Tcpdump助力流量分析_理论篇
tcpdump 和 Wireshark 就是最常用的网络抓包和分析工具,更是分析网络性能必不可少的利器。
tcpdump 仅支持命令行格式使用,常用在服务器中抓取和分析网络包。Wireshark 除了可以抓包外,还提供了强大的图形界面和汇总分析工具,在分析复杂的网络情景时,尤为简单和实用。因而,在实际分析网络性能时,先用 tcpdump 抓包,后用 Wireshark 分析,也是一种常用的方法。
典型使用场景如下:
Monitor状态flapping(case最多,先抓包,再收qkview和log)
Performance性能相关问题: 应用访问慢
应用访问异常(访问失败,账户经常异常登出,升级之后VS异常)
异常流量排查(throughput增加, connection突增导致CPU memory使用上升 )
新加配置不工作或者不按照配置工作(persistence不工作)
交换路由等常规问题(ping不通,telnet端口不可达)
准备工作如下:
初步问题描述定位,尽可能明确到相关配置(受影响的 VS, pool member)
- 检查相关配置,准备抓包过滤条件
- 当前配置正常的业务流
(VS type, nPath)
映射具体问题到具体的配置,获取以下信息
• Virtual Server 配置 :VIP和Port,Pool member IP
• 是否使用SNAT (AutoMap / SNAT pool)
• 是否使用iRule做LB或者SNAT
• 平台是否支持pva,是否在配置中enable了PVA
• 是否是 HA
注意事项:确保进行抓包的过程中时关闭硬件加速的(针对于商用设备f5 服务器侧可忽略)
tcpdump 的参数说明
过滤表达式说明:
针对于在f5 这种负载均衡设备由于厂商对tcpdump进行了优化设计对应的常用参数使用如下: