注意：

本教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure 免费套餐。
它对 Oracle Cloud Infrastructure 身份证明、租户和区间使用示例值。完成实验室后，请使用特定于云环境的那些值替换这些值。

按照 Hub 中的数据包进行操作，并在 Oracle Cloud Infrastructure 中调用 VCN 路由体系结构

简介

实例、数据库和网络服务是 Oracle Cloud Infrastructure (OCI) 中应用的典型构建块。当我们在网络上构建应用程序时，最好知道您从源发送的流量是否到达目的地。OCI 提供了网络路径分析程序来验证路径，但有时您希望逐个跃点了解端点本身发生的情况。

本教程将提供一些场景，您可以使用这些场景在 OCI 中的集线器和分支网络架构中跟踪数据包。

工艺路线流方案

多个路由流方案适用于中心 VCN 路由体系结构和分支 VCN 路由体系结构。

方案 1：将包从一个 Spoke VCN 实例跟踪到另一个 Spoke VCN 实例
方案 2：将包从 Spoke VCN 实例跟踪到 Hub 实例
方案 3：遵循从 Hub 实例到 Spoke VCN 实例的数据包
方案 4：遵循数据包从 Spoke VCN 实例到 Internet
方案 5：遵循从 Spoke VCN 实例到 OCI 服务网络的数据包
方案 6：从 Hub 实例跟踪数据包到 Internet
方案 7：从 Internet 到 Hub 实例跟踪数据包
方案 8：遵循从内部部署到请求 VCN 实例的数据包
方案 9：遵循从 Spoke VCN 实例到内部部署的数据包
方案 10：遵循从远程计算机到负载平衡器的包来请求 VCN 实例

我们仅介绍如何使用方案 1 跟踪包。对于其他方案，可以使用相同的方法。

目标

本教程将演示如何使用 Hub 和 Spoke 网络路由体系结构跟踪 OCI 租户环境中的网络数据包的方法。我们将在 VCN 内使用包捕获、TCPdumps 和子网级日志记录的组合来收集必要的数据。通过后续的数据分析，我们将确定包的完整路径。这种方法将有助于对端到端连接进行故障排除，并且很容易找到可能出现的问题。

方案 1：将包从一个 Spoke VCN 实例跟踪到另一个 Spoke VCN 实例

在此方案中，我们将跟踪从一个分支 VCN 实例到另一个分支 VCN 中实例的数据包。

下图显示了指定的跃点。A 到 F 点表示可以启用某种形式的日志记录或包捕获的位置。我们将逐个探索所有这些地方，以便我们能够跟踪包。

我们需要确定要测试的源、目标和端口。这将确保我们有一个有针对性的方法来分析数据包而不分心。

在本示例中，我们将使用以下源、目标和端口。

源	目的地	目标端口
172.16.1.93	172.16.2.88	TCP/80

为了正确地开始这个旅程，操作顺序必须尽可能有效地设置日志记录，正确捕获和收集信息。

任务 1：记下时间

在本教程中，我们使用中央计算机来收集所有数据。
记下开始分析的时间。对于此示例，它是 8:44 AM。

任务 2：在实例 A 上打开第一个 SSH 会话

我们将使用此会话启动到目标的 HTTP 连接。
1. 通过 SSH 连接到 VCN A 中实例 A 的终端。
2. 尝试使用选项卡式连接。这样便可以在会话之间快速切换。
3. 运行 timedatectl 命令以获取实例的当前时间。
4. 确保时间集正常。对于此示例，它是 8:44 AM。

任务 3：在实例 A 上打开第二个 SSH 会话

打开与 VCN A 中的实例 A 的第二个连接。
我们将使用此会话启用 tcpdump 命令，以便可以使用 tcpdump 启动后面的包。

任务 4：在实例 B 上打开 SSH 会话

我们将使用此会话从源接收 HTTP 连接。
1. 使用 SSH 连接到 VCN B 中实例 B 的终端。
2. 尝试使用选项卡式连接。这样便可以在会话之间快速切换。
3. 运行 timedatectl 命令以获取实例的当前时间。
4. 确保时间集正常。在本例中，它是 8:45 AM。

任务 5：在 pfSense 防火墙上打开 Web 会话

由于我们使用的是 Hub 和 Spoke VCN 路由体系结构，因此，如果流量从一个分支流向另一个分支，流量将通过 pfSense 防火墙。pfSense 防火墙将允许或拒绝流量。我们希望使用包捕获在 pfSense 防火墙中看到这一点。
1. 打开 pfSense 防火墙管理控制台。
2. 单击 Diagnostics 和 Packet Capture 。
您将重定向到包捕获页。不要启动包捕获，我们只是希望将其打开。

