場合によっては、仮想ルーターの設定時に問題が発生することがあります。 たとえば、ポート転送 (NAT) が機能しないか、ファイアウォール ルール自体の設定に問題がある場合、あるいはその両方です。 または、ルーターのログを取得し、チャネルの動作を確認し、ネットワーク診断を実行するだけで済みます。 クラウド プロバイダー Cloud4Y が、これがどのように行われるかを説明しています。
仮想ルーターの操作
まず最初に、仮想ルーター EDGE へのアクセスを設定する必要があります。 これを行うには、そのサービスに入り、適切なタブ - EDGE 設定に移動します。 そこで SSH ステータスを有効にし、パスワードを設定し、変更を必ず保存します。
デフォルトですべてが禁止されている場合に厳格なファイアウォール ルールを使用する場合は、SSH ポート経由でルーター自体への接続を許可するルールを追加します。
次に、PuTTY などの SSH クライアントに接続し、コンソールにアクセスします。
コンソールではコマンドが利用可能になり、コマンドのリストは以下を使用して表示できます。
リスト
どのようなコマンドが役に立つでしょうか? 最も役立つもののリストは次のとおりです。
- インターフェイスを表示 — 利用可能なインターフェイスと、そこにインストールされている IP アドレスが表示されます。
- ログを表示 - ルーターのログが表示されます
- ログを表示する — 定期的に更新されるログをリアルタイムで監視するのに役立ちます。 NAT であれファイアウォールであれ、各ルールにはログを有効にするオプションがあり、有効にするとイベントがログに記録され、診断が可能になります。
- フローテーブルを表示 — 確立された接続とそのパラメータのテーブル全体が表示されます
例1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
- フローテーブルを表示トップN 10 — 必要な行数を表示できます。この例では 10 行です。
- show flowtable topN 10 sort-by パケット — パケット数で接続を最小から最大の順に並べ替えるのに役立ちます
- show flowtable topN 10 ソートバイ バイト — 転送バイト数で接続を最小から最大の順に並べ替えるのに役立ちます
- フローテーブル ルール ID ID 上位 N 10 を表示 — 必要なルール ID ごとに接続を表示するのに役立ちます
- show flowtable flowspec SPEC - 接続をより柔軟に選択する場合 (SPEC の場合) - TCP プロトコルと送信元 IP アドレス 9Х.107.69 を使用して選択するために、必要なフィルタリング ルール (例: proto=tcp:srcip=59365Х.9.ХХХ:sport=107.69) を設定します。送信者ポート 59365 からの XX
例> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - パケットドロップを表示 – パッケージに関する統計を表示できるようになります
- ファイアウォールフローを表示 - パケット フローとともにファイアウォールのパケット カウンタを表示します。
基本的なネットワーク診断ツールを EDGE ルーターから直接使用することもできます。
- ping ip ワード
- ping ip WORD size SIZE count COUNT nofrag – 送信するデータのサイズとチェック回数を示す ping であり、設定されたパケット サイズの断片化も禁止します。
- トレースルート IP WORD
Edge でのファイアウォール動作を診断するシーケンス
- 打ち上げ ファイアウォールを表示 usr_rules テーブルにインストールされているカスタム フィルタリング ルールを確認します。
- POSTROUTIN チェーンを調べ、DROP フィールドを使用してドロップされたパケットの数を制御します。 非対称ルーティングに問題がある場合は、値の増加が記録されます。
追加のチェックを実行してみましょう。- ping は一方向にのみ機能し、逆方向には機能しません。
- ping は機能しますが、TCP セッションは確立されません。
- IP アドレスに関する情報の出力を見てみましょう - IPセットを表示
- Edge サービスのファイアウォール ルールでログを有効にする
- ログ内のイベントを確認します - ログを表示する
- 必要なrule_idを使用して接続をチェックします - フローテーブルのルール ID を表示
- 用いて フロー統計を表示 現在インストールされている現在のフロー エントリ接続を、現在の構成で許可されている最大値 (合計フロー容量) と比較します。 利用可能な構成と制限は、VMware NSX Edge で確認できます。 ご興味があれば、これについては次の記事でお話します。
ブログでは他に何が読めますか?
→
→
→
→
→
購読してください
出所: habr.com