У некаторых выпадках пры наладзе віртуальнага маршрутызатара могуць узнікнуць праблемы. Напрыклад, не працуе пракід портаў (NAT) і/ці праблема ў наладзе саміх правіл Firewall. Або проста трэба атрымаць логі працы роўтара, праверыць працу канала, правесці сеткавую дыягностыку. Як гэта робіцца, распавядае хмарны правайдэр Cloud4Y.
Праца з віртуальным роўтэрам
Першым чынам нам трэба наладзіць доступ да віртуальнага роўтара - EDGE. Для гэтага ўваходзім у яго сэрвісы і пераходзім на адпаведную ўкладку - EDGE Settings. Там уключаем SSH Status, задаём пароль, і абавязкова захоўваем змены.
Калі мы выкарыстоўваем строгія правілы Firewall-a, калі забаронена ўсё па змаўчанні, то дадаем правілы, якія дазваляюць падлучэнні да самога роўтара па SSH порце:
Пасля падлучаемся любым SSH-кліентам, напрыклад PuTTY, і пападаем у кансоль.
У кансолі нам становяцца даступныя каманды, пералік якіх можна ўбачыць, выкарыстоўваючы:
спіс
Якія каманды могуць нам спатрэбіцца? Прывядзем спіс найбольш карысных:
- паказаць інтэрфейс - Адлюструе даступныя інтэрфейсы і ўсталяваныя IP-адрасы на іх
- паказаць журнал - пакажа логі роўтара
- show log follow - дапаможа глядзець лог ў рэальным часе з пастаянным абнаўленнем. У кожнага правіла, няхай гэта будзе NAT або Fierwall, ёсць опцыя Enable logging, пры ўключэнні якой падзеі будуць фіксавацца ў логу, што дазволіць правесці дыягностыку.
- show flowtable - пакажа ўсю табліцу ўсталяваных злучэнняў і іх параметры
Прыклад1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
- show flowtable topN 10 - дазваляе адлюстраваць патрэбную колькасць радкоў, у дадзеным прыкладзе 10
- show flowtable topN 10 sort-by pkts - дапаможа адсартаваць злучэнні па колькасці пакетаў ад меншага да большага
- show flowtable topN 10 sort-by bytes - дапаможа адсартаваць злучэнні па колькасці перададзеных bytes ад меншага да большага
- show flowtable rule-id ID topN 10 - дапаможа адлюстраваць злучэнні па патрэбным ID правілы
- show flowtable flowspec SPEC - для больш гнуткага адбору злучэнняў, дзе SPEC - задае патрэбныя правілы фільтрацыі, напрыклад proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, для адбору па пратаколе TCP і IP адрасе крыніцы 9Х.107.69.XX з порта адпраўніка 59365
Прыклад> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - show packet drops - дазволіць паглядзець статыстыку па пакетах
- show firewall flows - паказвае лічыльнікі пакетаў брандмаўэра разам са струменямі пакетаў.
Таксама мы можам выкарыстоўваць асноўныя сеткавыя інструменты дыягностыкі непасрэдна з роўтара EDGE:
- ping ip WORD
- ping ip WORD size SIZE count COUNT nofrag - прапінгаваць з указаннем памеру дадзеных і колькасці праверак, якія перасылаюцца, а таксама забараніць фрагментацыю ўсталяванага памеру пакета.
- traceroute ip WORD
Паслядоўнасць дыягностыкі працы Firewall на Edge
- Запускаем show firewall і глядзім усталяваныя карыстацкія правілы фільтрацыі ў табліцы usr_rules
- Глядзім ланцужок POSTROUTIN і кантралюем колькасць скінутых пакетаў па полі DROP. Пры наяўнасці праблемы з асіметрычнай маршрутызацыяй мы будзем фіксаваць рост значэнняў.
Правядзем дадатковым праверкі:- Праца ping будзе ў адным кірунку і адсутнасць у зваротным
- ping будзе працаваць, але сесіі TCP не будуць усталёўвацца.
- Глядзім выснову інфармацыі аб IP-адрасоў show ipset
- Уключаем лагіраванне на правіле firewall у сэрвісах Edge
- Глядзім падзеі па лагу show log follow
- Правяраем злучэнні па патрэбным rule_id show flowtable rule_id
- Пры дапамозе show flowstats параўноўваем бягучае ўсталяваныя злучэнні Current Flow Entries з максімальна дапушчальнымі (Total Flow Capacity) у бягучай канфігурацыі. Даступныя канфігурацыі і ліміты можна паглядзець у VMware NSX Edge. Пра гэта, калі цікава, я магу расказаць у наступным артыкуле.
Што яшчэ карыснага можна пачытаць у блогу
→
→
→
→
→
Падпісвайцеся на наш
Крыніца: habr.com