Diagnostik sambungan rangkaian pada penghala maya EDGE

Dalam sesetengah kes, masalah mungkin timbul apabila menyediakan penghala maya. Contohnya, pemajuan port (NAT) tidak berfungsi dan/atau terdapat masalah dalam menyediakan peraturan Firewall itu sendiri. Atau anda hanya perlu mendapatkan log penghala, menyemak operasi saluran dan menjalankan diagnostik rangkaian. Pembekal awan Cloud4Y menerangkan cara ini dilakukan.

Bekerja dengan penghala maya

Pertama sekali, kita perlu mengkonfigurasi akses kepada penghala maya - EDGE. Untuk melakukan ini, kami memasukkan perkhidmatannya dan pergi ke tab yang sesuai - Tetapan EDGE. Di sana kami mendayakan Status SSH, menetapkan kata laluan, dan pastikan anda menyimpan perubahan.

Jika kami menggunakan peraturan Firewall yang ketat, apabila semuanya dilarang secara lalai, maka kami menambah peraturan yang membenarkan sambungan ke penghala itu sendiri melalui port SSH:

Kemudian kami berhubung dengan mana-mana pelanggan SSH, contohnya PuTTY, dan pergi ke konsol.

Dalam konsol, arahan tersedia untuk kami, senarai yang boleh dilihat menggunakan:
senarai

Apakah arahan yang boleh berguna kepada kita? Berikut ialah senarai yang paling berguna:

• tunjukkan antara muka — akan memaparkan antara muka yang tersedia dan alamat IP yang dipasang padanya
• tunjukkan log - akan menunjukkan log penghala
• tunjukkan log ikut — akan membantu anda menonton log dalam masa nyata dengan kemas kini berterusan. Setiap peraturan, sama ada NAT atau Firewall, mempunyai pilihan Dayakan pengelogan, apabila didayakan, peristiwa akan direkodkan dalam log, yang akan membenarkan diagnostik.
• tunjukkan jadual alir — akan menunjukkan keseluruhan jadual sambungan yang telah ditetapkan dan parameternya
  Contoh1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• tunjukkan jadual alir atasN 10 — membolehkan anda memaparkan bilangan baris yang diperlukan, dalam contoh 10 ini
• tunjukkan jadual alir atasN 10 isihan mengikut pkts — akan membantu mengisih sambungan mengikut bilangan paket daripada terkecil kepada terbesar
• tunjukkan jadual alir atasN 10 isihan-mengikut bait — akan membantu mengisih sambungan mengikut bilangan bait yang dipindahkan daripada terkecil kepada terbesar
• tunjukkan ID peraturan jadual alir atasN 10 — akan membantu memaparkan sambungan mengikut ID peraturan yang diperlukan
• tunjukkan SPEC flowtable flowspec — untuk pemilihan sambungan yang lebih fleksibel, di mana SPEC — menetapkan peraturan penapisan yang diperlukan, contohnya proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, untuk pemilihan menggunakan protokol TCP dan alamat IP sumber 9Х.107.69. XX daripada port penghantar 59365
  Contoh> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• tunjukkan paket jatuh – akan membolehkan anda melihat statistik pada pakej
• tunjukkan aliran tembok api - Menunjukkan kaunter paket firewall bersama dengan aliran paket.

Kami juga boleh menggunakan alat diagnostik rangkaian asas terus dari penghala EDGE:

• ping ip PERKATAAN
• ping ip saiz WORD SAIZ kiraan COUNT nofrag – ping menunjukkan saiz data yang dihantar dan bilangan semakan, dan juga melarang pemecahan saiz paket yang ditetapkan.
• traceroute ip WORD

Urutan mendiagnosis operasi Firewall pada Edge

1. Kami melancarkan tunjukkan tembok api dan lihat peraturan penapisan tersuai yang dipasang dalam jadual usr_rules
2. Kami melihat rantai POSTROUTIN dan mengawal bilangan paket yang tercicir menggunakan medan DROP. Jika terdapat masalah dengan penghalaan tidak simetri, kami akan merekodkan peningkatan dalam nilai.
   Mari kita lakukan pemeriksaan tambahan:
   • Ping akan berfungsi dalam satu arah dan bukan dalam arah yang bertentangan
   • ping akan berfungsi, tetapi sesi TCP tidak akan ditubuhkan.
3. Kami melihat output maklumat mengenai alamat IP - tunjukkan ipset
4. Dayakan pengelogan pada peraturan firewall dalam perkhidmatan Edge
5. Kami melihat peristiwa dalam log - tunjukkan log ikut
6. Kami menyemak sambungan menggunakan rule_id yang diperlukan - tunjukkan id_peraturan jadual alir
7. Dengan cara tunjukkan statistik aliran Kami membandingkan sambungan Entri Aliran Semasa yang dipasang pada masa ini dengan maksimum yang dibenarkan (Jumlah Kapasiti Aliran) dalam konfigurasi semasa. Konfigurasi dan had yang tersedia boleh dilihat dalam VMware NSX Edge. Jika anda berminat, saya boleh bercakap tentang perkara ini dalam artikel seterusnya.

Apa lagi yang anda boleh baca di blog? Cloud4Y

→ Virus tahan CRISPR membina "tempat perlindungan" untuk melindungi genom daripada enzim penembusan DNA
→ Bagaimana bank itu gagal?
→ Teori Kepingan Salji Hebat
→ Internet pada belon
→ Pentesters di barisan hadapan keselamatan siber

Langgan kami Telegram-saluran supaya anda tidak terlepas artikel seterusnya! Kami menulis tidak lebih daripada dua kali seminggu dan hanya mengenai perniagaan. Kami mengingatkan anda bahawa pemula boleh menerima RUB 1. daripada Cloud000Y. Syarat dan borang permohonan bagi yang berminat boleh didapati di laman web kami: bit.ly/2sj6dPK

Sumber: www.habr.com