في بعض الحالات، قد تنشأ مشاكل عند إعداد جهاز التوجيه الظاهري. على سبيل المثال، لا يعمل إعادة توجيه المنفذ (NAT) و/أو توجد مشكلة في إعداد قواعد جدار الحماية نفسها. أو تحتاج فقط إلى الحصول على سجلات جهاز التوجيه والتحقق من تشغيل القناة وإجراء تشخيصات الشبكة. يشرح موفر السحابة Cloud4Y كيف يتم ذلك.
العمل مع جهاز التوجيه الظاهري
أولاً، نحتاج إلى تكوين الوصول إلى جهاز التوجيه الافتراضي – EDGE. للقيام بذلك، ندخل إلى خدماتها وننتقل إلى علامة التبويب المناسبة - إعدادات EDGE. هناك نقوم بتمكين حالة SSH، وتعيين كلمة مرور، والتأكد من حفظ التغييرات.
إذا استخدمنا قواعد جدار الحماية الصارمة، عندما يكون كل شيء محظورًا افتراضيًا، فإننا نضيف قواعد تسمح بالاتصال بجهاز التوجيه نفسه عبر منفذ SSH:
ثم نتواصل مع أي عميل SSH، على سبيل المثال PuTTY، ونصل إلى وحدة التحكم.
في وحدة التحكم، تصبح الأوامر متاحة لنا، ويمكن رؤية قائمتها باستخدام:
قائمة
ما هي الأوامر التي يمكن أن تكون مفيدة لنا؟ فيما يلي قائمة بالأكثر فائدة:
- واجهة العرض - سيعرض الواجهات المتاحة وعناوين IP المثبتة عليها
- إظهار السجل - سوف تظهر سجلات جهاز التوجيه
- إظهار متابعة السجل - سيساعدك على مشاهدة السجل في الوقت الفعلي مع التحديثات المستمرة. تحتوي كل قاعدة، سواء كانت NAT أو جدار الحماية، على خيار تمكين التسجيل، وعند تمكينه، سيتم تسجيل الأحداث في السجل، مما سيسمح بالتشخيص.
- عرض التدفق - سيُظهر الجدول الكامل للاتصالات المنشأة ومعلماتها
مثال1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
- إظهار قمة التدفق N 10 — يسمح لك بعرض العدد المطلوب من الأسطر، في هذا المثال 10
- إظهار التدفق العلوي N 10 حسب الترتيب - سيساعد في فرز الاتصالات حسب عدد الحزم من الأصغر إلى الأكبر
- إظهار Flowtable topN 10 بايت مرتبة حسب - سيساعد في فرز الاتصالات حسب عدد البايتات المنقولة من الأصغر إلى الأكبر
- إظهار معرف القاعدة المتدفق topN 10 - سيساعد في عرض الاتصالات بواسطة معرف القاعدة المطلوب
- إظهار مواصفات تدفق التدفق SPEC - لاختيار أكثر مرونة للاتصالات، حيث تقوم SPEC - بتعيين قواعد التصفية الضرورية، على سبيل المثال proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365، للاختيار باستخدام بروتوكول TCP وعنوان IP المصدر 9Х.107.69. XX من منفذ المرسل 59365
مثال> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - إظهار قطرات الحزمة - سيسمح لك بمشاهدة الإحصائيات الخاصة بالحزم
- إظهار تدفقات جدار الحماية - يعرض عدادات حزم جدار الحماية مع تدفقات الحزم.
يمكننا أيضًا استخدام أدوات تشخيص الشبكة الأساسية مباشرةً من جهاز توجيه EDGE:
- كلمة بينغ الملكية الفكرية
- ping ip WORD size SIZE count COUNT nofrag - يشير ping إلى حجم البيانات المرسلة وعدد عمليات التحقق، ويحظر أيضًا تجزئة حجم الحزمة المحدد.
- تتبع الملكية الفكرية WORD
تسلسل تشخيص تشغيل جدار الحماية على Edge
- نطلق إظهار جدار الحماية وانظر إلى قواعد التصفية المخصصة المثبتة في جدول usr_rules
- نحن ننظر إلى سلسلة POSTROUTIN ونتحكم في عدد الحزم المسقطة باستخدام حقل DROP. إذا كانت هناك مشكلة في التوجيه غير المتماثل، فسنسجل زيادة في القيم.
لنجري فحوصات إضافية:- سيعمل Ping في اتجاه واحد وليس في الاتجاه المعاكس
- سيعمل الأمر ping، لكن لن يتم إنشاء جلسات TCP.
- نحن ننظر إلى إخراج المعلومات حول عناوين IP - إظهار إيبست
- تمكين تسجيل الدخول على قاعدة جدار الحماية في خدمات Edge
- نحن ننظر إلى الأحداث في السجل - إظهار متابعة السجل
- نحن نتحقق من الاتصالات باستخدام معرف القاعدة المطلوب - إظهار Rule_id القابل للتدفق
- بواسطة إظهار إحصائيات التدفق نقوم بمقارنة اتصالات إدخالات التدفق الحالية المثبتة حاليًا مع الحد الأقصى المسموح به (إجمالي سعة التدفق) في التكوين الحالي. يمكن الاطلاع على التكوينات والحدود المتوفرة في VMware NSX Edge. إذا كنت مهتمًا، فيمكنني التحدث عن هذا في المقالة التالية.
ماذا يمكنك أن تقرأ في المدونة؟
→
→
→
→
→
اشترك في موقعنا
المصدر: www.habr.com