docbook/eug_src/EUG_chapter_troubleshoot.xml

   1 <!-- EUG Chapter Four -->
   2 <!-- $Id$ -->
   3
   4 <chapter id="Chap04">
   5   <title>Troubleshooting with <application>Ethereal</application></title>
   6   <section>
   7     <title>An approach to troubleshooting with Ethereal</title>
   8     <para>
   9       Ethereal is a very useful tool for network troubleshooting, since it
  10       contains a number of features that allow you to quickly focus on
  11       problems in your networkfor several reasons:
  12       <itemizedlist>
  13         <listitem>
  14           <para>
  15             It allows you to focus in on specific packets and protocols,
  16             as you can see a large amount of detail associated with
  17             various protocols.
  18           </para>
  19         </listitem>
  20         <listitem>
  21           <para>
  22             It supports a large number of protocols, and the list of
  23             protocols supported is growing as more people contribute
  24             dissectors
  25           </para>
  26         </listitem>
  27         <listitem>
  28           <para>
  29             By giving you a visual view of traffic in parts of your
  30             network, and providing tools to filter and colorize that
  31             information, you can get a better feel for your network
  32             traffic, and can understand your network better.
  33           </para>
  34         </listitem>
  35       </itemizedlist>
  36     </para>
  37     <para>
  38       The following general approach is suggested:
  39       <itemizedlist>
  40         <listitem>
  41           <para>
  42             Determine that the problem looks like a networking problem.
  43             There is no point in capturing packets if the problem is not
  44             networking related.
  45           </para>
  46         </listitem>
  47         <listitem>
  48           <para>
  49             Figure out where to capture packets.  You will have to
  50             capture packets from a part of the network where you can
  51             actually get network traffic related to the problem.  This is
  52             especially important in the presence of switches and routers.
  53             See <xref linkend="Ch04ROUSWI"/> for more details.
  54           </para>
  55           <para>
  56             Because Ethereal can read many capture file formats, you can
  57             capture using any conventient tool. One useful approach is
  58             to use <command>tcpdump</command> to capture on remote
  59             systems and then copy the capture file to your system for
  60             later analysis. For more details on capturing with
  61             <command>tcpdump</command>, see <xref linkend="Ch05tcpdump"/>.
  62           </para>
  63         </listitem>
  64         <listitem>
  65           <para>
  66             Once you have captured packets that you think relate to
  67             the problem, load them into Ethereal and look for your
  68             problem. Using Ethereal's filtering and colorization
  69             capabilities, you can quickly narrow down the capture to the
  70             area of interest.
  71           </para>
  72         </listitem>
  73         <listitem>
  74           <para>
  75             Examine the appropriate fields within the packets where
  76             the problem appears to be. These can often help to reveal
  77             the problem.
  78           </para>
  79         </listitem>
  80       </itemizedlist>
  81     </para>
  82   </section>
  83   <section id="Ch04ROUSWI">
  84     <title>Capturing in the presence of switches and routers</title>
  85     <para>
  86         In the old days of Ethernet, all network traffic was spreaded over one
  87         "yellow" cable through the whole network. Capturing data was easy,
  88         as all packets from the network could be captured using the
  89         "promiscuous mode" at any place in the network. The only devices blocking
  90         network traffic, were routers. But as routers were extremely expensive,
  91         they were not widely used.
  92     </para>
  93     <para>
  94         Then Ethernet wiring using hubs become the state of the art. As the hubs
  95         still spreaded the packets all over the network, things regarding
  96         capturing didn't changed.
  97     </para>
  98     <para>
  99         At the next stage, Ethernet switches became widely available. This
 100         complicated things a lot. When capturing traffic on a computer connected
 101         to a switch, usually the switch will only forward packets to the computer,
 102         which are directed to it, or to all computers (broadcast's). It's much the
 103         same like deactivating the promiscuous mode of the capturing network card.
 104     </para>
 105     <para>
 106         There are some ways to circumvent this.
 107     </para>
 108     <para>
 109       Many vendor's switches support a feature known as "port spanning"
 110       or "port mirroring" in which all of the traffic to and from port A
 111       are also sent out port B.  An excellent reference on the
 112       "port spanning" feature of Cisco switches can be found at
 113       <ulink url="http://www.cisco.com/warp/public/473/41.html">
 114         Configuring the Catalyst Switched Port Analyzer (SPAN) Feature
 115       </ulink>
 116     </para>
 117   </section>
 118   <section>
 119     <title>Examples of troubleshooting</title>
 120     <para>
 121       Troubleshooting often requires a reasonable knowledge of the
 122       protocols in question. However, as Ethereal will often give you some
 123           good hints, you might get an idea of what is going wrong simply by
 124           looking in the packets being exchanged.
 125     </para>
 126   </section>
 127 </chapter>
 128 <!-- End of EUG Chapter 4 -->
 129