Trong bài viết này, người đọc sẽ tìm hiểu các phương pháp để thu thập các thông tin về trình gỡ lỗi debug trên UniFi khi khắc phục sự cố với Ubiquiti Support.
Lưu ý: Nếu cấu hình của bạn bao gồm bất kỳ thông tin nhạy cảm nào như mật khẩu hoặc địa chỉ IP công cộng mà bạn muốn xóa, vui lòng thực hiện xóa thủ công trước khi chia sẻ thông tin của bạn.
Giới thiệu về trình debug trên UniFi
Một trong những điều đầu tiên UniFi Support sẽ yêu cầu khi debug trên UniFi là output của cat /var/log/messages hoặc dmesg. Tuy nhiên, trong một số trường hợp, các thông báo không thể được gửi lại qua phiên đăng nhập SSH cho người dùng. Một tình huống phổ biến khác là người dùng không đăng nhập khi sự cố xảy ra, vì vậy họ không thể nhìn thấy kết quả đầu ra output) và các thông báo đã bị mất đi khi AP bị khởi động lại. Giải pháp đơn giản nhất tại thời điểm đó là sử dụng remote log server (máy chủ ghi nhật ký từ xa).
Ngoài việc nắm bắt thông tin dẫn đến việc khởi động lại, sử dụng remote server có thể đơn giản hóa quá trình chia sẻ tệp nhật ký.
Cách định cấu hình remote log server
Tính năng này khả dụng cho phiên bản firmware UniFi Access Point (UAP) 3.7.18 trở lên; vui lòng nâng cấp nếu sử dụng phiên bản cũ hơn. Nếu vẫn không khả dụng, hãy đảm bảo rằng ứng dụng UniFi Network cũng được cập nhật. Trong ứng dụng UniFi Network, điều hướng đến Settings → Site để bật Netconsole trên UAP và UniFi Switch (USW). Tính năng này hiện không khả dụng cho UniFi Security Gateway (USGs).
Cách chia sẻ thông tin Remote Logging
Sau khi bật Netconsole, các bản ghi này sẽ có sẵn cho các dev của UniFi. Để họ xác định đúng, bạn sẽ phải cho họ biết bằng cách làm như sau:
- Liên hệ với đại diện UniFi mà bạn đang khắc phục sự cố thông qua Cộng đồng.
- Hãy cho họ biết rằng tính năng Remote Logging (Ghi nhật ký từ xa) đã được bật trên ứng dụng UniFi Network của bạn.
- Chia sẻ địa chỉ IP công khai mà các thông báo nhật ký log sẽ đến: đây là cách file nhật ký log được xác định trên máy chủ Ubiquiti.
Lưu ý: IP máy chủ netconsole cho Ubiquiti là 192.76.255.30.
Lấy Traffic với tcpdump
Wireshark (phần mềm xử lý sự cố mạng) sẽ ghi lại những gì đang xảy ra, nhưng đôi khi cần phải xem traffic như thế nào sau khi được xử lý bởi radio. Phần này mô tả một số phương pháp để thực hiện điều đó.
Trước khi bạn bắt đầu, vui lòng xem hướng dẫn sử dụng tcpdump để biết thêm thông tin về cách sử dụng tcpdump hiệu quả. Để sử dụng tcpdump, hãy bắt đầu bằng cách truy cập giao diện dòng lệnh (CLI), bạn có thể làm như vậy bằng cách sử dụng chương trình PuTTY.
Đối với UniFi Access Point (UAP)
tcpdump -i <iface i.e. br0 or athX> -w /tmp/<descriptivefilename.pcapng>
Lưu lượng truy cập có thể được ghi lại trên bất kỳ giao diện nào của UAP và lệnh này có thể chạy cho nhiều giao diện nếu cần. AthX trong lệnh trên tương ứng với một SSID đang được phát bởi UAP. Thông tin đó có thể được tìm thấy bằng cách SSH vào UAP và thực hiện lệnh iwconfig.
