In alcuni casi potrebbero sorgere problemi durante la configurazione di un router virtuale. Ad esempio, il port forwarding (NAT) non funziona e/o si verifica un problema nell'impostazione delle regole del firewall stesso. Oppure devi semplicemente ottenere i registri del router, controllare il funzionamento del canale ed eseguire la diagnostica della rete. Il fornitore di servizi cloud Cloud4Y spiega come è possibile farlo.
Lavorare con un router virtuale
Prima di tutto, dobbiamo configurare l'accesso al router virtuale – EDGE. Per fare ciò, entriamo nei suoi servizi e andiamo alla scheda appropriata – Impostazioni EDGE. Lì abilitiamo lo stato SSH, impostiamo una password e ci assicuriamo di salvare le modifiche.
Se utilizziamo regole rigide del Firewall, quando tutto è vietato per impostazione predefinita, allora aggiungiamo regole che consentono le connessioni al router stesso tramite la porta SSH:
Quindi ci colleghiamo con qualsiasi client SSH, ad esempio PuTTY, e arriviamo alla console.
Nella console diventano disponibili i comandi, il cui elenco può essere visualizzato utilizzando:
stratagemma
Quali comandi possono esserci utili? Ecco un elenco dei più utili:
- mostra l'interfaccia — visualizzerà le interfacce disponibili e gli indirizzi IP installati su di esse
- Mostra registro - mostrerà i registri del router
- mostra il registro segui - ti aiuterà a guardare il registro in tempo reale con aggiornamenti costanti. Ogni regola, sia essa NAT o Firewall, ha un'opzione Abilita registrazione; quando abilitata, gli eventi verranno registrati nel registro, il che consentirà la diagnostica.
- mostra la tabella di flusso — mostrerà l'intera tabella delle connessioni stabilite e i relativi parametri
esempio1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
- mostra la tabella di flusso topN 10 — consente di visualizzare il numero di righe richiesto, in questo esempio 10
- mostra la tabella di flusso topN 10 ordinati per pkt - aiuterà a ordinare le connessioni in base al numero di pacchetti dal più piccolo al più grande
- mostra la tabella di flusso topN 10 byte ordinati - aiuterà a ordinare le connessioni in base al numero di byte trasferiti dal più piccolo al più grande
- mostra ID regola della tabella di flusso topN 10 - aiuterà a visualizzare le connessioni in base all'ID regola richiesto
- mostra la tabella di flusso flowpec SPEC — per una selezione più flessibile delle connessioni, dove SPEC — imposta le regole di filtraggio necessarie, ad esempio proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, per la selezione utilizzando il protocollo TCP e l'indirizzo IP di origine 9Х.107.69. XX dalla porta mittente 59365
esempio> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - mostra i pacchetti eliminati – ti permetterà di visualizzare le statistiche sui pacchetti
- mostra i flussi del firewall - Mostra i contatori dei pacchetti firewall insieme ai flussi di pacchetti.
Possiamo anche utilizzare strumenti diagnostici di rete di base direttamente dal router EDGE:
- eseguire il ping dell'ip WORD
- ping ip WORD size size count COUNT nofrag – ping che indica la dimensione dei dati inviati e il numero di controlli e impedisce anche la frammentazione della dimensione del pacchetto impostata.
- traceroute ip PAROLA
Sequenza di diagnosi del funzionamento del Firewall su Edge
- Lanciamo mostra firewall e guarda le regole di filtro personalizzate installate nella tabella usr_rules
- Osserviamo la catena POSTROUTIN e controlliamo il numero di pacchetti scartati utilizzando il campo DROP. Se si verifica un problema con il routing asimmetrico, registreremo un aumento dei valori.
Effettuiamo ulteriori controlli:- Il ping funzionerà in una direzione e non nella direzione opposta
- il ping funzionerà, ma le sessioni TCP non verranno stabilite.
- Osserviamo l'output delle informazioni sugli indirizzi IP: mostra ipset
- Abilita l'accesso alla regola firewall nei servizi Edge
- Osserviamo gli eventi nel registro - mostra il registro segui
- Controlliamo le connessioni utilizzando il rule_id richiesto - mostra rule_id della tabella di flusso
- Per mezzo di mostra i flussostati Confrontiamo le connessioni delle voci di flusso corrente attualmente installate con la massima consentita (capacità di flusso totale) nella configurazione corrente. Le configurazioni e i limiti disponibili possono essere visualizzati in VMware NSX Edge. Se sei interessato, posso parlarne nel prossimo articolo.
Cos'altro puoi leggere sul blog?
→
→
→
→
→
Iscriviti al nostro
Fonte: habr.com