EDGE виртуалды маршрутизаторындағы желілік қосылымдарды диагностикалау

Кейбір жағдайларда виртуалды маршрутизаторды орнату кезінде проблемалар туындауы мүмкін. Мысалы, портты қайта жіберу (NAT) жұмыс істемейді және/немесе желіаралық қалқан ережелерін орнатуда ақау бар. Немесе сізге маршрутизатордың журналдарын алу, арнаның жұмысын тексеру және желі диагностикасын жүргізу қажет. Cloud4Y бұлтты провайдері мұның қалай жасалатынын түсіндіреді.

Виртуалды маршрутизатормен жұмыс істеу

Ең алдымен, виртуалды маршрутизаторға - EDGE қол жеткізуді теңшеу керек. Мұны істеу үшін біз оның қызметтеріне кіріп, тиісті қойындыға өтеміз - EDGE параметрлері. Онда біз SSH күйін қосамыз, құпия сөз орнатамыз және өзгерістерді сақтауды ұмытпаңыз.

Егер біз қатаң брандмауэр ережелерін қолданатын болсақ, бәрі әдепкі бойынша тыйым салынған кезде, SSH порты арқылы маршрутизатордың өзіне қосылуға мүмкіндік беретін ережелерді қосамыз:

Содан кейін біз кез келген SSH клиентімен қосыламыз, мысалы, PuTTY және консольге кіреміз.

Консольде командалар бізге қол жетімді болады, олардың тізімін мына жерден көруге болады:
тізім

Қандай командалар бізге пайдалы болуы мүмкін? Мұнда ең пайдалылардың тізімі берілген:

• интерфейсті көрсету — қол жетімді интерфейстерді және оларда орнатылған IP мекенжайларын көрсетеді
• журналды көрсету - маршрутизатор журналдарын көрсетеді
• журналдың ізін көрсету — тұрақты жаңартулармен журналды нақты уақытта көруге көмектеседі. NAT немесе брандмауэр болсын, әрбір ережеде Журнал жүргізуді қосу опциясы бар, қосылған кезде диагностикаға мүмкіндік беретін журналға оқиғалар жазылады.
• ағындық кестені көрсету — орнатылған қосылымдардың толық кестесін және олардың параметрлерін көрсетеді
  Мысал:1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• ағынды кестенің жоғарғы бөлігін көрсетуN 10 — жолдардың қажетті санын көрсетуге мүмкіндік береді, бұл мысалда 10
• ағындық кестені көрсету N 10 сұрыптау бойынша пкт — қосылымдарды пакеттер саны бойынша ең кішіден үлкенге қарай сұрыптауға көмектеседі
• ағындық кестенің жоғарғы бөлігін көрсетуN 10 байт бойынша сұрыптау — ең кішіден ең үлкеніне тасымалданатын байттардың саны бойынша қосылымдарды сұрыптауға көмектеседі
• ағын кестесі ережесі идентификаторының topN 10 идентификаторын көрсету — қажетті ереже идентификаторы бойынша қосылымдарды көрсетуге көмектеседі
• SPEC ағынының кестесін көрсету — қосылымдарды неғұрлым икемді таңдау үшін, мұнда SPEC — қажетті сүзу ережелерін орнатады, мысалы, proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, TCP протоколын және 9Х.107.69 бастапқы IP мекенжайын пайдаланып таңдау үшін. XX жіберуші портынан 59365
  Мысал:> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• пакет тамшыларын көрсету – пакеттер бойынша статистиканы көруге мүмкіндік береді
• брандмауэр ағындарын көрсетіңіз - Пакет ағындарымен бірге желіаралық қалқан пакет есептегіштерін көрсетеді.

Сондай-ақ біз негізгі желілік диагностикалық құралдарды тікелей EDGE маршрутизаторынан пайдалана аламыз:

• ping ip WORD
• ping ip WORD size SIZE count COUNT nofrag – жіберілетін деректердің өлшемін және тексерулер санын көрсететін ping, сондай-ақ орнатылған пакет өлшемін фрагментациялауға тыйым салады.
• tracerout ip WORD

Edge жүйесінде брандмауэр жұмысын диагностикалау реті

1. Іске қосу брандмауэрді көрсету және usr_rules кестесіндегі орнатылған теңшелетін сүзу ережелерін қараңыз
2. Біз POSTROUTIN тізбегін қарастырамыз және DROP өрісінің көмегімен түсірілген пакеттер санын басқарамыз. Егер асимметриялық бағыттау проблемасы болса, біз мәндердің ұлғаюын жазамыз.
   Қосымша тексерулер жүргізейік:
   • Ping қарама-қарсы бағытта емес, бір бағытта жұмыс істейді
   • ping жұмыс істейді, бірақ TCP сеанстары орнатылмайды.
3. Біз IP мекенжайлары туралы ақпараттың шығуын қарастырамыз - ipset көрсету
4. Edge қызметтерінде брандмауэр ережесіне кіруді қосыңыз
5. Біз журналдағы оқиғаларды қарастырамыз - журналдың ізін көрсету
6. Қажетті rule_id көмегімен қосылымдарды тексереміз - ағын кестесі ережесі_идентификаторын көрсету
7. Көмегімен ағын статистикасын көрсетіңіз Ағымдағы орнатылған ағымдағы ағын жазбалары қосылымдарын ағымдағы конфигурациядағы максималды рұқсат етілгенмен (жалпы ағын сыйымдылығы) салыстырамыз. Қолжетімді конфигурациялар мен шектеулерді VMware NSX Edge бағдарламасында көруге болады. Егер сізді қызықтырса, мен бұл туралы келесі мақалада айта аламын.

Блогта тағы не оқуға болады? Cloud4Y

→ CRISPR-қа төзімді вирустар геномдарды ДНҚ енетін ферменттерден қорғау үшін «баспаналар» жасайды
→ Банк қалай сәтсіздікке ұшырады?
→ Үлкен қар ұшқыны теориясы
→ Шарлардағы интернет
→ Пентестер киберқауіпсіздіктің алдыңғы қатарында

Біздің жазылым TelegramКелесі мақаланы жіберіп алмау үшін арна! Біз аптасына екі реттен көп емес және тек бизнесте жазамыз. Стартаптар 1 000 000 рубль ала алатынын еске саламыз. Cloud4Y бастап. Қызығушылық танытқандар үшін шарттар мен өтінім нысанын біздің веб-сайттан табуға болады: bit.ly/2sj6dPK

Ақпарат көзі: www.habr.com