Diagnostiek van netwerkverbindingen op de EDGE virtuele router

In sommige gevallen kunnen er problemen optreden bij het opzetten van een virtuele router. Port forwarding (NAT) werkt bijvoorbeeld niet en/of er is een probleem met het zelf instellen van de Firewall-regels. Of u hoeft alleen maar logboeken van de router op te halen, de werking van het kanaal te controleren en netwerkdiagnostiek uit te voeren. Cloudprovider Cloud4Y legt uit hoe dit gebeurt.

Werken met een virtuele router

Allereerst moeten we de toegang tot de virtuele router – EDGE, configureren. Om dit te doen, voeren we de services in en gaan naar het juiste tabblad – EDGE-instellingen. Daar schakelen we SSH-status in, stellen een wachtwoord in en zorgen ervoor dat we de wijzigingen opslaan.

Als we strikte Firewall-regels gebruiken, terwijl alles standaard verboden is, dan voegen we regels toe die verbindingen met de router zelf via de SSH-poort mogelijk maken:

Vervolgens maken we verbinding met elke SSH-client, bijvoorbeeld PuTTY, en gaan naar de console.

In de console komen opdrachten voor ons beschikbaar, waarvan een lijst kan worden bekeken met behulp van:
lijst

Welke commando's kunnen nuttig voor ons zijn? Hier is een lijst met de meest bruikbare:

• toon interface — toont de beschikbare interfaces en de daarop geïnstalleerde IP-adressen
• toon log - toont routerlogboeken
• Toon log volgen - helpt u het logboek in realtime te bekijken met constante updates. Elke regel, of het nu NAT of Firewall is, heeft de optie Logboekregistratie inschakelen. Als deze is ingeschakeld, worden gebeurtenissen in het logboek vastgelegd, waardoor diagnostiek mogelijk is.
• laat stroomtabel zien — toont de volledige tabel met tot stand gebrachte verbindingen en hun parameters
  Voorbeeld1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• toon stroomtabel topN 10 — hiermee kunt u het vereiste aantal regels weergeven, in dit voorbeeld 10
• toon stroomtabel topN 10 sorteer op pkts — helpt bij het sorteren van verbindingen op aantal pakketten, van klein naar groot
• toon stroomtabel topN 10 sorteer bytes — helpt bij het sorteren van verbindingen op basis van het aantal overgedragen bytes, van klein naar groot
• toon stroomtabelregel-id-ID topN 10 — helpt bij het weergeven van verbindingen op basis van de vereiste regel-ID
• toon stroomtabel flowspecificatie SPEC — voor een flexibelere selectie van verbindingen, waarbij SPEC — de noodzakelijke filterregels instelt, bijvoorbeeld proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, voor selectie met behulp van het TCP-protocol en het bron-IP-adres 9Х.107.69. XX vanaf de afzenderpoort 59365
  Voorbeeld> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• laat pakketdruppels zien – Hiermee kunt u statistieken over pakketten bekijken
• firewallstromen weergeven - Toont firewallpakkettellers samen met pakketstromen.

We kunnen ook eenvoudige netwerkdiagnosetools rechtstreeks vanaf de EDGE-router gebruiken:

• ping ip WORD
• ping ip WORD size SIZE count COUNT nofrag – ping geeft de grootte aan van de gegevens die worden verzonden en het aantal controles, en verbiedt ook fragmentatie van de ingestelde pakketgrootte.
• traceroute ip WORD

Volgorde van diagnose van Firewall-werking op Edge

1. Lancering firewall tonen en bekijk de geïnstalleerde gebruikersfilterregels in de usr_rules tabel
2. We kijken naar de POSTROUTIN-keten en controleren het aantal gedropte pakketten met behulp van het DROP-veld. Als er een probleem is met asymmetrische routering, zullen we een stijging van de waarden registreren.
   Laten we aanvullende controles uitvoeren:
   • Ping werkt in de ene richting en niet in de tegenovergestelde richting
   • ping zal werken, maar TCP-sessies zullen niet tot stand worden gebracht.
3. We kijken naar de output van informatie over IP-adressen - toon ipset
4. Schakel inloggen op de firewallregel in Edge-services in
5. We kijken naar de gebeurtenissen in het logboek - Toon log volgen
6. We controleren verbindingen met behulp van de vereiste rule_id - toon stroomtabel rule_id
7. Door middel van laat stroomstatistieken zien We vergelijken de momenteel geïnstalleerde Current Flow Entry-verbindingen met de maximaal toegestane (Total Flow Capacity) in de huidige configuratie. Beschikbare configuraties en limieten kunnen worden bekeken in VMware NSX Edge. Als je geïnteresseerd bent, kan ik hierover in het volgende artikel praten.

Wat lees je nog meer op de blog? Cloud4Y

→ CRISPR-resistente virussen bouwen ‘schuilplaatsen’ om genomen te beschermen tegen DNA-penetrerende enzymen
→ Hoe is de bank failliet gegaan?
→ De grote sneeuwvloktheorie
→ Internet over ballonnen
→ Pentesters die voorop lopen op het gebied van cyberbeveiliging

Abonneer u op onze Telegram-channel zodat je het volgende artikel niet mist! We schrijven niet vaker dan twee keer per week en alleen voor zaken. We herinneren u eraan dat startups RUB 1 kunnen ontvangen. van Cloud000Y. Voorwaarden en aanmeldingsformulier voor geïnteresseerden vindt u op onze website: bit.ly/2sj6dPK

Bron: www.habr.com