireshark.
- Entrez le filtre Wireshark suivant.
(ip.dst == 172.16.2.88 && ip.src == 172.16.1.93) || (ip.dst == 172.16.2.88 && ip.src == 172.16.1.93) && http
- Notez l'adresse IP source.
- Notez l'adresse IP de destination.
- Notez le port ou le protocole.
- Entrez le filtre Wireshark suivant.
Point de journalisation E : connexion au sous-réseau privé VCN B satellite
-
Accédez à Logging, Logs et cliquez sur le nom du journal pour le VCN B spoke.
- Cliquez sur le menu déroulant Actions.
- Cliquez sur Examiner avec la recherche de journal.
- Dans Filtres personnalisés, entrez les filtres suivants.
data.destinationAddress='172.16.2.88'
.data.sourceAddress='172.16.0.20'
.
- Notez que le graphique à barres indique que des données de journal sont disponibles pour la source et la destination que nous utilisons dans le filtre.
- Défiler vers le bas.
- Notez la section de journalisation détaillée.
- Notez l'adresse IP source.
- Notez l'adresse IP de destination.
- Notez le port.
Point de journalisation F : Tcpdump sur l'instance B
- Accédez à la session SSH de l'instance B.
- Notez la sortie tcpdump générée.
-
Sortie de Tcpdump.
[opc@ih-instance-vcn-b ~]$ sudo tcpdump -i ens3 src 172.16.0.20 and port 80 dropped privs to tcpdump tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ens3, link-type EN10MB (Ethernet), capture size 262144 bytes 08:56:50.489551 IP 172.16.0.20.23408 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [S], seq 1817516973, win 62720, options [mss 8960,sackOK,TS val 3736091466 ecr 0,nop,wscale 7], length 0 08:56:50.491813 IP 172.16.0.20.23408 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 372277210, win 490, options [nop,nop,TS val 3736091468 ecr 671349263], length 0 08:56:50.491849 IP 172.16.0.20.23408 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736091468 ecr 671349263], length 75: HTTP: GET / HTTP/1.1 08:56:50.492311 IP 172.16.0.20.23408 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736091469 ecr 671349265], length 0 08:56:50.492327 IP 172.16.0.20.23408 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736091469 ecr 671349265], length 0 08:56:50.493247 IP 172.16.0.20.23408 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736091469 ecr 671349265], length 0 08:56:50.493667 IP 172.16.0.20.23408 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 874, win 485, options [nop,nop,TS val 3736091470 ecr 671349267], length 0 08:57:09.284597 IP 172.16.0.20.22060 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [S], seq 3049648180, win 62720, options [mss 8960,sackOK,TS val 3736110261 ecr 0,nop,wscale 7], length 0 08:57:09.285040 IP 172.16.0.20.22060 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 728296369, win 490, options [nop,nop,TS val 3736110261 ecr 671368058], length 0 08:57:09.285102 IP 172.16.0.20.22060 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736110261 ecr 671368058], length 75: HTTP: GET / HTTP/1.1 08:57:09.285534 IP 172.16.0.20.22060 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736110262 ecr 671368059], length 0 08:57:09.285641 IP 172.16.0.20.22060 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736110262 ecr 671368059], length 0 08:57:09.285855 IP 172.16.0.20.22060 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736110262 ecr 671368059], length 0 08:57:09.286211 IP 172.16.0.20.22060 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 874, win 485, options [nop,nop,TS val 3736110263 ecr 671368059], length 0 08:57:10.964151 IP 172.16.0.20.47275 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [S], seq 1863177286, win 62720, options [mss 8960,sackOK,TS val 3736111940 ecr 0,nop,wscale 7], length 0 08:57:10.964645 IP 172.16.0.20.47275 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 464215720, win 490, options [nop,nop,TS val 3736111941 ecr 671369737], length 0 08:57:10.964694 IP 172.16.0.20.47275 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736111941 ecr 671369737], length 75: HTTP: GET / HTTP/1.1 08:57:10.965157 IP 172.16.0.20.47275 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736111942 ecr 671369738], length 0 08:57:10.965243 IP 172.16.0.20.47275 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736111942 ecr 671369738], length 0 08:57:10.965612 IP 172.16.0.20.47275 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736111942 ecr 671369738], length 0 08:57:10.966035 IP 172.16.0.20.47275 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 874, win 485, options [nop,nop,TS val 3736111942 ecr 671369739], length 0 08:58:23.664041 IP 172.16.0.20.16336 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [S], seq 407465876, win 62720, options [mss 