Diagnostik af netværksforbindelser på den virtuelle EDGE-router

I nogle tilfælde kan der opstå problemer ved opsætning af en virtuel router. For eksempel fungerer port forwarding (NAT) ikke, og/eller der er et problem med selve opsætningen af ​​firewall-reglerne. Eller du skal bare hente logfiler over routeren, kontrollere kanalens funktion og udføre netværksdiagnostik. Cloud-udbyderen Cloud4Y forklarer, hvordan dette gøres.

Arbejder med en virtuel router

Først og fremmest skal vi konfigurere adgangen til den virtuelle router – EDGE. For at gøre dette går vi ind i dens tjenester og går til den relevante fane - EDGE-indstillinger. Der aktiverer vi SSH-status, sætter en adgangskode, og sørg for at gemme ændringerne.

Hvis vi bruger strenge firewall-regler, når alt er forbudt som standard, tilføjer vi regler, der tillader forbindelser til selve routeren via SSH-porten:

Derefter forbinder vi med enhver SSH-klient, for eksempel PuTTY, og kommer til konsollen.

I konsollen bliver kommandoer tilgængelige for os, en liste over dem kan ses ved hjælp af:
liste

Hvilke kommandoer kan være nyttige for os? Her er en liste over de mest nyttige:

• vis grænseflade — vil vise de tilgængelige grænseflader og de installerede IP-adresser på dem
• Vis Log - vil vise routerlogfiler
• vis log følg — hjælper dig med at se loggen i realtid med konstante opdateringer. Hver regel, det være sig NAT eller Firewall, har en Aktiver logningsindstilling, når den er aktiveret, vil hændelser blive registreret i loggen, hvilket vil tillade diagnostik.
• vis flowtabel — vil vise hele tabellen over etablerede forbindelser og deres parametre
  Eksempel1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• vis flowtabel topN 10 — giver dig mulighed for at vise det nødvendige antal linjer, i dette eksempel 10
• vis flowtabel topN 10 sorter-efter pkts — hjælper med at sortere forbindelser efter antal pakker fra mindste til største
• vis flowtabel topN 10 sorteringsbytes — vil hjælpe med at sortere forbindelser efter antallet af bytes, der overføres fra mindste til største
• vis flowtabel regel-id topN 10 — hjælper med at vise forbindelser efter det påkrævede regel-id
• vis flowtabel flowspec SPEC — for mere fleksibelt valg af forbindelser, hvor SPEC — angiver de nødvendige filtreringsregler, for eksempel proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, for valg ved hjælp af TCP-protokollen og kildens IP-adresse 9Х.107.69. XX fra afsenderporten 59365
  Eksempel> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• vis pakkedråber – giver dig mulighed for at se statistik over pakker
• vis firewall-flows - Viser firewall-pakketællere sammen med pakkestrømme.

Vi kan også bruge grundlæggende netværksdiagnoseværktøjer direkte fra EDGE-routeren:

• ping ip WORD
• ping ip ORD størrelse STØRRELSE count COUNT nofrag – ping angiver størrelsen af ​​de data, der sendes og antallet af kontroller, og forbyder også fragmentering af den indstillede pakkestørrelse.
• traceroute ip WORD

Sekvens af diagnosticering af Firewall-drift på Edge

1. Lad os starte vis firewall og se på de installerede tilpassede filtreringsregler i tabellen usr_rules
2. Vi ser på POSTROUTIN-kæden og kontrollerer antallet af droppede pakker ved hjælp af DROP-feltet. Hvis der er et problem med asymmetrisk routing, vil vi registrere en stigning i værdier.
   Lad os udføre yderligere kontrol:
   • Ping vil virke i én retning og ikke i den modsatte retning
   • ping vil virke, men TCP-sessioner vil ikke blive etableret.
3. Vi ser på outputtet af information om IP-adresser - vis ipset
4. Aktiver logning på firewall-reglen i Edge-tjenester
5. Vi ser på begivenhederne i loggen - vis log følg
6. Vi tjekker forbindelser ved hjælp af det påkrævede regel_id - vis flowtabel rule_id
7. Ved hjælp af vis flowstats Vi sammenligner de aktuelt installerede Current Flow Entries-forbindelser med den maksimalt tilladte (Total Flow Capacity) i den aktuelle konfiguration. Tilgængelige konfigurationer og begrænsninger kan ses i VMware NSX Edge. Hvis du er interesseret, kan jeg fortælle om dette i den næste artikel.

Hvad kan du ellers læse på bloggen? Cloud4Y

→ CRISPR-resistente vira bygger "ly" for at beskytte genomer mod DNA-penetrerende enzymer
→ Hvordan fejlede banken?
→ The Great Snowflake Theory
→ Internet på balloner
→ Pentesters på forkant med cybersikkerhed

Abonner på vores Telegram-kanal, så du ikke går glip af den næste artikel! Vi skriver ikke mere end to gange om ugen og kun på forretningsrejse. Vi minder dig om, at startups kan modtage RUB 1. fra Cloud000Y. Betingelser og ansøgningsskema for interesserede kan findes på vores hjemmeside: bit.ly/2sj6dPK

Kilde: www.habr.com