Hálózati kapcsolatok diagnosztikája az EDGE virtuális útválasztón

Bizonyos esetekben problémák adódhatnak a virtuális útválasztó beállításakor. Például a porttovábbítás (NAT) nem működik, és/vagy probléma van a tűzfalszabályok beállításával. Vagy csak be kell szereznie az útválasztó naplóit, ellenőriznie kell a csatorna működését, és hálózati diagnosztikát kell végeznie. A Cloud4Y felhőszolgáltató elmagyarázza, hogyan történik ez.

Munka virtuális routerrel

Először is be kell állítani a hozzáférést a virtuális útválasztóhoz - EDGE. Ehhez belépünk a szolgáltatásaiba, és a megfelelő lapra lépünk - EDGE beállítások. Ott engedélyezzük az SSH állapotát, beállítunk egy jelszót, és mindenképpen mentsük a változtatásokat.

Ha szigorú tűzfalszabályokat használunk, amikor alapértelmezés szerint minden tiltott, akkor olyan szabályokat adunk hozzá, amelyek lehetővé teszik az SSH porton keresztül magához a routerhez való csatlakozást:

Ezután csatlakozunk bármelyik SSH-klienshez, például a PuTTY-hoz, és eljutunk a konzolhoz.

A konzolban parancsok válnak elérhetővé számunkra, amelyek listája a következő használatával tekinthető meg:
lista

Milyen parancsok lehetnek hasznosak számunkra? Íme a leghasznosabbak listája:

• interfész megjelenítése — megjeleníti az elérhető interfészeket és a rajtuk telepített IP-címeket
• Mutasd a naplót - megjeleníti a router naplóit
• naplókövetés megjelenítése - segít a napló valós időben történő megfigyelésében, folyamatos frissítésekkel. Minden szabályhoz, legyen az NAT vagy tűzfal, van egy Naplózás engedélyezése opció, ha engedélyezve van, az események rögzítésre kerülnek a naplóban, ami lehetővé teszi a diagnosztikát.
• mutasd a flowtablet — megmutatja a létrejött kapcsolatok teljes táblázatát és azok paramétereit
  Példa1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• show flowtable topN 10 — lehetővé teszi a szükséges számú sor megjelenítését, ebben a példában 10
• show flowtable topN 10 sort-by pkts - segít a kapcsolatok rendezésében a csomagok száma szerint a legkisebbtől a legnagyobbig
• show flowtable topN 10 sort-byte — segít a kapcsolatok rendezésében a legkisebbről a legnagyobbra átvitt bájtok száma szerint
• a folyamatábra szabályazonosító azonosítójának topN 10 megjelenítése — segíti a kapcsolatok megjelenítését a szükséges szabályazonosítóval
• flowtable flowspec megjelenítése SPEC — a kapcsolatok rugalmasabb kiválasztásához, ahol SPEC — beállítja a szükséges szűrési szabályokat, például proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, a TCP protokoll és a 9Х.107.69 forrás IP-cím használatával történő kiválasztáshoz. XX az 59365-ös küldőportról
  Példa> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• csomag cseppek megjelenítése – lehetővé teszi a csomagokra vonatkozó statisztikák megtekintését
• tűzfalfolyamatok megjelenítése - Megjeleníti a tűzfal csomagszámlálóit a csomagfolyamokkal együtt.

Az alapvető hálózati diagnosztikai eszközöket közvetlenül az EDGE útválasztóról is használhatjuk:

• ping ip WORD
• ping ip WORD size SIZE count COUNT nofrag – ping, amely jelzi az elküldött adatok méretét és az ellenőrzések számát, valamint tiltja a beállított csomagméret töredezettségét.
• traceroute ip WORD

A tűzfal működésének diagnosztizálásának sorrendje az Edge-n

1. Dob tűzfal megjelenítése és nézze meg a telepített egyéni szűrési szabályokat az usr_rules táblában
2. Megnézzük a POSTROUTIN láncot, és a DROP mező segítségével szabályozzuk az eldobott csomagok számát. Ha probléma van az aszimmetrikus útválasztással, akkor az értékek növekedését rögzítjük.
   Végezzünk további ellenőrzéseket:
   • A ping az egyik irányba fog működni, az ellenkező irányba nem
   • A ping működik, de a TCP-munkamenetek nem jönnek létre.
3. Megvizsgáljuk az IP-címekre vonatkozó információk kimenetét - ipset megjelenítése
4. Engedélyezze a naplózást a tűzfalszabályra az Edge szolgáltatásokban
5. Megnézzük az eseményeket a naplóban - naplókövetés megjelenítése
6. A kapcsolatokat a szükséges rule_id használatával ellenőrizzük - flowtable rule_id megjelenítése
7. Révén áramlási statisztika megjelenítése Összehasonlítjuk a jelenleg telepített Current Flow Entries kapcsolatokat az aktuális konfigurációban megengedett maximális értékkel (Teljes áramlási kapacitás). Az elérhető konfigurációk és korlátok a VMware NSX Edge alkalmazásban tekinthetők meg. Ha érdekel, erről a következő cikkben tudok beszélni.

Mit olvashatsz még a blogon? Cloud4Y

→ A CRISPR-rezisztens vírusok „menedéket” építenek, hogy megvédjék a genomokat a DNS-be hatoló enzimektől
→ Hogyan bukott el a bank?
→ A nagy hópehely elmélet
→ Internet léggömbökön
→ Pentesters a kiberbiztonság élvonalában

Iratkozzon fel a Telegram-csatorna, hogy ne maradj le a következő cikkről! Hetente legfeljebb kétszer írunk, és csak üzleti ügyben. Felhívjuk figyelmét, hogy az induló vállalkozások 1 000 000 RUB-t kaphatnak. a Cloud4Y-től. A feltételek és a jelentkezési lap az érdeklődők számára megtalálható honlapunkon: bit.ly/2sj6dPK

Forrás: will.com