Zenbait kasutan, arazoak sor daitezke bideratzaile birtual bat konfiguratzean. Adibidez, portuen birbidalketak (NAT) ez du funtzionatzen eta/edo arazoren bat dago Suebakiaren arauak beraiek konfiguratzeko. Edo bideratzailearen erregistroak lortu, kanalaren funtzionamendua egiaztatu eta sareko diagnostikoak egin behar dituzu. Cloud4Y hodeiko hornitzaileak hau nola egiten den azaltzen du.
Bideratzaile birtual batekin lan egitea
Lehenik eta behin, bideratzaile birtualerako sarbidea konfiguratu behar dugu - EDGE. Horretarako, bere zerbitzuak sartu eta dagokion fitxara joango gara - EDGE ezarpenak. Bertan SSH Egoera gaitzen dugu, pasahitz bat ezartzen dugu eta aldaketak gordetzen ditugula ziurtatu.
Firewall arau zorrotzak erabiltzen baditugu, dena lehenespenez debekatuta dagoenean, SSH atakaren bidez bideratzailearekin konexioak ahalbidetzen dituzten arauak gehitzen ditugu:
Ondoren, edozein SSH bezerorekin konektatzen gara, PuTTY adibidez, eta kontsolara iristen gara.
Kontsolan, komandoak eskuragarri jartzen zaizkigu, eta horien zerrenda ikusi daiteke:
zerrenda
Zein komando izan daitezke erabilgarriak? Hona hemen erabilgarrienen zerrenda:
- erakutsi interfazea β erabilgarri dauden interfazeak eta instalatutako IP helbideak erakutsiko ditu
- erakutsi erregistroa - bideratzaileen erregistroak erakutsiko ditu
- erakutsi erregistroa jarraitu β saioa denbora errealean ikusten lagunduko dizu etengabe eguneratzeekin. Arau bakoitzak, NAT edo Firewall izan, Gaitu erregistroa aukera du, gaituta dagoenean, gertaerak erregistroan erregistratuko dira, eta horrek diagnostikoak ahalbidetuko ditu.
- fluxua erakutsi β ezarritako konexioen taula osoa eta haien parametroak erakutsiko ditu
Adibidea1: tcp 6 21599 ESTABLISHED src=9Π₯.107.69.Π₯Π₯Π₯ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.Π₯Π₯Π₯ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
- erakutsi flowtable topN 10 β beharrezko lerro kopurua bistaratzeko aukera ematen du, adibide honetan 10
- erakutsi flowtable topN 10 sort-by pkts β konexioak pakete kopuruaren arabera ordenatzen lagunduko du txikienetik handienera
- erakutsi flowtable topN 10 byte ordenatuta β Konexioak txikienetik handienera transferitutako byte kopuruaren arabera ordenatzen lagunduko du
- erakutsi flowtable rule-id ID topN 10 β beharrezkoak diren arau IDaren arabera konexioak bistaratzen lagunduko du
- erakutsi flowtable flowspec SPEC β Konexioen aukeraketa malguagoa lortzeko, non SPEC β beharrezko iragazketa-arauak ezartzen dituena, adibidez proto=tcp:srcip=9Π₯.107.69.Π₯Π₯Π₯:sport=59365, TCP protokoloa eta iturburu IP helbidea 9Π₯.107.69 erabiliz aukeratzeko. XX 59365 igorle portutik
Adibidea> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Π₯.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - erakutsi pakete-tantak - paketeen estatistikak ikusteko aukera emango dizu
- suebakiaren fluxuak erakutsi - Suebaki paketeen kontagailuak erakusten ditu pakete-fluxuekin batera.
Sareko oinarrizko diagnostiko tresnak ere erabil ditzakegu EDGE bideratzailetik zuzenean:
- ping ip HITZA
- ping ip HITZAren tamaina SIZE count COUNT nofrag β bidaltzen ari diren datuen tamaina eta txekeen kopurua adierazten duen ping-a, eta ezarritako pakete-tamainaren zatiketa ere debekatzen du.
- traceroute ip HITZA
Edge-n Firewall funtzionamendua diagnostikatzeko sekuentzia
- korrika erakutsi suebakia eta begiratu instalatutako iragazketa-arau pertsonalizatuak usr_rules taulan
- POSTROUTIN kateari begiratzen diogu eta erortzen diren paketeen kopurua kontrolatzen dugu DROP eremua erabiliz. Bideratze asimetrikoarekin arazoren bat badago, balioen igoera erregistratuko dugu.
Egin ditzagun egiaztapen osagarriak:- Ping-ek norabide batean funtzionatuko du eta ez kontrako norabidean
- ping-ak funtzionatuko du, baina ez dira TCP saioak ezarriko.
- IP helbideei buruzko informazioaren irteera ikusten dugu - erakutsi ipset
- Gaitu saioa Edge zerbitzuetan suebakiaren arauan
- Erregistroko gertaerak ikusten ditugu - erakutsi erregistroa jarraitu
- Konexioak egiaztatzen ditugu beharrezko rule_id erabiliz - erakutsi fluxu-taula rule_id
- Bidez flowstats erakutsi Une honetan instalatutako Current Flow Entries konexioak uneko konfigurazioan baimendutako gehienezkoarekin (Flow Capacity Total) konparatzen ditugu. Eskuragarri dauden konfigurazioak eta mugak VMware NSX Edge-n ikus daitezke. Interesa baduzu, hurrengo artikuluan hitz egin dezaket honi buruz.
Zer gehiago irakur dezakezu blogean?
β
β
β
β
β
Harpidetu gure
Iturria: www.habr.com