任务 6：在 Spoke A 专用子网上启用日志记录（所有日志）

由于源附加到分支 A VCN 中的专用子网，因此我们将在 VCN 中的子网级别启用日志记录。
1. 单击左上角的汉堡菜单（≡）。
2. 单击 Networking 。
3. 单击虚拟云网络。
单击分支 VCN。
单击 VCN A 中的专用子网。
1. 单击日志。
2. 为所有日志选择 Enable Log（启用日志）并将其设置为 enabled。
将所有日志设置保留为默认值，然后单击启用日志。
请注意，状态为创建。
1. 几分钟后，状态将更改为活动。
2. 请注意， Enable log for all is Enabled 。

任务 7：在 Spoke B 专用子网上启用日志记录（所有日志）

对于与任务 6 相同的分支 VCN B 专用子网，请执行以下步骤。
1. 导航到网络、虚拟云网络、 Spoke B VCN 、子网详细信息和日志。
2. 几分钟后，状态将更改为活动。
3. 请注意， Enable log for all is Enabled 。

任务 8：在 Hub 专用子网上启用日志记录（所有日志）

按照与任务 6 相同的集线器专用子网的步骤操作。
1. 导航到网络、虚拟云网络、 Hub VCN 、子网详细信息和日志。
2. 几分钟后，状态将更改为活动。
3. 请注意， Enable log for all is Enabled 。

任务 9：在实例 A 的第二个 SSH 会话上启动 tcpdump 会话

转到实例 A 的第二个 SSH 会话。
运行以下命令以启用 tcpdump：sudo tcpdump -i ens3 dst 172.16.2.88 and src 172.16.1.93 and dst port 80。

注：在 tcpdump 命令中，确保使用正确的过滤器，因此您只能查看有关要查找的流量的信息。对于此示例，我们指定源、目标和端口。
请注意，将启用 tcpdump。

任务 10：在实例 B 的 SSH 会话上启动 tcpdump 会话

转到实例 B 的 SSH 会话。
运行以下命令以启用 tcpdump：sudo tcpdump -i ens3 src 172.16.0.20 and port 80。
请注意，将启用 tcpdump。

`

任务 11：在 pfSense 防火墙上启动包捕获

转到 pfSense 防火墙控制台。
向下滚动到自定义筛选器选项部分。
在未标记的过滤器部分中，输入以下信息并单击开始。
- 选择包括任何一个。
- HOST ID ADDRESS OR SUBNET：对于目标，选择 all of 并输入 172.16.2.88。
- PROTOCOL AND PORT NUMBER：对于端口，选择 any of 并输入 80。
向下滚动。
请注意，已经捕获了包。这将是端口 80 上的所有流量，用于我们的目标 IP 地址 (172.16.2.88)。由于负载平衡器处于活动状态，因此已经存在流量可见性。负载平衡器也在端口 80 上执行健康检查。
在我们从源头进行 HTTP 测试时，我们将保留捕获几分钟，以便我们稍后可以使用 Wireshark 应用程序来筛选出我们正在寻找的正确信息。

任务 12：从实例 A 的第一个 SSH 会话向实例 B Web 服务器发送 HTTP 流量

启动从源到目的地的通信。
- 转到实例 A 的第一个 SSH 会话。
- 再次运行 timedatectl 命令以获取实例的当前时间。
- 记下时间。在本例中，它是 8:56 AM。
运行以下命令以发送 HTTP 流量：curl http://172.16.2.88。
请注意，实例 B 上的 Web 服务器正在回复 HTML 内容。
重复此过程，运行同一命令三到四次以多次发送 HTTP 流量。