Phương pháp này có nhược điểm là tệp được lưu trên AP và sẽ làm cạn bộ nhớ nếu để nó chạy quá lâu. Nó cũng yêu cầu tệp được truy xuất khi hoàn tất. Lệnh này có thể được sửa đổi để lưu tệp vào máy tính mà phiên SSH đang chạy. Để làm như vậy, hãy sử dụng các lệnh sau:
ssh <user> @ <ip of AP> ‘tcpdump -i <iface> src not <ip of computer> và dst not <ip of computer> -w -‘> <descriptivefilename.pcapng>
Các điều kiện src not và dst not rất quan trọng vì chúng sẽ ngăn không cho tệp bị bão hòa với lưu lượng SSH giữa máy tính và AP.
Đối với UniFi Switch (USW)
Trong khi tcpdump có sẵn để sử dụng trên USW, chỉ lưu lượng broadcast/multicast hoặc unicast tới IP quản lý của switch được ghi lại. Phương pháp tốt nhất để thu thập lưu lượng truy cập từ một switch là sử dụng tính năng port mirroring (phản chiếu cổng) kết hợp với Wireshark trên PC được kết nối.
Đối với UniFi Security Gateway (USG)
Cũng như các AP UniFi, USG có thể thu thập lưu lượng truy cập từ bất kỳ giao diện nào bằng tcpdump. Xem các tình huống sau và các lệnh tương ứng:
sudo tcpdump -npi eth #
- Thu thập lưu lượng mạng WAN. Sử dụng eth0 cho mô hình USG và eth2 cho USG Pro.
sudo tcpdump -npi eth #
- Thu thập lưu lượng truy cập VPN (dựa trên VTI). Trên các VTI-based VPN, mỗi tunnel (đường hầm bảo mật) sẽ được gán một VTI. Tunnel phải được thiết lập để lệnh này được xuất ra đúng cách.
- Để xem Route nào được gán cho một giao diện, hãy sử dụng lệnh show:
show ip route | grep vti
- Khi bạn có số VTI cho đường hầm mà bạn muốn nắm bắt lưu lượng truy cập, hãy sử dụng lệnh sau, thay thế # bằng số VTI:
show ip route | grep vti
Lưu ý: Việc thu thập lưu lượng truy cập cho policy-based VPN sẽ chỉ hiển thị các gói dữ liệu đã được mã hóa. Để biết thông tin chi tiết về lưu lượng dành cho VPN Remote Network, hãy thu thập trên giao diện LAN bằng bộ lọc máy chủ (host filter) lưu trữ trên lệnh tcpdump.
File hỗ trợ kỹ thuật
Để có thể xuất tệp hỗ trợ kỹ thuật trên cả USG và USW, bạn cần có SSH client như putty.
Đối với UniFi Security Gateway (USG)
- SSH vào USG.
- Nhập lệnh sau:
show tech-support | no-more
- Sao chép toàn bộ output và dán vào trình soạn thảo văn bản.
- Lưu và đặt tên tệp trong khi sử dụng g .txt extension.
Đối với UniFi Switch (USW)
- SSH vào USW.
- Nhập các lệnh sau:
telnet localhost
enable
show tech-support
- Nhấn phím cách cho đến khi đầu ra hoàn tất hoặc cho đến khi thông báo sau không còn xuất hiện:
–More– or (q)uit
- Sao chép toàn bộ output và dán vào trình soạn thảo văn bản.
- Lưu và đặt tên tệp trong khi sử dụng .txt extension.
Vừa rồi là những thông tin về phương pháp lấy thông tin trình debug trên UniFi. Nếu thắc mắc, bạn có thể liên hệ hỗ trợ qua
Hỗ Trợ Kỹ Thuật: 028-7300-2222
Số máy lẻ (Ext): 89777 Hoặc 8654