ქსელური კავშირების დიაგნოსტიკა EDGE ვირტუალურ როუტერზე

ზოგიერთ შემთხვევაში, პრობლემები შეიძლება წარმოიშვას ვირტუალური როუტერის დაყენებისას. მაგალითად, პორტის გადამისამართება (NAT) არ მუშაობს და/ან არის პრობლემა თავად Firewall-ის წესების დაყენებაში. ან თქვენ უბრალოდ უნდა მიიღოთ როუტერის ჟურნალები, შეამოწმოთ არხის მოქმედება და ჩაატაროთ ქსელის დიაგნოსტიკა. Cloud პროვაიდერი Cloud4Y განმარტავს, თუ როგორ კეთდება ეს.

ვირტუალურ როუტერთან მუშაობა

უპირველეს ყოვლისა, ჩვენ უნდა დავაკონფიგურიროთ წვდომა ვირტუალურ როუტერზე - EDGE. ამისათვის შევდივართ მის სერვისებში და გადავდივართ შესაბამის ჩანართზე – EDGE Settings. იქ ჩავრთავთ SSH Status, ვაყენებთ პაროლს და აუცილებლად შეინახავთ ცვლილებებს.

თუ ვიყენებთ Firewall-ის მკაცრ წესებს, როდესაც ყველაფერი აკრძალულია ნაგულისხმევად, მაშინ ვამატებთ წესებს, რომლებიც საშუალებას აძლევს თავად როუტერს დაუკავშირდეს SSH პორტის საშუალებით:

შემდეგ ჩვენ ვუკავშირდებით ნებისმიერ SSH კლიენტს, მაგალითად PuTTY და მივდივართ კონსოლში.

კონსოლში ჩვენთვის ხელმისაწვდომი ხდება ბრძანებები, რომელთა ჩამონათვალის ნახვა შეგიძლიათ:
სია

რა ბრძანებები შეიძლება იყოს ჩვენთვის სასარგებლო? აქ არის სია ყველაზე სასარგებლო:

• ინტერფეისის ჩვენება — გამოჩნდება ხელმისაწვდომი ინტერფეისები და მათზე დაინსტალირებული IP მისამართები
• ჟურნალის ჩვენება - აჩვენებს როუტერის ჟურნალებს
• ჩვენება ჟურნალი დაიცავით — დაგეხმარებათ უყუროთ ჟურნალს რეალურ დროში მუდმივი განახლებებით. თითოეულ წესს, იქნება ეს NAT ან Firewall, აქვს ჩართვის ოფცია, როდესაც ჩართულია, მოვლენები ჩაიწერება ჟურნალში, რაც დიაგნოსტიკის საშუალებას მისცემს.
• დინების ცხრილის ჩვენება — აჩვენებს დამყარებული კავშირების მთელ ცხრილს და მათ პარამეტრებს
  მაგალითი1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• აჩვენეთ ნაკადის ცხრილი ზედა N 10 — საშუალებას გაძლევთ აჩვენოთ ხაზების საჭირო რაოდენობა, ამ მაგალითში 10
• აჩვენეთ flowtable topN 10 დახარისხება pkts-ით - დაგეხმარებათ დაალაგოთ კავშირები პაკეტების რაოდენობის მიხედვით უმცირესიდან დიდამდე
• აჩვენეთ flowtable topN 10 დალაგების ბაიტი — დაგეხმარებათ დაალაგოთ კავშირები ბაიტების რაოდენობის მიხედვით პატარადან დიდამდე
• აჩვენე flowtable rule-id ID topN 10 — დაგეხმარებათ აჩვენოთ კავშირები საჭირო წესის ID-ით
• აჩვენე flowtable flowspec SPEC — კავშირების უფრო მოქნილი შერჩევისთვის, სადაც SPEC — ადგენს ფილტრაციის აუცილებელ წესებს, მაგალითად proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, TCP პროტოკოლის და წყაროს IP მისამართის 9Х.107.69 შერჩევისთვის. XX გამგზავნი პორტიდან 59365
  მაგალითი> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• აჩვენე პაკეტის წვეთები – საშუალებას მოგცემთ ნახოთ პაკეტების სტატისტიკა
• აჩვენე ბუხარის ნაკადები - აჩვენებს Firewall-ის პაკეტის მრიცხველებს პაკეტის ნაკადებთან ერთად.

