Dijagnostika mrežnih veza na EDGE virtuelnom ruteru

U nekim slučajevima mogu nastati problemi prilikom postavljanja virtuelnog rutera. Na primjer, prosljeđivanje portova (NAT) ne radi i/ili postoji problem u postavljanju samih pravila zaštitnog zida. Ili samo trebate dobiti dnevnike rutera, provjeriti rad kanala i provesti dijagnostiku mreže. Cloud provajder Cloud4Y objašnjava kako se to radi.

Rad sa virtuelnim ruterom

Prije svega, moramo konfigurirati pristup virtuelnom ruteru – EDGE. Da bismo to učinili, ulazimo u njegove usluge i idemo na odgovarajuću karticu - EDGE postavke. Tamo omogućavamo SSH status, postavljamo lozinku i obavezno sačuvamo promjene.

Ako koristimo stroga pravila Firewall-a, kada je sve zabranjeno po defaultu, onda dodajemo pravila koja dozvoljavaju konekcije na sam ruter preko SSH porta:

Zatim se povezujemo sa bilo kojim SSH klijentom, na primjer PuTTY, i dolazimo do konzole.

U konzoli nam postaju dostupne komande, čiju listu možemo vidjeti koristeći:
lista

Koje komande nam mogu biti korisne? Evo liste najkorisnijih:

• show interface — će prikazati dostupne interfejse i instalirane IP adrese na njima
• prikaži dnevnik - će prikazati dnevnike rutera
• show log follow — pomoći će vam da gledate dnevnik u realnom vremenu sa stalnim ažuriranjima. Svako pravilo, bilo da se radi o NAT-u ili Firewall-u, ima opciju Omogući evidentiranje, kada je omogućeno, događaji će biti zabilježeni u dnevniku, što će omogućiti dijagnostiku.
• show flowtable — će prikazati cijelu tabelu uspostavljenih veza i njihovih parametara
  Primjer:1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• prikaži vrh protočnog stola N 10 — omogućava vam da prikažete potreban broj redova, u ovom primeru 10
• prikaži flowtable topN 10 sortiranje po pkts — pomoći će sortirati veze prema broju paketa od najmanjeg do najvećeg
• prikaži vrh tabele protokaN 10 sortiranih bajtova — pomoći će u sortiranju veza prema broju bajtova prenesenih od najmanjeg do najvećeg
• prikaži ID pravila protočne tablice topN 10 — pomoći će u prikazu veza prema potrebnom ID-u pravila
• prikaži flowspec flowspec SPEC — za fleksibilniji izbor konekcija, pri čemu SPEC — postavlja potrebna pravila filtriranja, na primjer proto=tcp:srcip=9H.107.69.HHH:sport=59365, za izbor koristeći TCP protokol i izvornu IP adresu 9H.107.69. XX sa porta pošiljaoca 59365
  Primjer:> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• prikaži ispuštanje paketa – će vam omogućiti da vidite statistiku o paketima
• prikaži tokove zaštitnog zida - Prikazuje brojače paketa zaštitnog zida zajedno sa tokovima paketa.

Takođe možemo koristiti osnovne alate za dijagnostiku mreže direktno sa EDGE rutera:

• ping ip WORD
• ping ip WORD size SIZE count COUNT nofrag – ping označava veličinu podataka koji se šalju i broj provjera, a također zabranjuje fragmentaciju postavljene veličine paketa.
• traceroute ip WORD

Redoslijed dijagnosticiranja rada zaštitnog zida na Edgeu

1. Pokreni show firewall i pogledajte instalirana prilagođena pravila filtriranja u tabeli usr_rules
2. Gledamo lanac POSTROUTIN i kontrolišemo broj ispuštenih paketa koristeći polje DROP. Ako postoji problem sa asimetričnim rutiranjem, zabilježit ćemo povećanje vrijednosti.
   Izvršimo dodatne provjere:
   • Ping će raditi u jednom smjeru, a ne u suprotnom
   • ping će raditi, ali TCP sesije neće biti uspostavljene.
3. Gledamo izlaz informacija o IP adresama - show ipset
4. Omogućite prijavu na pravilo zaštitnog zida u Edge uslugama
5. Gledamo događaje u dnevniku - show log follow
6. Provjeravamo veze pomoću potrebnog rule_id - prikaži flowtable rule_id
7. Uz pomoć prikaži statistiku protoka Upoređujemo trenutno instalirane veze za unose trenutnog protoka sa maksimalno dozvoljenim (ukupni kapacitet protoka) u trenutnoj konfiguraciji. Dostupne konfiguracije i ograničenja mogu se vidjeti u VMware NSX Edge. Ako ste zainteresirani, mogu o tome govoriti u sljedećem članku.

Šta još možete pročitati na blogu? Cloud4Y

→ Virusi otporni na CRISPR grade "skloništa" kako bi zaštitili genome od enzima koji prodiru u DNK
→ Kako je banka propala?
→ Teorija velike snježne pahulje
→ Internet na balonima
→ Pentesteri na čelu sajber sigurnosti

Pretplatite se na naše telegram-kanal da ne propustite sljedeći članak! Pišemo ne više od dva puta sedmično i samo poslovno. Podsjećamo vas da startapi mogu dobiti 1 RUB. od Cloud000Y. Uvjete i obrazac za prijavu za zainteresovane možete pronaći na našoj web stranici: bit.ly/2sj6dPK

izvor: www.habr.com