V některých případech mohou nastat problémy při nastavování virtuálního routeru. Například nefunguje přesměrování portů (NAT) a/nebo je problém v nastavení samotných pravidel brány firewall. Nebo stačí získat protokoly routeru, zkontrolovat provoz kanálu a provést diagnostiku sítě. Poskytovatel cloudu Cloud4Y vysvětluje, jak se to dělá.
Práce s virtuálním routerem
Nejprve musíme nakonfigurovat přístup k virtuálnímu routeru – EDGE. Za tímto účelem vstoupíme do jeho služeb a přejdeme na příslušnou kartu – Nastavení EDGE. Tam povolíme stav SSH, nastavíme heslo a nezapomeňte uložit změny.
Pokud použijeme přísná pravidla Firewallu, kdy je ve výchozím nastavení vše zakázáno, pak přidáme pravidla, která umožňují připojení k samotnému routeru přes SSH port:
Poté se připojíme k libovolnému SSH klientu, například PuTTY, a dostaneme se do konzole.
V konzole máme k dispozici příkazy, jejichž seznam lze zobrazit pomocí:
lest
Jaké příkazy nám mohou být užitečné? Zde je seznam těch nejužitečnějších:
- zobrazit rozhraní — zobrazí dostupná rozhraní a na nich nainstalované IP adresy
- ukázat záznam - zobrazí protokoly routeru
- zobrazit log sledovat — pomůže vám sledovat protokol v reálném čase s neustálými aktualizacemi. Každé pravidlo, ať už NAT nebo Firewall, má možnost Povolit protokolování, když je povoleno, události se budou zaznamenávat do protokolu, což umožní diagnostiku.
- zobrazit flowtable — zobrazí celou tabulku navázaných spojení a jejich parametry
příklad1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
- zobrazit průtokový topN 10 — umožňuje zobrazit požadovaný počet řádků, v tomto příkladu 10
- zobrazit průtokový topN 10 řazení podle pkts — pomůže seřadit spojení podle počtu paketů od nejmenšího po největší
- zobrazit flowtable topN 10 bajtů řazení — pomůže seřadit spojení podle počtu přenesených bajtů od nejmenšího po největší
- zobrazit flowtable rule-id ID topN 10 — pomůže zobrazit připojení podle požadovaného ID pravidla
- zobrazit průtokový průtok SPEC — pro flexibilnější výběr spojení, kde SPEC — nastaví potřebná pravidla filtrování, například proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, pro výběr pomocí protokolu TCP a zdrojové IP adresy 9Х.107.69. XX z portu odesílatele 59365
příklad> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - zobrazit poklesy paketů – vám umožní zobrazit statistiky o balíčcích
- zobrazit toky firewallu - Zobrazuje čítače paketů brány firewall spolu s toky paketů.
Můžeme také použít základní nástroje pro diagnostiku sítě přímo z routeru EDGE:
- ping ip WORD
- ping ip WORD size SIZE count COUNT nofrag – ping udávající velikost odesílaných dat a počet kontrol a také zamezuje fragmentaci nastavené velikosti paketu.
- traceroute IP WORD
Sekvence diagnostiky provozu brány firewall na Edge
- Běh zobrazit firewall a podívejte se na nainstalovaná vlastní pravidla filtrování v tabulce usr_rules
- Podíváme se na řetězec POSTROUTIN a kontrolujeme počet zahozených paketů pomocí pole DROP. Pokud dojde k problému s asymetrickým směrováním, zaznamenáme nárůst hodnot.
Provedeme další kontroly:- Ping bude fungovat v jednom směru a ne v opačném směru
- ping bude fungovat, ale relace TCP nebudou vytvořeny.
- Podíváme se na výstup informací o IP adresách - zobrazit IPset
- Povolit protokolování pravidla brány firewall ve službách Edge
- Podíváme se na události v protokolu - zobrazit log sledovat
- Kontrolujeme připojení pomocí požadovaného rule_id - zobrazit flowtable rule_id
- Prostřednictvím zobrazit průtokové statistiky Porovnáváme aktuálně nainstalovaná připojení Current Flow Entries s maximální povolenou (Total Flow Capacity) v aktuální konfiguraci. Dostupné konfigurace a limity lze zobrazit ve VMware NSX Edge. Pokud máte zájem, mohu o tom mluvit v dalším článku.
Co dalšího si můžete přečíst na blogu?
→
→
→
→
→
Přihlaste se k odběru
Zdroj: www.habr.com