Дыягностыка сеткавых злучэнняў на віртуальным роўтары EDGE

У некаторых выпадках пры наладзе віртуальнага маршрутызатара могуць узнікнуць праблемы. Напрыклад, не працуе пракід портаў (NAT) і/ці праблема ў наладзе саміх правіл Firewall. Або проста трэба атрымаць логі працы роўтара, праверыць працу канала, правесці сеткавую дыягностыку. Як гэта робіцца, распавядае хмарны правайдэр Cloud4Y.

Праца з віртуальным роўтэрам

Першым чынам нам трэба наладзіць доступ да віртуальнага роўтара - EDGE. Для гэтага ўваходзім у яго сэрвісы і пераходзім на адпаведную ўкладку - EDGE Settings. Там уключаем SSH Status, задаём пароль, і абавязкова захоўваем змены.

Калі мы выкарыстоўваем строгія правілы Firewall-a, калі забаронена ўсё па змаўчанні, то дадаем правілы, якія дазваляюць падлучэнні да самога роўтара па SSH порце:

Пасля падлучаемся любым SSH-кліентам, напрыклад PuTTY, і пападаем у кансоль.

У кансолі нам становяцца даступныя каманды, пералік якіх можна ўбачыць, выкарыстоўваючы:
спіс

Якія каманды могуць нам спатрэбіцца? Прывядзем спіс найбольш карысных:

• паказаць інтэрфейс - Адлюструе даступныя інтэрфейсы і ўсталяваныя IP-адрасы на іх
• паказаць журнал - пакажа логі роўтара
• show log follow - дапаможа глядзець лог ў рэальным часе з пастаянным абнаўленнем. У кожнага правіла, няхай гэта будзе NAT або Fierwall, ёсць опцыя Enable logging, пры ўключэнні якой падзеі будуць фіксавацца ў логу, што дазволіць правесці дыягностыку.
• show flowtable - пакажа ўсю табліцу ўсталяваных злучэнняў і іх параметры
  Прыклад1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• show flowtable topN 10 - дазваляе адлюстраваць патрэбную колькасць радкоў, у дадзеным прыкладзе 10
• show flowtable topN 10 sort-by pkts - дапаможа адсартаваць злучэнні па колькасці пакетаў ад меншага да большага
• show flowtable topN 10 sort-by bytes - дапаможа адсартаваць злучэнні па колькасці перададзеных bytes ад меншага да большага
• show flowtable rule-id ID topN 10 - дапаможа адлюстраваць злучэнні па патрэбным ID правілы
• show flowtable flowspec SPEC - для больш гнуткага адбору злучэнняў, дзе SPEC - задае патрэбныя правілы фільтрацыі, напрыклад proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, для адбору па пратаколе TCP і IP адрасе крыніцы 9Х.107.69.XX з порта адпраўніка 59365
  Прыклад> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• show packet drops - дазволіць паглядзець статыстыку па пакетах
• show firewall flows - паказвае лічыльнікі пакетаў брандмаўэра разам са струменямі пакетаў.

Таксама мы можам выкарыстоўваць асноўныя сеткавыя інструменты дыягностыкі непасрэдна з роўтара EDGE:

• ping ip WORD
• ping ip WORD size SIZE count COUNT nofrag - прапінгаваць з указаннем памеру дадзеных і колькасці праверак, якія перасылаюцца, а таксама забараніць фрагментацыю ўсталяванага памеру пакета.
• traceroute ip WORD

Паслядоўнасць дыягностыкі працы Firewall на Edge

1. Запускаем show firewall і глядзім усталяваныя карыстацкія правілы фільтрацыі ў табліцы usr_rules
2. Глядзім ланцужок POSTROUTIN і кантралюем колькасць скінутых пакетаў па полі DROP. Пры наяўнасці праблемы з асіметрычнай маршрутызацыяй мы будзем фіксаваць рост значэнняў.
   Правядзем дадатковым праверкі:
   • Праца ping будзе ў адным кірунку і адсутнасць у зваротным
   • ping будзе працаваць, але сесіі TCP не будуць усталёўвацца.
3. Глядзім выснову інфармацыі аб IP-адрасоў show ipset
4. Уключаем лагіраванне на правіле firewall у сэрвісах Edge
5. Глядзім падзеі па лагу show log follow
6. Правяраем злучэнні па патрэбным rule_id show flowtable rule_id
7. Пры дапамозе show flowstats параўноўваем бягучае ўсталяваныя злучэнні Current Flow Entries з максімальна дапушчальнымі (Total Flow Capacity) у бягучай канфігурацыі. Даступныя канфігурацыі і ліміты можна паглядзець у VMware NSX Edge. Пра гэта, калі цікава, я магу расказаць у наступным артыкуле.

Што яшчэ карыснага можна пачытаць у блогу Cloud4Y

→ Устойлівыя да CRISPR вірусы будуюць «сховішчы» для абароны геномаў ад ДНК-пранікальных ферментаў
→ Як «зламаўся» банк
→ Вялікая тэорыя сняжынак
→ Інтэрнэт на паветраных шарах
→ Пентэстэры на перадавой кібербяспекі

Падпісвайцеся на наш Тэлеграма-канал, каб не прапусціць чарговы артыкул! Пішам не часцей за два разы на тыдзень і толькі па справе. Нагадваем, што стартапы могуць атрымаць 1 р. ад Cloud000Y. Умовы і анкета для жадаючых - на нашым сайце: bit.ly/2sj6dPK

Крыніца: habr.com