Διαγνωστικά συνδέσεων δικτύου στον εικονικό δρομολογητή EDGE

Σε ορισμένες περιπτώσεις, ενδέχεται να προκύψουν προβλήματα κατά τη ρύθμιση ενός εικονικού δρομολογητή. Για παράδειγμα, η προώθηση θυρών (NAT) δεν λειτουργεί ή/και υπάρχει πρόβλημα στη ρύθμιση των κανόνων του Τείχους προστασίας από μόνοι τους. Ή απλά πρέπει να λάβετε αρχεία καταγραφής του δρομολογητή, να ελέγξετε τη λειτουργία του καναλιού και να πραγματοποιήσετε διαγνωστικά δικτύου. Ο πάροχος Cloud Cloud4Y εξηγεί πώς γίνεται αυτό.

Εργασία με εικονικό δρομολογητή

Πρώτα απ 'όλα, πρέπει να ρυθμίσουμε την πρόσβαση στον εικονικό δρομολογητή - EDGE. Για να το κάνουμε αυτό, μπαίνουμε στις υπηρεσίες του και πηγαίνουμε στην κατάλληλη καρτέλα – Ρυθμίσεις EDGE. Εκεί ενεργοποιούμε την Κατάσταση SSH, ορίζουμε έναν κωδικό πρόσβασης και φροντίζουμε να αποθηκεύσουμε τις αλλαγές.

Εάν χρησιμοποιούμε αυστηρούς κανόνες τείχους προστασίας, όταν όλα απαγορεύονται από προεπιλογή, τότε προσθέτουμε κανόνες που επιτρέπουν συνδέσεις στον ίδιο τον δρομολογητή μέσω της θύρας SSH:

Στη συνέχεια, συνδεόμαστε με οποιονδήποτε πελάτη SSH, για παράδειγμα PuTTY, και φτάνουμε στην κονσόλα.

Στην κονσόλα, εντολές γίνονται διαθέσιμες σε εμάς, μια λίστα των οποίων μπορείτε να δείτε χρησιμοποιώντας:
λίστα

Ποιες εντολές μπορούν να μας φανούν χρήσιμες; Ακολουθεί μια λίστα με τα πιο χρήσιμα:

• εμφάνιση διεπαφής — θα εμφανίσει τις διαθέσιμες διεπαφές και τις εγκατεστημένες διευθύνσεις IP σε αυτές
• εμφάνιση ημερολογίου - θα εμφανίσει αρχεία καταγραφής δρομολογητή
• ακολουθήστε το αρχείο καταγραφής — θα σας βοηθήσει να παρακολουθήσετε το αρχείο καταγραφής σε πραγματικό χρόνο με συνεχείς ενημερώσεις. Κάθε κανόνας, είτε πρόκειται για NAT είτε για Τείχος προστασίας, έχει μια επιλογή Ενεργοποίηση καταγραφής, όταν είναι ενεργοποιημένη, τα συμβάντα θα καταγράφονται στο αρχείο καταγραφής, κάτι που θα επιτρέψει τα διαγνωστικά.
• εμφάνιση πίνακα ροής — θα εμφανίσει ολόκληρο τον πίνακα των εγκατεστημένων συνδέσεων και τις παραμέτρους τους
  Παράδειγμα1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• Εμφάνιση του πίνακα ροής N 10 — σας επιτρέπει να εμφανίσετε τον απαιτούμενο αριθμό γραμμών, σε αυτό το παράδειγμα 10
• Εμφάνιση πίνακα ροής topN 10 ταξινόμηση κατά pkts — θα βοηθήσει στην ταξινόμηση των συνδέσεων κατά αριθμό πακέτων από το μικρότερο στο μεγαλύτερο
• εμφάνιση πίνακα ροής topN 10 byte ταξινόμησης — θα βοηθήσει στην ταξινόμηση των συνδέσεων με βάση τον αριθμό των byte που μεταφέρονται από το μικρότερο στο μεγαλύτερο
• Εμφάνιση αναγνωριστικού κανόνα-αναγνωριστικού πίνακα ροής επάνω N 10 — θα βοηθήσει στην εμφάνιση των συνδέσεων με το απαιτούμενο αναγνωριστικό κανόνα
• Εμφάνιση προδιαγραφών ροής πίνακα ροής — για πιο ευέλικτη επιλογή συνδέσεων, όπου το SPEC — ορίζει τους απαραίτητους κανόνες φιλτραρίσματος, για παράδειγμα proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, για επιλογή χρησιμοποιώντας το πρωτόκολλο TCP και τη διεύθυνση IP πηγής 9Х.107.69. XX από τη θύρα αποστολέα 59365
  Παράδειγμα> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• εμφάνιση πτώσεων πακέτων – θα σας επιτρέψει να δείτε στατιστικά στοιχεία για πακέτα
• εμφάνιση ροών τείχους προστασίας - Εμφανίζει μετρητές πακέτων τείχους προστασίας μαζί με ροές πακέτων.

Μπορούμε επίσης να χρησιμοποιήσουμε βασικά διαγνωστικά εργαλεία δικτύου απευθείας από τον δρομολογητή EDGE:

• ping ip WORD
• ping ip Μέγεθος WORD SIZE count COUNT nofrag – ping που υποδεικνύει το μέγεθος των δεδομένων που αποστέλλονται και τον αριθμό των ελέγχων και επίσης απαγορεύει τον κατακερματισμό του καθορισμένου μεγέθους πακέτου.
• traceroute ip WORD

Ακολουθία διάγνωσης λειτουργίας τείχους προστασίας στο Edge

1. Εκκίνηση εμφάνιση τείχους προστασίας και δείτε τους εγκατεστημένους προσαρμοσμένους κανόνες φιλτραρίσματος στον πίνακα usr_rules
2. Εξετάζουμε την αλυσίδα POSTROUTIN και ελέγχουμε τον αριθμό των πακέτων που πέφτουν χρησιμοποιώντας το πεδίο DROP. Εάν υπάρχει πρόβλημα με την ασύμμετρη δρομολόγηση, θα καταγράψουμε αύξηση τιμών.
   Ας κάνουμε επιπλέον ελέγχους:
   • Το ping θα λειτουργήσει προς μία κατεύθυνση και όχι προς την αντίθετη κατεύθυνση
   • Το ping θα λειτουργήσει, αλλά οι περίοδοι λειτουργίας TCP δεν θα δημιουργηθούν.
3. Εξετάζουμε την έξοδο των πληροφοριών σχετικά με τις διευθύνσεις IP - εμφάνιση ipset
4. Ενεργοποιήστε την καταγραφή στον κανόνα του τείχους προστασίας στις υπηρεσίες Edge
5. Εξετάζουμε τα γεγονότα στο αρχείο καταγραφής - ακολουθήστε το αρχείο καταγραφής
6. Ελέγχουμε τις συνδέσεις χρησιμοποιώντας το απαιτούμενο rule_id - εμφάνιση του πίνακα ροής rule_id
7. Μέσω εμφάνιση στατιστικών ροής Συγκρίνουμε τις τρέχουσες εγκατεστημένες συνδέσεις Καταχωρίσεων Τρέχουσας Ροής με τη μέγιστη επιτρεπόμενη (Συνολική Χωρητικότητα ροής) στην τρέχουσα διαμόρφωση. Οι διαθέσιμες διαμορφώσεις και τα όρια μπορούν να προβληθούν στο VMware NSX Edge. Αν σας ενδιαφέρει, μπορώ να μιλήσω για αυτό στο επόμενο άρθρο.

Τι άλλο μπορείτε να διαβάσετε στο blog; Cloud4Y

→ Οι ανθεκτικοί στο CRISPR ιοί δημιουργούν «καταφύγια» για να προστατεύουν τα γονιδιώματα από ένζυμα που διεισδύουν στο DNA
→ Πώς κατέρρευσε η τράπεζα;
→ Η Θεωρία της Μεγάλης Νιφάδας Χιονιού
→ Διαδίκτυο σε μπαλόνια
→ Πενθουσιαστές στην πρώτη γραμμή της κυβερνοασφάλειας

Εγγραφείτε στο Telegram-κανάλι για να μην χάσετε το επόμενο άρθρο! Γράφουμε όχι περισσότερο από δύο φορές την εβδομάδα και μόνο για επαγγελματικούς λόγους. Σας υπενθυμίζουμε ότι οι νεοφυείς επιχειρήσεις μπορούν να λάβουν 1 RUB. από το Cloud000Y. Οι όροι και το έντυπο αίτησης για τους ενδιαφερόμενους βρίσκονται στην ιστοσελίδα μας: bit.ly/2sj6dPK

Πηγή: www.habr.com