Diagnostik koneksi jaringan pada router virtual EDGE

Dalam beberapa kasus, masalah mungkin timbul saat menyiapkan router virtual. Misalnya, penerusan porta (NAT) tidak berfungsi dan/atau ada masalah dalam pengaturan aturan Firewall itu sendiri. Atau Anda hanya perlu mendapatkan log router, memeriksa pengoperasian saluran, dan melakukan diagnostik jaringan. Penyedia cloud Cloud4Y menjelaskan cara hal ini dilakukan.

Bekerja dengan router virtual

Pertama-tama, kita perlu mengkonfigurasi akses ke router virtual – EDGE. Untuk melakukan ini, kami masuk ke layanannya dan pergi ke tab yang sesuai – Pengaturan EDGE. Di sana kami mengaktifkan Status SSH, mengatur kata sandi, dan pastikan untuk menyimpan perubahannya.

Jika kami menggunakan aturan Firewall yang ketat, ketika semuanya dilarang secara default, maka kami menambahkan aturan yang mengizinkan koneksi ke router itu sendiri melalui port SSH:

Kemudian kami terhubung dengan klien SSH mana pun, misalnya PuTTY, dan masuk ke konsol.

Di konsol, perintah tersedia bagi kami, daftarnya dapat dilihat menggunakan:
daftar

Perintah apa yang berguna bagi kita? Berikut adalah daftar yang paling berguna:

• tampilkan antarmuka — akan menampilkan antarmuka yang tersedia dan alamat IP yang terpasang di dalamnya
• tampilkan log - akan menampilkan log router
• tampilkan log ikuti — akan membantu Anda melihat log secara real time dengan pembaruan terus-menerus. Setiap aturan, baik itu NAT atau Firewall, memiliki opsi Aktifkan logging, ketika diaktifkan, peristiwa akan dicatat dalam log, yang memungkinkan diagnostik.
• tampilkan tabel aliran — akan menampilkan seluruh tabel koneksi yang dibuat dan parameternya
  Contoh1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• tampilkan tabel aliran topN 10 — memungkinkan Anda menampilkan jumlah baris yang diperlukan, dalam contoh ini 10
• tampilkan flowtable topN 10 urutkan berdasarkan pkts — akan membantu mengurutkan koneksi berdasarkan jumlah paket dari yang terkecil hingga yang terbesar
• tampilkan flowtable topN 10 urutkan berdasarkan byte — akan membantu mengurutkan koneksi berdasarkan jumlah byte yang ditransfer dari terkecil ke terbesar
• tampilkan ID aturan tabel aliran topN 10 — akan membantu menampilkan koneksi berdasarkan ID aturan yang diperlukan
• tampilkan spesifikasi aliran flowtable — untuk pemilihan koneksi yang lebih fleksibel, di mana SPEC — menetapkan aturan pemfilteran yang diperlukan, misalnya proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, untuk pemilihan menggunakan protokol TCP dan alamat IP sumber 9Х.107.69. XX dari port pengirim 59365
  Contoh> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• menunjukkan paket tetes – akan memungkinkan Anda melihat statistik paket
• tampilkan aliran firewall - Menampilkan penghitung paket firewall beserta aliran paket.

Kita juga dapat menggunakan alat diagnostik jaringan dasar langsung dari router EDGE:

• ping ip KATA
• ping ip WORD size SIZE count COUNT nofrag – ping menunjukkan ukuran data yang dikirim dan jumlah pemeriksaan, dan juga melarang fragmentasi ukuran paket yang ditetapkan.
• traceroute ip KATA

Urutan mendiagnosis operasi Firewall di Edge

1. Meluncurkan tampilkan firewall dan lihat aturan pemfilteran khusus yang diinstal di tabel usr_rules
2. Kami melihat rantai POSTROUTIN dan mengontrol jumlah paket yang dijatuhkan menggunakan bidang DROP. Jika ada masalah dengan perutean asimetris, kami akan mencatat peningkatan nilainya.
   Mari lakukan pemeriksaan tambahan:
   • Ping akan bekerja dalam satu arah dan bukan dalam arah yang berlawanan
   • ping akan berfungsi, tetapi sesi TCP tidak akan dibuat.
3. Kami melihat keluaran informasi tentang alamat IP - tampilkan ipset
4. Aktifkan pencatatan aturan firewall di layanan Edge
5. Kami melihat peristiwa di log - tampilkan log ikuti
6. Kami memeriksa koneksi menggunakan rule_id yang diperlukan - tampilkan rule_id yang dapat mengalir
7. Melalui tampilkan status aliran Kami membandingkan koneksi Entri Aliran Arus yang terpasang saat ini dengan maksimum yang diperbolehkan (Kapasitas Aliran Total) dalam konfigurasi saat ini. Konfigurasi dan batasan yang tersedia dapat dilihat di VMware NSX Edge. Jika Anda tertarik, hal ini bisa saya bahas pada artikel selanjutnya.

Apa lagi yang bisa Anda baca di blog? Awan4Y

→ Virus yang resisten terhadap CRISPR membangun "tempat berlindung" untuk melindungi genom dari enzim penembus DNA
→ Bagaimana bank gagal?
→ Teori Kepingan Salju Besar
→ Internet di balon
→ Pentester berada di garis depan keamanan siber

Berlangganan kami Telegram-channel agar tidak ketinggalan artikel selanjutnya! Kami menulis tidak lebih dari dua kali seminggu dan hanya untuk urusan bisnis. Kami mengingatkan Anda bahwa startup dapat menerima RUB 1. dari Cloud000Y. Ketentuan dan formulir aplikasi bagi yang berminat dapat dilihat di website kami: bit.ly/2sj6dPK

Sumber: www.habr.com