Diagnostika síťových připojení na virtuálním routeru EDGE

V některých případech mohou nastat problémy při nastavování virtuálního routeru. Například nefunguje přesměrování portů (NAT) a/nebo je problém v nastavení samotných pravidel brány firewall. Nebo stačí získat protokoly routeru, zkontrolovat provoz kanálu a provést diagnostiku sítě. Poskytovatel cloudu Cloud4Y vysvětluje, jak se to dělá.

Práce s virtuálním routerem

Nejprve musíme nakonfigurovat přístup k virtuálnímu routeru – EDGE. Za tímto účelem vstoupíme do jeho služeb a přejdeme na příslušnou kartu – Nastavení EDGE. Tam povolíme stav SSH, nastavíme heslo a nezapomeňte uložit změny.

Pokud použijeme přísná pravidla Firewallu, kdy je ve výchozím nastavení vše zakázáno, pak přidáme pravidla, která umožňují připojení k samotnému routeru přes SSH port:

Poté se připojíme k libovolnému SSH klientu, například PuTTY, a dostaneme se do konzole.

V konzole máme k dispozici příkazy, jejichž seznam lze zobrazit pomocí:
lest

Jaké příkazy nám mohou být užitečné? Zde je seznam těch nejužitečnějších:

• zobrazit rozhraní — zobrazí dostupná rozhraní a na nich nainstalované IP adresy
• ukázat záznam - zobrazí protokoly routeru
• zobrazit log sledovat — pomůže vám sledovat protokol v reálném čase s neustálými aktualizacemi. Každé pravidlo, ať už NAT nebo Firewall, má možnost Povolit protokolování, když je povoleno, události se budou zaznamenávat do protokolu, což umožní diagnostiku.
• zobrazit flowtable — zobrazí celou tabulku navázaných spojení a jejich parametry
  příklad1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• zobrazit průtokový topN 10 — umožňuje zobrazit požadovaný počet řádků, v tomto příkladu 10
• zobrazit průtokový topN 10 řazení podle pkts — pomůže seřadit spojení podle počtu paketů od nejmenšího po největší
• zobrazit flowtable topN 10 bajtů řazení — pomůže seřadit spojení podle počtu přenesených bajtů od nejmenšího po největší
• zobrazit flowtable rule-id ID topN 10 — pomůže zobrazit připojení podle požadovaného ID pravidla
• zobrazit průtokový průtok SPEC — pro flexibilnější výběr spojení, kde SPEC — nastaví potřebná pravidla filtrování, například proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, pro výběr pomocí protokolu TCP a zdrojové IP adresy 9Х.107.69. XX z portu odesílatele 59365
  příklad> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• zobrazit poklesy paketů – vám umožní zobrazit statistiky o balíčcích
• zobrazit toky firewallu - Zobrazuje čítače paketů brány firewall spolu s toky paketů.

Můžeme také použít základní nástroje pro diagnostiku sítě přímo z routeru EDGE:

• ping ip WORD
• ping ip WORD size SIZE count COUNT nofrag – ping udávající velikost odesílaných dat a počet kontrol a také zamezuje fragmentaci nastavené velikosti paketu.
• traceroute IP WORD

Sekvence diagnostiky provozu brány firewall na Edge

1. Běh zobrazit firewall a podívejte se na nainstalovaná vlastní pravidla filtrování v tabulce usr_rules
2. Podíváme se na řetězec POSTROUTIN a kontrolujeme počet zahozených paketů pomocí pole DROP. Pokud dojde k problému s asymetrickým směrováním, zaznamenáme nárůst hodnot.
   Provedeme další kontroly:
   • Ping bude fungovat v jednom směru a ne v opačném směru
   • ping bude fungovat, ale relace TCP nebudou vytvořeny.
3. Podíváme se na výstup informací o IP adresách - zobrazit IPset
4. Povolit protokolování pravidla brány firewall ve službách Edge
5. Podíváme se na události v protokolu - zobrazit log sledovat
6. Kontrolujeme připojení pomocí požadovaného rule_id - zobrazit flowtable rule_id
7. Prostřednictvím zobrazit průtokové statistiky Porovnáváme aktuálně nainstalovaná připojení Current Flow Entries s maximální povolenou (Total Flow Capacity) v aktuální konfiguraci. Dostupné konfigurace a limity lze zobrazit ve VMware NSX Edge. Pokud máte zájem, mohu o tom mluvit v dalším článku.

Co dalšího si můžete přečíst na blogu? Cloud4Y

→ Viry rezistentní vůči CRISPR si budují „úkryty“, které chrání genomy před enzymy pronikajícími do DNA
→ Jak banka zkrachovala?
→ Teorie velké sněhové vločky
→ Internet na balónech
→ Pentesters v popředí kybernetické bezpečnosti

Přihlaste se k odběru Telegram-kanál, aby vám neunikl další článek! Píšeme maximálně dvakrát týdně a pouze služebně. Připomínáme, že startupy mohou obdržet 1 000 000 RUB. od Cloud4Y. Podmínky a přihlášku pro zájemce naleznete na našem webu: bit.ly/2sj6dPK

Zdroj: www.habr.com