Որոշ դեպքերում խնդիրներ կարող են առաջանալ վիրտուալ երթուղիչի տեղադրման ժամանակ: Օրինակ, նավահանգիստների վերահասցեավորումը (NAT) չի աշխատում և/կամ խնդիր կա հենց Firewall-ի կանոնները կարգավորելու հարցում: Կամ պարզապես անհրաժեշտ է ստանալ երթուղիչի տեղեկամատյանները, ստուգել ալիքի աշխատանքը և իրականացնել ցանցի ախտորոշում: Cloud մատակարար Cloud4Y-ը բացատրում է, թե ինչպես է դա արվում:
Վիրտուալ երթուղիչի հետ աշխատելը
Առաջին հերթին, մենք պետք է կարգավորենք մուտքը դեպի վիրտուալ երթուղիչ՝ EDGE: Դա անելու համար մենք մտնում ենք նրա ծառայությունները և գնում համապատասխան ներդիր՝ EDGE Settings: Այնտեղ մենք միացնում ենք SSH Status-ը, սահմանում ենք գաղտնաբառ և անպայման պահպանում ենք փոփոխությունները։
Եթե մենք օգտագործում ենք Firewall-ի խիստ կանոններ, երբ ամեն ինչ արգելված է լռելյայնորեն, ապա մենք ավելացնում ենք կանոններ, որոնք թույլ են տալիս միանալ հենց երթուղիչին SSH պորտի միջոցով.
Այնուհետև մենք կապվում ենք ցանկացած SSH հաճախորդի հետ, օրինակ PuTTY, և հասնում ենք կոնսոլ:
Վահանակում մեզ հասանելի են դառնում հրամանները, որոնց ցանկը կարելի է տեսնել՝ օգտագործելով.
ցուցակ
Ի՞նչ հրամաններ կարող են օգտակար լինել մեզ համար: Ահա ամենաօգտակարների ցանկը.
- ցուցադրել ինտերֆեյսը — կցուցադրեն առկա ինտերֆեյսները և դրանց վրա տեղադրված IP հասցեները
- ցույց տալ մատյան - ցույց կտա երթուղիչի տեղեկամատյանները
- ցույց մատյան հետևել — կօգնի ձեզ դիտել գրանցամատյանը իրական ժամանակում՝ մշտական թարմացումներով: Յուրաքանչյուր կանոն, լինի դա NAT կամ Firewall, ունի Enable logging տարբերակ, երբ միացված է, իրադարձությունները կգրանցվեն գրանցամատյանում, ինչը թույլ կտա ախտորոշել:
- ցույց տալ հոսքի աղյուսակը — ցույց կտա հաստատված կապերի ամբողջ աղյուսակը և դրանց պարամետրերը
Օրինակ1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1 - ցույց տալ հոսքասեղանի վերին N 10 — թույլ է տալիս ցուցադրել անհրաժեշտ թվով տողեր, այս օրինակում 10
- ցույց տալ հոսքի աղյուսակի վերին N 10 տեսակավորում ըստ pkts — կօգնի տեսակավորել կապերը ըստ փաթեթների քանակի՝ ամենափոքրից մինչև ամենամեծը
- ցույց տալ աղյուսակի վերին N 10 տեսակավորում ըստ բայթերի — կօգնի տեսակավորել կապերն ըստ փոքրից մեծը փոխանցված բայթերի քանակի
- ցույց տալ աղյուսակի կանոնների ID վերին N 10 — կօգնի ցուցադրել կապերը պահանջվող կանոնի ID-ով
- ցույց տալ flowtable flowspec SPEC — կապերի ավելի ճկուն ընտրության համար, որտեղ SPEC — սահմանում է զտման անհրաժեշտ կանոնները, օրինակ proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, ընտրության համար՝ օգտագործելով TCP արձանագրությունը և սկզբնաղբյուր IP հասցեն 9Х.107.69: XX 59365 ուղարկողի պորտից
Օրինակ> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - ցույց տալ փաթեթների կաթիլները – թույլ կտա դիտել փաթեթների վիճակագրությունը
- ցույց տալ firewall հոսքերը - Ցույց է տալիս firewall փաթեթների հաշվիչները փաթեթների հոսքերի հետ միասին:
Մենք կարող ենք նաև օգտագործել հիմնական ցանցի ախտորոշման գործիքները անմիջապես EDGE երթուղիչից.
- ping ip WORD
- ping ip WORD չափը SIZE count COUNT nofrag – ping, որը ցույց է տալիս ուղարկվող տվյալների չափը և ստուգումների քանակը, ինչպես նաև արգելում է փաթեթի սահմանված չափի մասնատումը:
- traceroute IP WORD
Edge-ի վրա Firewall-ի գործողության ախտորոշման հաջորդականությունը
- Մենք մեկնարկում ենք ցույց տալ firewall-ը և նայեք տեղադրված հատուկ զտման կանոններին usr_rules աղյուսակում
- Մենք նայում ենք POSTROUTIN շղթային և վերահսկում ենք բաց թողնված փաթեթների քանակը՝ օգտագործելով DROP դաշտը: Եթե ասիմետրիկ երթուղավորման հետ կապված խնդիր լինի, մենք կարձանագրենք արժեքների աճ։
Եկեք լրացուցիչ ստուգումներ անցկացնենք.- Ping-ը կաշխատի մեկ ուղղությամբ և ոչ թե հակառակ ուղղությամբ
- ping-ը կաշխատի, բայց TCP նիստերը չեն հաստատվի:
- Մենք նայում ենք IP հասցեների վերաբերյալ տեղեկատվության ելքին. ցույց տալ ipset
- Միացնել մուտքագրումը firewall կանոնի վրա Edge ծառայություններում
- Մենք դիտում ենք իրադարձությունները գրանցամատյանում. ցույց մատյան հետևել
- Մենք ստուգում ենք կապերը՝ օգտագործելով պահանջվող rule_id - ցույց տալ flowtable rule_id-ը
- Միջոցով ցույց տալ հոսքի վիճակագրությունը Մենք համեմատում ենք ներկայումս տեղադրված ընթացիկ հոսքի մուտքերի միացումները առավելագույն թույլատրելի (Հոսքի ընդհանուր հզորություն) ընթացիկ կազմաձևում: Հասանելի կոնֆիգուրացիաները և սահմանափակումները կարելի է դիտել VMware NSX Edge-ում: Եթե դուք հետաքրքրված եք, ես կարող եմ խոսել այս մասին հաջորդ հոդվածում:
Էլ ի՞նչ կարող եք կարդալ բլոգում:
→
→
→
→
→
Բաժանորդագրվեք մեր -ալիք, որպեսզի բաց չթողնեք հաջորդ հոդվածը: Մենք գրում ենք ոչ ավելի, քան շաբաթական երկու անգամ և միայն գործով: Հիշեցնենք, որ ստարտափները կարող են ստանալ 1 ռուբլի: Cloud000Y-ից: Հետաքրքրվողների պայմանները և դիմումի ձևը կարող եք գտնել մեր կայքում.
Source: www.habr.com