Diagnostyka połączeń sieciowych na wirtualnym routerze EDGE

W niektórych przypadkach mogą pojawić się problemy podczas konfigurowania routera wirtualnego. Na przykład przekierowanie portów (NAT) nie działa i/lub występuje problem z samym ustawieniem reguł zapory sieciowej. Lub po prostu musisz uzyskać logi routera, sprawdzić działanie kanału i przeprowadzić diagnostykę sieci. Dostawca usług w chmurze Cloud4Y wyjaśnia, jak to się robi.

Praca z routerem wirtualnym

Na początek musimy skonfigurować dostęp do routera wirtualnego – EDGE. W tym celu wchodzimy w jej usługi i przechodzimy do odpowiedniej zakładki – Ustawienia EDGE. Tam włączamy Status SSH, ustawiamy hasło i pamiętajmy o zapisaniu zmian.

Jeśli stosujemy rygorystyczne reguły Firewalla, gdy wszystko jest domyślnie zabronione, to dodajemy reguły umożliwiające połączenia z samym routerem przez port SSH:

Następnie łączymy się z dowolnym klientem SSH np. PuTTY i docieramy do konsoli.

W konsoli stają się dla nas dostępne polecenia, których listę można zobaczyć za pomocą:
podstęp

Jakie polecenia mogą nam się przydać? Oto lista najbardziej przydatnych:

• pokaż interfejs — wyświetli dostępne interfejsy i zainstalowane na nich adresy IP
• Pokaż logi - pokaże logi routera
• pokaż dziennik obserwuj — pomoże Ci oglądać log w czasie rzeczywistym i będzie stale aktualizowany. Każda reguła, czy to NAT, czy Firewall, ma opcję Włącz rejestrowanie, po włączeniu zdarzenia będą rejestrowane w dzienniku, co umożliwi diagnostykę.
• pokaż płynność — wyświetli całą tabelę nawiązanych połączeń i ich parametrów
  Przykład1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• pokaż płynny topN 10 — umożliwia wyświetlenie wymaganej liczby linii, w tym przykładzie 10
• pokaż płynne topN 10 punktów sortowania — pomoże posortować połączenia według liczby pakietów od najmniejszego do największego
• pokaż topowe N 10 bajtów sortowania — pomoże posortować połączenia według liczby bajtów przesłanych od najmniejszego do największego
• pokaż identyfikator reguły przepływowej topN 10 — pomoże wyświetlić połączenia według wymaganego identyfikatora reguły
• pokaż specyfikację przepływu SPEC — dla bardziej elastycznego wyboru połączeń, gdzie SPEC — ustawia niezbędne reguły filtrowania, np. proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, dla wyboru przy użyciu protokołu TCP i źródłowego adresu IP 9Х.107.69. XX z portu nadawcy 59365
  Przykład> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• pokaż spadki pakietów – umożliwi Ci przeglądanie statystyk dotyczących pakietów
• pokaż przepływy zapory - Pokazuje liczniki pakietów zapory wraz z przepływami pakietów.

Możemy także skorzystać z podstawowych narzędzi diagnostyki sieci bezpośrednio z routera EDGE:

• ping ip WORD
• ping ip WORD rozmiar ROZMIAR liczba liczba COUNT nofrag – ping wskazujący rozmiar wysyłanych danych i liczbę kontroli, a także zabraniający fragmentacji ustawionego rozmiaru pakietu.
• traceroute ip WORD

Kolejność diagnozowania działania Firewalla na Edge

1. Biegnij pokaż zaporę sieciową i spójrz na zainstalowane niestandardowe reguły filtrowania w tabeli usr_rules
2. Przyglądamy się łańcuchowi POSTROUTIN i kontrolujemy liczbę upuszczonych pakietów za pomocą pola DROP. Jeśli wystąpi problem z routingiem asymetrycznym, odnotujemy wzrost wartości.
   Przeprowadźmy dodatkowe kontrole:
   • Ping będzie działał w jednym kierunku, a nie w przeciwnym
   • polecenie ping będzie działać, ale sesje TCP nie zostaną ustanowione.
3. Przyglądamy się wynikom informacji o adresach IP - pokaż ipset
4. Włącz logowanie w regule zapory sieciowej w usługach Edge
5. Patrzymy na zdarzenia w dzienniku - pokaż dziennik obserwuj
6. Sprawdzamy połączenia za pomocą wymaganego rule_id - pokaż płynny identyfikator reguły
7. Za pomocą pokaż statystyki przepływu Porównujemy aktualnie zainstalowane połączenia Current Flow Entry z maksymalną dozwoloną (Całkowitą przepustowością) w bieżącej konfiguracji. Dostępne konfiguracje i limity można wyświetlić w VMware NSX Edge. Jeśli jesteś zainteresowany, mogę o tym porozmawiać w następnym artykule.

Co jeszcze można przeczytać na blogu? Cloud4Y

→ Wirusy odporne na CRISPR budują „schronienia”, aby chronić genomy przed enzymami penetrującymi DNA
→ Jak upadł bank?
→ Teoria Wielkiego Płatka Śniegu
→ Internet na balonach
→ Pentesterzy na czele cyberbezpieczeństwa

Zapisz się do naszego Telegram-channel, żeby nie przegapić kolejnego artykułu! Piszemy nie częściej niż dwa razy w tygodniu i tylko w sprawach służbowych. Przypominamy, że startupy mogą otrzymać 1 000 000 RUB. z Cloud4Y. Regulamin i formularz zgłoszeniowy dla zainteresowanych można znaleźć na naszej stronie internetowej: bit.ly/2sj6dPK

Źródło: www.habr.com