CheckPoint Cách sử dụng tcpdump trên Checkpoint để kiểm tra gói CCP

HanaLink

Junior – IT Sơ cấp
Mar 11, 2022
137
15
18
25
Ho Chi Minh City
Bạn đang triển khai ClusterXL Checkpoint nhưng khi kiểm tra trạng thái thì lại thấy báo lỗi Local Probing, vậy đây là lỗi gì? Cách kiểm tra cũng như troubleshooting bạn có thể tham khảo trong bài viết này nhé.
1679285881819.png


1. Local Probing là gì?
Local Probing là một chỉ báo cho cơ chế thăm dò cục bộ. Cụ thể hơn, khi tạo Cluster thì các Thành viên cụm sẽ sử dụng gói CCP gửi mặc định trên tất cả các giao diện cụm (trừ các giao diện Private). Nếu Thành viên cujcm không nhận được dữ liệu trạng thái từ Thành viên cụm khác trên 1 phân đoạn nhất định, thành viên cụm này sẽ thăm dò phân khúc đó để cố gắng nhận phản hồi, và khi ta kiểm tra mà thông tin tại đây hiện là "problem" nghĩa là cơ chế thăm dò cục bộ đang chạy trên ít nhất 1 giao diện cụm (lưu ý là trạng thái của thành viên cụm sẽ không thay đổi).

Mục đích của cơ chế tham dò này là để phát hiện bản chất của lỗi giao diện có thể xảy ra và để xác định module nào có vấn đề, sau khi thăm dò sẽ xác định hành động nào được thực hiện tiếp theo (như thay đổi trạng thái giao diện hoặc của thành viên cụm).

Để thăm dò mạng cục bộ, Thành viên cụm sẽ gửi yêu cầu ARP tới mạng cục bộ. Nếu các yêu cầu ARP được trả lời, các thành viên cụm kết luận rằng không có vấn đề kết nối trên giao diện cục bộ của nó và sẽ được kết luận rằng gói CCP không gửi/nhận được do một số vấn đề với các Thành viên khác, vì vậy giao diện được thăm dò vẫn sẽ giữ nguyên trạng thái là "up".

Còn trong trường hợp thăm dò không nhận được trả lời, Thành viên cụm không thể xác minh được giao diện. Do đó, trạng thái giao diện thay đổi thành "down" và phần báo cáo Local Probing sẽ cập nhập trạng thái là "problem", đồng thời trạng thái cụm của Thành viên cụm này cũng thay đổi thành "DOWN".
1679288751782.png


2. Troubleshooting bằng tcpdump
Bước 1:
Để tìm được giao diện nào gặp sự cố kết nối, hãy kiểm tra tệp $FWDIR/log/fwk.elg và tệp /var/log/messages để tìm thông báo sau:
Code:
CLUS-120207-1: Local probing has started on interface: <Name of Interface>
CLUS-120207-1: Local Probing PNOTE ON

Bước 2: Tiến hành ping giữa các giao diện bị ảnh hưởng của Thành viên cụm

Bước 3: Sử dụng công cụ tcpdump (vào mode expert) trên các giao diện bị ảnh hưởng kiểm tra xem có lưu lượng đi qua cổng 8116 giữa các Thành viên cụm hay không
Code:
tcpdump -i <interface> port 8116
1679296053251.png


Ngoài ra ta có thể xuất thành gói tin pcap để tiện theo dõi các gói tin sau đó truy cập vào mục /home/admin để lấy file pcap này:
Code:
tcpdump -i <interface> port 8116 -w <namefile>.pcap
1679296304256.png


Chúc các bạn thành công :">
 
Lúc này thì trạng thái của các member trong cluster hiển thị ra sao? và các bước tiếp theo để xử lý lỗi này như thế nào?
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu