EDGE virtuaalse ruuteri võrguühenduste diagnostika

Mõnel juhul võib virtuaalse ruuteri seadistamisel tekkida probleeme. Näiteks pordi edastamine (NAT) ei tööta ja/või tulemüüri reeglite endi seadistamisel on probleem. Või peate lihtsalt hankima ruuteri logid, kontrollima kanali tööd ja tegema võrgudiagnostikat. Pilveteenuse pakkuja Cloud4Y selgitab, kuidas seda tehakse.

Töötamine virtuaalse ruuteriga

Kõigepealt peame konfigureerima juurdepääsu virtuaalsele ruuterile - EDGE. Selleks sisestame selle teenused ja läheme vastavale vahekaardile – EDGE Settings. Seal lubame SSH oleku, määrame parooli ja salvestame muudatused kindlasti.

Kui kasutame rangeid tulemüürireegleid, kui kõik on vaikimisi keelatud, siis lisame reeglid, mis võimaldavad SSH-pordi kaudu ühenduse luua ruuteri endaga:

Seejärel loome ühenduse mis tahes SSH-kliendiga, näiteks PuTTY-ga, ja jõuame konsooli.

Konsoolis muutuvad meile kättesaadavaks käsud, mille loendit saab vaadata kasutades:
nimekiri

Millised käsud võivad meile kasulikud olla? Siin on nimekiri kõige kasulikumatest:

• näita liidest — kuvab saadaolevad liidesed ja neile installitud IP-aadressid
• Näita Logi - näitab ruuteri logisid
• näita logi jälgi - aitab teil logi reaalajas jälgida pidevate värskendustega. Igal reeglil, olgu see siis NAT või tulemüür, on suvand Luba logimine, kui see on lubatud, salvestatakse sündmused logi, mis võimaldab diagnostikat.
• näita voolutabelit — kuvab kogu loodud ühenduste ja nende parameetrite tabeli
  Näide1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• näita flowtable topN 10 — võimaldab kuvada vajaliku arvu ridu, antud näites 10
• näita vootabelit topN 10 sort-by pkts - aitab sorteerida ühendusi pakettide arvu järgi väikseimast suurimani
• kuva vootabeli topN 10 sortimisbaiti - aitab sorteerida ühendusi väikseimast suurimaks ülekantud baitide arvu järgi
• kuva vootabeli reegli ID topN 10 — aitab kuvada ühendusi nõutava reegli ID-ga
• kuva voolutabeli voospetsifikaat SPEC — ühenduste paindlikumaks valikuks, kus SPEC — määrab vajalikud filtreerimisreeglid, näiteks proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, TCP protokolli ja lähte IP-aadressi 9Х.107.69 abil valimiseks. XX saatja pordist 59365
  Näide> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• näita pakettide kukkumist – võimaldab vaadata pakkide statistikat
• näidata tulemüüri vooge - Näitab tulemüüri paketiloendureid koos paketivoogudega.

Saame kasutada ka põhilisi võrgudiagnostika tööriistu otse EDGE-ruuterist:

• ping ip WORD
• ping ip WORD size SIZE count COUNT nofrag – ping, mis näitab saadetavate andmete suurust ja kontrollide arvu, samuti keelab määratud paketi suuruse killustamise.
• traceroute ip WORD

Edge'i tulemüüri toimimise diagnoosimise järjekord

1. Käivitamine näita tulemüüri ja vaadake installitud kohandatud filtreerimisreegleid tabelist usr_rules
2. Vaatame POSTROUTIN ahelat ja kontrollime välja langenud pakettide arvu DROP välja abil. Kui asümmeetrilise marsruutimisega on probleeme, registreerime väärtuste suurenemise.
   Teeme täiendavaid kontrolle:
   • Ping töötab ühes suunas ja mitte vastupidises suunas
   • ping töötab, kuid TCP-seansse ei looda.
3. Vaatame IP-aadresside kohta teabe väljundit - näita ipset
4. Lubage Edge'i teenustes tulemüürireegli sisselogimine
5. Vaatame sündmusi logist - näita logi jälgi
6. Kontrollime ühendusi, kasutades nõutavat reegli_id - kuva vootabeli reegli_id
7. Abil näita voolustatistikat Võrdleme praegu installitud Current Flow Entries ühendusi praeguses konfiguratsioonis maksimaalse lubatud (kogu vooluvõimsusega). Saadaolevaid konfiguratsioone ja piiranguid saab vaadata rakenduses VMware NSX Edge. Kui olete huvitatud, võin sellest järgmises artiklis rääkida.

Mida veel blogist lugeda saab? Cloud4Y

→ CRISPR-resistentsed viirused loovad "varjualuseid", et kaitsta genoome DNA-sse tungivate ensüümide eest
→ Kuidas pank ebaõnnestus?
→ Suure lumehelbe teooria
→ Internet õhupallidel
→ Pentestrid küberturvalisuse esirinnas

Telli meie Telegramm-kanal, et te järgmisest artiklist ilma ei jääks! Kirjutame mitte rohkem kui kaks korda nädalas ja ainult tööasjades. Tuletame meelde, et alustavad ettevõtted võivad saada 1 000 000 RUB. Cloud4Y-st. Tingimused ja taotlusvormi huvilistele leiab meie kodulehelt: bit.ly/2sj6dPK

Allikas: www.habr.com