EDGE виртуалдык роутериндеги тармак байланыштарынын диагностикасы

Кээ бир учурларда, виртуалдык роутерди орнотууда көйгөйлөр пайда болушу мүмкүн. Мисалы, порт багыттоо (NAT) иштебейт жана/же Firewall эрежелерин орнотууда көйгөй бар. Же жөн гана роутердин журналдарын алып, каналдын иштешин текшерип, тармак диагностикасын жүргүзүшүңүз керек. Булут провайдери Cloud4Y мунун кантип жасалаарын түшүндүрөт.

Виртуалдык роутер менен иштөө

Биринчиден, биз виртуалдык роутерге кирүү мүмкүнчүлүгүн конфигурациялашыбыз керек - EDGE. Бул үчүн, биз анын кызматтарын кирип, тиешелүү өтмөккө өтүү - EDGE Орнотуулар. Ал жерден биз SSH Статусун иштетип, сырсөздү коюп, өзгөртүүлөрдү сактоону унутпаңыз.

Эгерде биз катуу Firewall эрежелерин колдонсок, баары демейки боюнча тыюу салынган болсо, анда биз роутердин өзүнө SSH порту аркылуу туташууга уруксат берген эрежелерди кошобуз:

Андан кийин биз каалаган SSH кардары менен байланышабыз, мисалы PuTTY жана консолго келебиз.

Консолдо командалар бизге жеткиликтүү болуп калат, алардын тизмесин колдонуу менен көрүүгө болот:
тизме

Кандай буйруктар бизге пайдалуу болушу мүмкүн? Бул жерде эң пайдалуу тизмеси:

• интерфейсти көрсөтүү — жеткиликтүү интерфейстерди жана аларда орнотулган IP даректерди көрсөтөт
• журналды көрсөтүү - роутер журналдарын көрсөтөт
• журналды ээрчүүнү көрсөтүү — журналды реалдуу убакыт режиминде туруктуу жаңыртуулар менен көрүүгө жардам берет. Ар бир эрежеде, ал NAT же Firewall болсун, журналга жазууну иштетүү опциясы бар, иштетилгенде, диагностикага мүмкүндүк берүүчү окуялар журналга жазылат.
• агымдык таблицаны көрсөтүү — орнотулган байланыштардын бүт таблицасын жана алардын параметрлерин көрсөтөт
  мисал1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• үстүңкү агымдык таблицаны көрсөтүүN 10 — саптардын керектүү санын көрсөтүүгө мүмкүндүк берет, бул мисалда 10
• агымдык таблицаны көрсөтүңүз — байланыштарды пакеттердин саны боюнча эң кичинеден чоңго чейин сорттоого жардам берет
• flowtable topN 10 сорттоо байт көрсөтүү — туташууларды кичинеден чоңго өткөрүлүүчү байттардын саны боюнча сорттоого жардам берет
• flowtable эреже-id ID topN 10 көрсөтүү — талап кылынган эреже ID менен байланыштарды көрсөтүүгө жардам берет
• SPEC агымын көрсөтүү — туташууларды ийкемдүү тандоо үчүн, мында SPEC — керектүү чыпкалоо эрежелерин орнотот, мисалы proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, TCP протоколун жана 9Х.107.69 баштапкы IP дарегин колдонуу менен тандоо үчүн. Жөнөтүүчү портунан XX 59365
  мисал> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• пакет тамчыларын көрсөтүү – пакеттер боюнча статистиканы көрүүгө мүмкүндүк берет
• Firewall агымдарын көрсөтүү - Пакет агымдары менен брандмауэр пакет эсептегичтерин көрсөтөт.

Биз ошондой эле негизги тармак диагностикалык куралдарын түздөн-түз EDGE роутерден колдоно алабыз:

• ping ip WORD
• ping ip WORD size SIZE count COUNT nofrag – жөнөтүлүүчү маалыматтардын өлчөмүн жана текшерүүлөрдүн санын көрсөтүүчү ping, ошондой эле белгиленген пакеттин өлчөмүн фрагментациялоого тыюу салат.
• traceroute ip WORD

Edgeдеги Firewall операциясын диагностикалоонун ырааттуулугу

1. Ишке киргизүү брандмауэрди көрсөтүү жана usr_rules таблицасында орнотулган ыңгайлаштырылган чыпкалоо эрежелерин караңыз
2. Биз POSTROUTIN чынжырын карап, DROP талаасынын жардамы менен түшүрүлгөн пакеттердин санын көзөмөлдөйбүз. Асимметриялык багыттоодо көйгөй болсо, биз маанилердин көбөйүшүн жазабыз.
   Келгиле, кошумча текшерүүлөрдү жүргүзөлү:
   • Пинг карама-каршы багытта эмес, бир багытта иштейт
   • пинг иштейт, бирок TCP сессиялары орнотулбайт.
3. Биз IP даректери жөнүндө маалыматты карап чыгабыз - ipset көрсөтүү
4. Edge кызматтарында брандмауэр эрежеси боюнча кирүүнү иштетүү
5. Биз журналдагы окуяларды карайбыз - журналды ээрчүүнү көрсөтүү
6. Биз керектүү rule_id аркылуу байланыштарды текшеребиз - flowtable rule_id көрсөтүү
7. Жардамы менен агым статистикасын көрсөтүү Учурда орнотулган Current Flow Entries туташууларын учурдагы конфигурациядагы максималдуу уруксат берилген (жалпы агымдын кубаттуулугу) менен салыштырабыз. Жеткиликтүү конфигурацияларды жана чектөөлөрдү VMware NSX Edgeде көрүүгө болот. Эгер сизди кызыктырса, мен бул тууралуу кийинки макалада айта алам.

Блогдон дагы эмнени окуй аласыз? Cloud4Y

→ CRISPRга туруктуу вирустар геномдорду ДНКга кирүүчү ферменттерден коргоо үчүн "баш калкалоочу жайларды" курушат
→ Банк кантип иштебей калды?
→ Улуу Snowflake теориясы
→ Шарлардагы интернет
→ Пентестерлер киберкоопсуздуктун алдыңкы сабында

Биздин жазылуу телеграммаКийинки макаланы өткөрүп жибербеш үчүн -канал! Биз жумасына эки жолудан ашык эмес жана бизнес боюнча гана жазабыз. Эсиңиздерге салабыз, стартаптар 1 000 000 рубль ала алышат. Cloud4Yден. Кызыккандар үчүн шарттар жана анкета биздин веб-сайттан тапса болот: bit.ly/2sj6dPK

Source: www.habr.com