任务 13：查看所有日志记录点和数据包捕获并遵循路径

我们可以开始收集信息，以便跟踪数据包。

停止所有日志记录、包捕获和 tcpdumps：

在开始收集信息之前，请停止所有日志记录、包捕获和 tcpdumps，以确保我们不会获得过多的信息。

停止实例 A 和实例 B 的 tcpdump。
- 转到实例 A 的第二个 SSH 会话，然后单击 ctrl+c 以停止 tcpdump。
- 转到实例 B 的 SSH 会话，然后单击 ctrl+c 以停止 tcpdump。
转到 pfSense 防火墙管理控制台并停止数据包捕获。
在中心 VCN 上禁用日志记录。
1. 转到网络、虚拟云网络、 Hub VCN 、子网详细信息，然后单击日志。
2. 切换所有用户的启用日志以禁用日志记录。
状态为正在更新。
几分钟后，状态将更改为无效。
禁止在分支 VCN A 上登录。
- 转到网络、虚拟云网络、 Spoke VCN A 、子网详细信息，然后单击日志。
- 几分钟后，状态将更改为无效。
- 确保所有用户的启用日志均为已禁用。
禁用对分支 VCN B 的登录。
- 转到网络、虚拟云网络、 Spoke VCN B 、子网详细信息，然后单击日志。
- 几分钟后，状态将更改为无效。
- 确保所有用户的启用日志均为已禁用。
我们已禁用所有日志记录、包捕获和 tcpdumps，现在是时候查看数据了。

下图显示了所有记录点 A、B、C、D、E 和 F

日志记录点 A：实例 A 上的 tcpdump

转到实例 A 的第二个 SSH 会话。
请注意，生成的 tcpdump 输出。

Tcpdump 输出。

[opc@ih-instance-vcn-a ~]$ sudo tcpdump -i ens3 dst 172.16.2.88 and src 172.16.1.93 and dst port 80
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens3, link-type EN10MB (Ethernet), capture size 262144 bytes
08:56:50.489159 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.57422 > 172.16.2.88.http: Flags [S], seq 1817516973, win 62720, options [mss 8960,sackOK,TS val 3736091466 ecr 0,nop,wscale 7], length
0
08:56:50.491649 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.57422 > 172.16.2.88.http: Flags [.], ack 372277210, win 490, options [nop,nop,TS val 3736091468 ecr 671349263], length 0
08:56:50.491702 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.57422 > 172.16.2.88.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736091468 ecr 671349263], length 75: HTTP: GET / HTTP/1.1
08:56:50.492114 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.57422 > 172.16.2.88.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736091469 ecr 671349265], length 0
08:56:50.492210 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.57422 > 172.16.2.88.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736091469 ecr 671349265], length 0
08:56:50.492982 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.57422 > 172.16.2.88.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736091469 ecr 671349265], length 0
08:56:50.493488 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.57422 > 172.16.2.88.http: Flags [.], ack 874, win 485, options [nop,nop,TS val 3736091470 ecr 671349267], length 0
08:57:09.284210 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54210 > 172.16.2.88.http: Flags [S], seq 3049648180, win 62720, options [mss 8960,sackOK,TS val 3736110261 ecr 0,nop,wscale 7], length
0
08:57:09.284913 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54210 > 172.16.2.88.http: Flags [.], ack 728296369, win 490, options [nop,nop,TS val 3736110261 ecr 671368058], length 0
08:57:09.284973 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54210 > 172.16.2.88.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736110261 ecr 671368058], length 75: HTTP: GET / HTTP/1.1
08:57:09.285422 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54210 > 172.16.2.88.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736110262 ecr 671368059], length 0
08:57:09.285522 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54210 > 172.16.2.88.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736110262 ecr 671368059], length 0
08:57:09.285590 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54210 > 172.16.2.88.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736110262 ecr 671368059], length 0
08:57:09.286060 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54210 > 172.16.2.88.http: Flags [.], ack 874, win 485, options [nop,nop,TS val 3736110263 ecr 671368059], length 0
08:57:10.963760 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54214 > 172.16.2.88.http: Flags [S], seq 1863177286, win 62720, options [mss 8960,sackOK,TS val 3736111940 ecr 0,nop,wscale 7], length
0
08:57:10.964504 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54214 > 172.16.2.88.http: Flags [.], ack 464215720, win 490, options [nop,nop,TS val 3736111941 ecr 671369737], length 0
08:57:10.964551 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54214 > 172.16.2.88.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736111941 ecr 671369737], length 75: HTTP: GET / HTTP/1.1
08:57:10.965048 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54214 > 172.16.2.88.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736111942 ecr 671369738], length 0
08:57:10.965135 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54214 > 172.16.2.88.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736111942 ecr 671369738], length 0
08:57:10.965351 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54214 > 172.16.2.88.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736111942 ecr 671369738], length 0
08:57:10.965865 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.54214 > 172.16.2.88.http: Flags [.], ack 874, win 485, options [nop,nop,TS val 3736111942 ecr 671369739], length 0
08:58:23.663598 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.53200 > 172.16.2.88.http: Flags [S], seq 407465876, win 62720, options [mss 8960,sackOK,TS val 3736184640 ecr 0,nop,wscale 7], length 0
08:58:23.664381 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.53200 > 172.16.2.88.http: Flags [.], ack 3047424129, win 490, options [nop,nop,TS val 3736184641 ecr 671442437], length 0
08:58:23.664430 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.53200 > 172.16.2.88.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736184641 ecr 671442437], length 75: HTTP: GET / HTTP/1.1
08:58:23.665005 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.53200 > 172.16.2.88.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736184641 ecr 671442438], length 0
08:58:23.665129 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.53200 > 172.16.2.88.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736184642 ecr 671442438], length 0
08:58:23.665297 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.53200 > 172.16.2.88.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736184642 ecr 6714
08:58:23.666655 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5
gs [.], ack 874, win 485, options [nop,nop,TS val 3736184643 ecr 671442440], l
08:58:24.529502 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5
gs [S], seq 3610633804, win 62720, options [mss 8960,sackOK,TS val 3736185506
0
08:58:24.530337 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5
gs [.], ack 575035162, win 490, options [nop,nop,TS val 3736185507 ecr 6714433
08:58:24.530386 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5
gs [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736185507 ecr 6714
/ HTTP/1.1
08:58:24.530886 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5
gs [.], ack 239, win 489, options [nop,nop,TS val 3736185507 ecr 671443304], l
08:58:24.530966 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5
gs [.], ack 873, win 485, options [nop,nop,TS val 3736185507 ecr 671443304], l
08:58:24.531347 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5
gs [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736185508 ecr 6714
08:58:24.531891 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5
gs [.], ack 874, win 485, options [nop,nop,TS val 3736185508 ecr 671443305], l
08:58:25.562327 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5
gs [S], seq 3415948315, win 62720, options [mss 8960,sackOK,TS val 3736186539
0
08:58:25.563186 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5
gs [.], ack 2043572435, win 490, options [nop,nop,TS val 3736186540 ecr 671444
08:58:25.563244 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5
gs [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736186540 ecr 6714
/ HTTP/1.1
08:58:25.563718 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5
gs [.], ack 239, win 489, options [nop,nop,TS val 3736186540 ecr 671444337], l
08:58:25.563845 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5
gs [.], ack 873, win 485, options [nop,nop,TS val 3736186540 ecr 671444337], l
08:58:25.564627 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5
gs [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736186541 ecr 6714
08:58:25.565113 IP ih-instance-vcn-a.ihprivatesubnet.spokevcna.oraclevcn.com.5
gs [.], ack 874, win 485, options [nop,nop,TS val 3736186542 ecr 671444338], l

分析输出。此输出指示 HTTP 流量是从实例 A 发送的。
1. 发出的 curl 请求的第一个输出部分。
2. 提出的 curl 请求的第二个输出部分。
3. 源 DNS/IP。
4. 目标 DNS/IP。
5. 端口。
6. TCP 标志。

日志记录点 B：在 Spoke VCN 专用子网上日志记录

现在，查看子网级别日志来查看包在 VCN 的子网上是否可见。

导航到网络、虚拟云网络、 Spoke VCN A 、（专用）子网详细信息、日志，然后单击 all 类别的日志名称。
1. 单击操作下拉菜单。
2. 单击 Explore with Log Search 。
在定制过滤器中，输入以下过滤器。
- data.destinationAddress='172.16.2.88'.
- data.sourceAddress='172.16.1.93'.
将添加目的地的筛选器。
将添加源的过滤器。
1. 按时间筛选：选择过去一小时。
2. 请注意，条形图指示有日志数据可用于我们在筛选器中使用的源和目标。
3. 向下滚动。
1. 请注意源 IP。
2. 请注意目标 IP。
3. 请注意端口。
1. 向上滚动。
2. 单击日志。

日志记录点 C：在中心 VCN 专用子网上日志记录

单击 Hub VCN 的日志名称。
流量不会从防火墙进入实例 B VCN，因此我们需要更改源和目标筛选器。
1. 在定制过滤器中，输入以下过滤器。
  - data.destinationAddress='172.16.0.20'
  - data.sourceAddress='172.16.1.93'
  - data.destinationPort='80'
2. 请注意，条形图指示有日志数据可用于我们在筛选器中使用的源和目标。
3. 向下滚动。
1. 请注意详细的日志记录部分。
2. 记下源 IP。
3. 记下目标 IP。
4. 注意端口。

