【IPSEC】VPN监控包如何来分析问题

问题描述

VPN监控包主要应用于VPN不定时丢包延迟、VPN中断这几类问题，打监控包的目的主要就是获取到出现问题的时候对应的数据包，以便于分析问题。下面将介绍VPN监控包打包之后，获取到的监控包有哪些东西可以查看，如何来分析问题当时的情况，并且将通过一个实例来讲解怎么去分析问题的

如下图，是一个VPN监控包产生的文件

对于我们分析问题，VPN监控包只是一个辅助工具，还有一些其他的信息需要收集的，如：
1、总部设备和分支设备与北京时间的差距
2、总部和分支网络拓扑
3、如果有VPN日志的，需要提供出现问题时间点的总部和分支的日志信息
 
如何来使用监控包分析问题：
（1）先确定好出现问题的时间点，这个可以通过咨询客户确认大概时间以及VPN日志确认（VPN中断问题可以通过VPN日志确认）。可以通过VPN监控包中的vpnstate.log、vpnwatch.log、vpn_ping_detect_x.x.x.x.log判断VPN状态和VPN丢包延迟的时间点
（2）再根据时间点，去找总部和分支的数据包，总部和分支的数据包需要能在同一时间点对应得上，否则两份数据包没有对比的价值，对比数据包是否一致可以查看ip.id是否一致来做判断
（3）分析数据包判断问题原因
 
案例：
问题现象：客户总部所有的分支，不定时的出现所有VPN中断
处理过程：
1、根据总部vpnwatch.log找到出现不通中断的时间点，以及对应时间点的数据包

2、找到总部数据包之后，再去找分支的数据包，客户总部设备比分支快了48分钟左右，则分支对应总部的数据包，应该是这样的：

3、进一步对比数据包中的内容，能看到ip.id是对应得上的，说明两个数据包是没问题的。
4、进一步分析数据包，下面的红框内有SYN三次握手的数据包，这里能说明VPN是这个时间点重新连接过，往上看，能看到分支（右）发出去的数据包总部有收到，但是总部回包分支没有收到，也就是说中间存在网络问题，导致分支没有收到总部的数据包，造成VPN探测包超时中断以及断开之后VPN连接不上。

解决方案

NA，经验分享，不涉及