简述:TCPDump是根据使用者的定义对网络上的数据包进行截获的包分析工具,可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤。SD-WAN系统中,控制器/POP节点以及CPE基本上在防火墙测都做了NAT,我们碰到很多次客户抱怨隧道建立不正常,或者非常奇怪的现象,排障到最后发现是防火墙NAT做的不对或者产生异步路径,这时候强烈推荐通过 TCPDump抓包看看源IP地址和NAT是否正确。简述:iperf3是一个广泛使用的网络性能测量和调整工具, 用于主动测试IP网络上最大可用带宽的工具。它支持时序、缓冲区、协议(TCP,UDP,SCTP与IPv4和IPv6)有关的各种参数。可以创建数据流来测量两端之间单向或双向的网络吞吐量。典型的iperf输出包含一个有时间标记的数据传输量和吞吐量测量的报告。SD-WAN有时候由于各种原因,CPE带宽很难达到客户期望,iperf3打流就成为网工必备技能,有时还需要调整TCP Window Size设置窗口大小。iperf3里面很多参数,如:其中一个-R反向模式运行(Server 端发送,Client 端接收),蛮有意思。简述:iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分, iptables是采用数据包过滤机制工作的,所以它会对请求的数据包的包头进行分析,并根据我们预先设定的规则进行匹配来决定是否可以进入主机。SD-WAN 场景:基本上SD-WAN大多基于Linux开发或部署,SD-WAN的系统安全极为重要,经常会遇到各种各样的补丁风险和漏斗。没有软件是完美无缺的,通常软件补丁更新有个滞后期,但有时不需要频繁修改,熟练使用iptables在风险或漏洞告警的时候对系统进行加固和访问策略调整也是SD-WAN网工的基本技能。简述:Linux中可以使用命令行工具nc,判断指定端口的TCP和UDP连接是否通畅 。通常SD-WAN的系统基于Linux开发,nc命令使用起来相对简单。本人使用Mac电脑,Mac也可以使用nc命令作为客户端工具进行端口探测,但是感觉MACBOOK NC端口探测有时不准确,更喜欢用Zenmap。