日志记录点 D：在 pfSense 防火墙上捕获数据包

转到 pfSense 防火墙管理控制台。
1. 单击下载。
2. 确保已下载捕获。
在 Wireshark 中打开包捕获。
1. 输入以下 Wireshark 过滤器。
  - (ip.dst == 172.16.2.88 && ip.src == 172.16.1.93) || (ip.dst == 172.16.2.88 && ip.src == 172.16.1.93) && http
2. 记下源 IP。
3. 记下目标 IP。
4. 记下端口或协议。

日志记录点 E：在 Spoke VCN B 专用子网上日志记录

导航到日志记录和日志，然后单击分支 VCN B 的日志名称。
1. 单击操作下拉菜单。
2. 单击 Explore with Log Search 。
1. 在定制过滤器中，输入以下过滤器。
  - data.destinationAddress='172.16.2.88'.
  - data.sourceAddress='172.16.0.20'.
2. 请注意，条形图指示有日志数据可用于我们在筛选器中使用的源和目标。
3. 向下滚动。
1. 请注意详细的日志记录部分。
2. 记下源 IP。
3. 记下目标 IP。
4. 注意端口。

日志记录点 F：实例 B 上的 Tcpdump

转到实例 B 的 SSH 会话。
请注意生成的 tcpdump 输出。

Tcpdump 输出。

[opc@ih-instance-vcn-b ~]$ sudo tcpdump -i ens3 src 172.16.0.20 and port 80
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens3, link-type EN10MB (Ethernet), capture size 262144 bytes
56:50.489551 IP 172.16.0.20.23408 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [S], seq 1817516973, win 62720, options [mss 8960,sackOK,TS val 3736091466 ecr 0,nop,wscale 7], length
0
56:50.491813 IP 172.16.0.20.23408 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 372277210, win 490, options [nop,nop,TS val 3736091468 ecr 671349263], length 0
56:50.491849 IP 172.16.0.20.23408 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736091468 ecr 671349263], length 75: HTTP: GET / HTTP/1.1
56:50.492311 IP 172.16.0.20.23408 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736091469 ecr 671349265], length 0
56:50.492327 IP 172.16.0.20.23408 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736091469 ecr 671349265], length 0
56:50.493247 IP 172.16.0.20.23408 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736091469 ecr 671349265], length 0
56:50.493667 IP 172.16.0.20.23408 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 874, win 485, options [nop,nop,TS val 3736091470 ecr 671349267], length 0
57:09.284597 IP 172.16.0.20.22060 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [S], seq 3049648180, win 62720, options [mss 8960,sackOK,TS val 3736110261 ecr 0,nop,wscale 7], length
0
57:09.285040 IP 172.16.0.20.22060 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 728296369, win 490, options [nop,nop,TS val 3736110261 ecr 671368058], length 0
57:09.285102 IP 172.16.0.20.22060 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736110261 ecr 671368058], length 75: HTTP: GET / HTTP/1.1
57:09.285534 IP 172.16.0.20.22060 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736110262 ecr 671368059], length 0
57:09.285641 IP 172.16.0.20.22060 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736110262 ecr 671368059], length 0
57:09.285855 IP 172.16.0.20.22060 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736110262 ecr 671368059], length 0
57:09.286211 IP 172.16.0.20.22060 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 874, win 485, options [nop,nop,TS val 3736110263 ecr 671368059], length 0
57:10.964151 IP 172.16.0.20.47275 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [S], seq 1863177286, win 62720, options [mss 8960,sackOK,TS val 3736111940 ecr 0,nop,wscale 7], length
0
57:10.964645 IP 172.16.0.20.47275 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 464215720, win 490, options [nop,nop,TS val 3736111941 ecr 671369737], length 0
57:10.964694 IP 172.16.0.20.47275 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736111941 ecr 671369737], length 75: HTTP: GET / HTTP/1.1
57:10.965157 IP 172.16.0.20.47275 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736111942 ecr 671369738], length 0
57:10.965243 IP 172.16.0.20.47275 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736111942 ecr 671369738], length 0
57:10.965612 IP 172.16.0.20.47275 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736111942 ecr 671369738], length 0
57:10.966035 IP 172.16.0.20.47275 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 874, win 485, options [nop,nop,TS val 3736111942 ecr 671369739], length 0
