¿Cómo analizar el tráfico de red en VMware vSphere?
Hola amigos, soy Florián Murillo y aquí estoy, como cada viernes.
En el mundo de las redes, no existe mejor herramienta que el ping para verificar la conectividad a nivel IP, pero ¿que puedo hacer cuando ping responde pero mi aplicación no conecta a nivel 4 (torre OSI) o superiores?
Una sesión TCP necesita que un servidor esté escuchando y otro establezca la conexión por el puerto de escucha del primero.
$ netstat -an
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 37 0 10.0.1.2.49360 108.160.161.178.443 CLOSE_WAIT
tcp4 37 0 10.0.1.2.49359 199.47.216.174.443 CLOSE_WAIT
tcp4 0 0 127.0.0.1.26164 127.0.0.1.49356 ESTABLISHED
tcp4 0 0 127.0.0.1.49356 127.0.0.1.26164 ESTABLISHED
tcp4 0 0 10.0.1.2.49216 17.158.8.74.993 ESTABLISHED
tcp4 0 0 10.0.1.2.49215 173.194.66.108.993 ESTABLISHED
tcp4 0 0 10.0.1.2.49200 173.194.66.109.993 ESTABLISHED
tcp4 0 0 10.0.1.2.49192 108.160.160.162.80 ESTABLISHED
tcp4 0 0 127.0.0.1.26164 *.* LISTEN
tcp4 0 0 *.17500 *.* LISTEN
tcp4 0 0 10.0.1.2.49162 17.172.232.105.5223 ESTABLISHED
tcp4 0 0 127.0.0.1.29754 *.* LISTEN
tcp4 0 0 127.0.0.1.1023 *.* LISTEN
tcp4 0 0 *.* *.* CLOSED
Con la ayuda del comando netstat (varian los parámetros con el S.O.) podemos asegurar que el servidor escucha por el puerto esperado.
Ahora necesito ver el diálogo entre los servidores para averiguar que problema tengo. En caso de ser un servidor físico el que ofrece el servicio, basta con capturar el tráfico del puerto y duplicarlo en otro puerto del switch, esto tiene varios nombres, mirror, span o sniffer mode, dependiendo del fabricante.
En el puerto duplicado colocamos un analizador de tráfico, os recomiendo wireshark (un clásico) y a analizar tráfico…
¿Que podemos hacer cuando el problema lo tengo con un servidor virtual en uno de mis host ESXi?
Pues lo mismo, pero la forma de realizarlo depende del tipo de virtual switch que estemos utilizando, me explicaré mejor.
Si es un vSwitch he de activar promiscuous mode en el port-group y conectar el wireshark virtual en el mismo port-group y host que el servidor a analizar. Si disponemos de vMotion es muy sencillo.
Si es un dvSwitch 5.0 disponemos de la capacidad de hacer SPAN en un puerto (o un port-group) y reproducir el mismo escenario que antes teníamos en físico. El SPAN es local, es decir que el wireshark lo hemos de trasladar hasta el host donde vive el servidor a analizar, igual que ocurría en el caso anterior con un vSwitch.
En un dvSwitch 5.1 se mejora la funcionalidad SPAN, se incorpora el RSPAN, es decir el SPAN remoto, o lo que es lo mismo, el servidor y el wireshark no necesitan convivir en el mismo host.
En la imagen de la cabecera de este post, se observa que la comunicación entre las dos VMs que hay en el Host 1 es copiada en el Analyzer del Host 2.
El análisis de tráfico nos ayuda a mejorar el conocimiento que tenemos de la comunicación entre dos servidores, o servidor y cliente, solo por este motivo merece la pena tener siempre a mano un wireshark o cualquier otra herramienta similar. ¿Pensáis que los analizadores de tráfico facilitan la resolución de problemas de entendimiento entre sistemas?
Si te ha gustado este articulo, por favor,compártelo en Twitter o en Facebook con los botones de abajo o deja tus comentarios. Muchas gracias por tu apoyo!