ჩვენ ასევე შეგვიძლია გამოვიყენოთ ძირითადი ქსელის დიაგნოსტიკური ხელსაწყოები პირდაპირ EDGE როუტერიდან:

• პინგ IP WORD
• ping ip WORD ზომა SIZE count COUNT nofrag – ping მიუთითებს გაგზავნილი მონაცემების ზომაზე და შემოწმებების რაოდენობაზე და ასევე კრძალავს ნაკრების ზომის ფრაგმენტაციას.
• traceroute IP WORD

Firewall-ის ოპერაციის დიაგნოსტიკის თანმიმდევრობა Edge-ზე

1. გაშვება firewall-ის ჩვენება და გადახედეთ დაინსტალირებული ფილტრაციის წესებს usr_rules ცხრილში
2. ჩვენ ვუყურებთ POSTROUTIN ჯაჭვს და ვაკონტროლებთ ჩამოშვებული პაკეტების რაოდენობას DROP ველის გამოყენებით. თუ არის ასიმეტრიული მარშრუტიზაციის პრობლემა, ჩვენ ჩავწერთ მნიშვნელობების ზრდას.
   მოდით ჩავატაროთ დამატებითი შემოწმება:
   • Ping იმუშავებს ერთი მიმართულებით და არა საპირისპირო მიმართულებით
   • ping იმუშავებს, მაგრამ TCP სესიები არ დამყარდება.
3. ჩვენ ვუყურებთ ინფორმაციის გამომავალს IP მისამართების შესახებ - აჩვენე ipset
4. ჩართეთ შესვლა Firewall-ის წესზე Edge სერვისებში
5. ჩვენ ვუყურებთ მოვლენებს ჟურნალში - ჩვენება ჟურნალი დაიცავით
6. ჩვენ ვამოწმებთ კავშირებს საჭირო rule_id-ის გამოყენებით - აჩვენე flowtable rule_id
7. საშუალებით ნაკადის სტატისტიკის ჩვენება ჩვენ შევადარებთ ამჟამად დაყენებულ მიმდინარე ნაკადის ჩანაწერების კავშირებს მიმდინარე კონფიგურაციაში დაშვებულ მაქსიმალურ (მთლიანი ნაკადის სიმძლავრე). ხელმისაწვდომი კონფიგურაციები და ლიმიტები შეგიძლიათ ნახოთ VMware NSX Edge-ში. თუ გაინტერესებთ, ამის შესახებ შემდეგ სტატიაში შემიძლია ვისაუბრო.

კიდევ რისი წაკითხვა შეგიძლიათ ბლოგზე? Cloud4Y

→ CRISPR-ის რეზისტენტული ვირუსები აშენებენ "თავშესაფარს" გენომების დასაცავად დნმ-ის შეღწევადი ფერმენტებისგან.
→ როგორ ჩავარდა ბანკი?
→ დიდი ფიფქის თეორია
→ ინტერნეტი ბუშტებზე
→ პენტესტრები კიბერუსაფრთხოების სათავეში

გამოიწერეთ ჩვენი დეპეშა-არხი, რომ არ გამოტოვოთ შემდეგი სტატია! ჩვენ ვწერთ არა უმეტეს კვირაში ორჯერ და მხოლოდ საქმიანი. შეგახსენებთ, რომ სტარტაპებს შეუძლიათ მიიღონ 1 000 000 რუბლი. Cloud4Y-დან. პირობები და განაცხადის ფორმა დაინტერესებულთათვის შეგიძლიათ იხილოთ ჩვენს ვებ-გვერდზე: bit.ly/2sj6dPK

წყარო: www.habr.com