58:23.664041 IP 172.16.0.20.16336 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [S], seq 407465876, win 62720, options [mss 8960,sackOK,TS val 3736184640 ecr 0,nop,wscale 7], length 0
58:23.664613 IP 172.16.0.20.16336 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 3047424129, win 490, options [nop,nop,TS val 3736184641 ecr 671442437], length 0
58:23.664620 IP 172.16.0.20.16336 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736184641 ecr 671442437], length 75: HTTP: GET / HTTP/1.1
58:23.665349 IP 172.16.0.20.16336 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736184641 ecr 671442438], length 0
58:23.666335 IP 172.16.0.20.16336 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736184642 ecr 671442438], length 0
58:23.666344 IP 172.16.0.20.16336 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736184642 ecr 671442438], length 0
58:23.666816 IP 172.16.0.20.16336 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 874, win 485, options [nop,nop,TS val 3736184643 ecr 671442440], length 0
58:24.529970 IP 172.16.0.20.27720 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [S], seq 3610633804, win 62720, options [mss 8960,sackOK,TS val 3736185506 ecr 0,nop,wscale 7], length
0
58:24.530465 IP 172.16.0.20.27720 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 575035162, win 490, options [nop,nop,TS val 3736185507 ecr 671443303], length 0
58:24.530545 IP 172.16.0.20.27720 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736185507 ecr 671443303], length 75: HTTP: GET / HTTP/1.1
58:24.531020 IP 172.16.0.20.27720 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736185507 ecr 671443304], length 0
58:24.531079 IP 172.16.0.20.27720 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736185507 ecr 671443304], length 0
58:24.531619 IP 172.16.0.20.27720 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736185508 ecr 671443304], length 0
58:24.532042 IP 172.16.0.20.27720 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 874, win 485, options [nop,nop,TS val 3736185508 ecr 671443305], length 0
58:25.562872 IP 172.16.0.20.33101 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [S], seq 3415948315, win 62720, options [mss 8960,sackOK,TS val 3736186539 ecr 0,nop,wscale 7], length
0
58:25.563301 IP 172.16.0.20.33101 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 2043572435, win 490, options [nop,nop,TS val 3736186540 ecr 671444336], length 0
58:25.563424 IP 172.16.0.20.33101 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [P.], seq 0:75, ack 1, win 490, options [nop,nop,TS val 3736186540 ecr 671444336], length 75: HTTP: GET / HTTP/1.1
58:25.563812 IP 172.16.0.20.33101 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 239, win 489, options [nop,nop,TS val 3736186540 ecr 671444337], length 0
58:25.563960 IP 172.16.0.20.33101 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 873, win 485, options [nop,nop,TS val 3736186540 ecr 671444337], length 0
58:25.564877 IP 172.16.0.20.33101 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [F.], seq 75, ack 873, win 485, options [nop,nop,TS val 3736186541 ecr 671444337], length 0
58:25.565259 IP 172.16.0.20.33101 > ih-instance-vcn-b.ihprivatesubnet.spokevcnb.oraclevcn.com.http: Flags [.], ack 874, win 485, options [nop,nop,TS val 3736186542 ecr 671444338], length 0

分析输出。此输出指示从集线器防火墙 IP 收到了 HTTP 流量。
1. 发出的 curl 请求的第一个输出部分。
2. 提出的 curl 请求的第二个输出部分。
3. 提出的 curl 请求的第三个输出部分。
4. 源 DNS/IP。
5. 目标 DNS/IP。
6. 端口。
7. TCP 标志。

注：为其他方案收集与方案 1 相同的日志、包捕获和 tcpdumps。

方案 2：将包从 Spoke VCN 实例跟踪到 Hub 实例

方案 3：遵循从 Hub 实例到 Spoke VCN 实例的数据包

方案 4：遵循数据包从 Spoke VCN 实例到 Internet

方案 5：遵循从 Spoke VCN 实例到 OCI 服务网络的数据包

方案 6：从 Hub 实例跟踪数据包到 Internet

方案 7：从 Internet 到 Hub 实例跟踪数据包

方案 8：遵循从内部部署到请求 VCN 实例的数据包

方案 9：遵循从 Spoke VCN 实例到内部部署的数据包

方案 10：遵循从远程计算机到负载平衡器的包来请求 VCN 实例

确认

作者 — Iwan Hoogendoorn（OCI 网络专家）