Nalgúns casos, poden xurdir problemas ao configurar un enrutador virtual. Por exemplo, o reenvío de portos (NAT) non funciona e/ou hai un problema na configuración das propias regras do Firewall. Ou só precisa obter rexistros do enrutador, comprobar o funcionamento da canle e realizar diagnósticos de rede. O provedor de nube Cloud4Y explica como se fai.
Traballar cun enrutador virtual
Primeiro de todo, necesitamos configurar o acceso ao enrutador virtual - EDGE. Para iso, entramos nos seus servizos e imos á pestana correspondente - Configuración EDGE. Alí activamos o estado SSH, establecemos un contrasinal e asegúrate de gardar os cambios.
Se usamos regras estritas de Firewall, cando todo está prohibido por defecto, engadimos regras que permiten conexións ao propio router a través do porto SSH:
Despois conectámonos con calquera cliente SSH, por exemplo PuTTY, e chegamos á consola.
Na consola, os comandos están dispoñibles para nós, unha lista dos cales pódese ver usando:
lista
Que comandos poden ser útiles para nós? Aquí tes unha lista dos máis útiles:
- mostrar interface — mostrará as interfaces dispoñibles e os enderezos IP instalados nelas
- amosar rexistro - mostrará os rexistros do enrutador
- mostrar o rexistro seguir — axudarache a ver o rexistro en tempo real con actualizacións constantes. Cada regra, xa sexa NAT ou Firewall, ten unha opción Activar rexistro, cando está activada, os eventos rexistraranse no rexistro, o que permitirá diagnósticos.
- mostrar o fluxo — mostrará a táboa completa de conexións establecidas e os seus parámetros
Exemplo1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
- mostrar a parte superior da táboa de caudal N 10 — permítelle mostrar o número necesario de liñas, neste exemplo 10
- mostrar flowtable topN 10 ordenados por pkts — axudará a ordenar as conexións segundo o número de paquetes de menor a maior
- mostrar flowtable topN 10 bytes ordenados — axudará a ordenar as conexións polo número de bytes transferidos de menor a maior
- mostrar o ID de regra da táboa de fluxo topN 10 — axudará a mostrar as conexións polo ID de regra requirido
- mostrar flowtable flowspec SPEC — para unha selección máis flexible de conexións, onde SPEC — establece as regras de filtrado necesarias, por exemplo proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, para a selección mediante o protocolo TCP e o enderezo IP de orixe 9Х.107.69. XX do porto do remitente 59365
Exemplo> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - mostrar caídas de paquetes – permitirache ver estatísticas sobre paquetes
- mostrar fluxos de firewall - Mostra os contadores de paquetes do firewall xunto cos fluxos de paquetes.
Tamén podemos utilizar ferramentas básicas de diagnóstico de rede directamente desde o router EDGE:
- ping ip WORD
- ping ip WORD size SIZE count COUNT nofrag – ping que indica o tamaño dos datos que se están enviando e o número de comprobacións, e tamén prohíbe a fragmentación do tamaño do paquete establecido.
- traceroute ip WORD
Secuencia de diagnóstico da operación do firewall en Edge
- Lanzamento mostrar firewall e mira as regras de filtrado personalizadas instaladas na táboa usr_rules
- Observamos a cadea POSTROUTIN e controlamos o número de paquetes soltos usando o campo DROP. Se hai algún problema co enrutamento asimétrico, rexistraremos un aumento dos valores.
Imos realizar comprobacións adicionais:- Ping funcionará nunha dirección e non na dirección oposta
- ping funcionará, pero non se establecerán sesións TCP.
- Observamos a saída da información sobre os enderezos IP - mostrar ipset
- Activa o rexistro na regra do firewall nos servizos Edge
- Observamos os eventos no rexistro - mostrar o rexistro seguir
- Comprobamos as conexións usando o rule_id necesario - mostrar o id de regra da táboa de fluxo
- Por medio de mostrar estatísticas de fluxo Comparamos as conexións de Current Flow Entries instaladas actualmente co máximo permitido (Capacidade de fluxo total) na configuración actual. As configuracións e os límites dispoñibles pódense ver en VMware NSX Edge. Se estás interesado, podo falar disto no seguinte artigo.
Que máis podes ler no blog?
→
→
→
→
→
Subscríbete ao noso
Fonte: www.habr.com