8960,sackOK,TS val 3736184640 ecr 0,nop,wscale 7], length 0 08:58:23.664613 IP 172.16.0.20.16336 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 3047424129, win 490, options [nop,nop,TS val 3736184641 ecr 671442437], length 0 08:58:23.664620 IP 172.16.0.20.16336 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736184641 ecr 671442437], length 75: HTTP: GET / HTTP/1.1 08:58:23.665349 IP 172.16.0.20.16336 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736184641 ecr 671442438], length 0 08:58:23.666335 IP 172.16.0.20.16336 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736184642 ecr 671442438], length 0 08:58:23.666344 IP 172.16.0.20.16336 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736184642 ecr 671442438], length 0 08:58:23.666816 IP 172.16.0.20.16336 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 874, win 485, options [nop,nop,TS val 3736184643 ecr 671442440], length 0 08:58:24.529970 IP 172.16.0.20.27720 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [S], seq 3610633804, win 62720, options [mss 8960,sackOK,TS val 3736185506 ecr 0,nop,wscale 7], length 0 08:58:24.530465 IP 172.16.0.20.27720 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 575035162, win 490, options [nop,nop,TS val 3736185507 ecr 671443303], length 0 08:58:24.530545 IP 172.16.0.20.27720 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736185507 ecr 671443303], length 75: HTTP: GET / HTTP/1.1 08:58:24.531020 IP 172.16.0.20.27720 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736185507 ecr 671443304], length 0 08:58:24.531079 IP 172.16.0.20.27720 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736185507 ecr 671443304], length 0 08:58:24.531619 IP 172.16.0.20.27720 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736185508 ecr 671443304], length 0 08:58:24.532042 IP 172.16.0.20.27720 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 874, win 485, options [nop,nop,TS val 3736185508 ecr 671443305], length 0 08:58:25.562872 IP 172.16.0.20.33101 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [S], seq 3415948315, win 62720, options [mss 8960,sackOK,TS val 3736186539 ecr 0,nop,wscale 7], length 0 08:58:25.563301 IP 172.16.0.20.33101 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 2043572435, win 490, options [nop,nop,TS val 3736186540 ecr 671444336], length 0 08:58:25.563424 IP 172.16.0.20.33101 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736186540 ecr 671444336], length 75: HTTP: GET / HTTP/1.1 08:58:25.563812 IP 172.16.0.20.33101 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736186540 ecr 671444337], length 0 08:58:25.563960 IP 172.16.0.20.33101 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736186540 ecr 671444337], length 0 08:58:25.564877 IP 172.16.0.20.33101 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736186541 ecr 671444337], length 0 08:58:25.565259 IP 172.16.0.20.33101 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 874, win 485, options [nop,nop,TS val 3736186542 ecr 671444338], length 0
-
Analysez le résultat. Cette sortie indique que le trafic HTTP a été reçu à partir de l'adresse IP du pare-feu hub.
- Première section de sortie de la demande de boucle effectuée.
- Deuxième section de sortie de la demande de boucle effectuée.
- Troisième section de sortie de la demande de boucle effectuée.
- DNS/IP source.
- DNS/IP de destination.
- Port.
- Indicateurs TCP.
Remarque : collectez les journaux, les captures de paquets et les fichiers tcpdump identiques à ceux du scénario 1 pour les autres scénarios.
Scénario 2 : suivre le paquet de l'instance VCN satellite vers l'instance de hub
Scénario 3 : suivre le paquet de l'instance de hub vers l'instance de VCN satellite
Scénario 4 : suivre le paquet de l'instance VCN satellite vers Internet
Scénario 5 : suivre le paquet de l'instance VCN satellite vers le réseau de service OCI
Scénario 6 : suivre le paquet d'une instance de hub vers Internet
Scénario 7 : suivre le paquet d'Internet vers une instance de hub
Scénario 8 : suivre le paquet d'une instance sur site à une instance VCN satellite
Scénario 9 : suivre le paquet de l'instance VCN satellite vers l'instance sur site
Scénario 10 : suivre le paquet de l'ordinateur distant vers l'équilibreur de charge vers l'instance VCN satellite
Remerciements
- Auteur - Iwan Hoogendoorn (Spécialiste réseau OCI)
Ressources de formation supplémentaires
Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.
Pour obtenir la documentation produit, consultez le site Oracle Help Center.
Follow the Packets in a Hub and Spoke VCN Routing Architecture inside Oracle Cloud Infrastructure
G12470-02
August 2024