W niektórych przypadkach mogą pojawić się problemy podczas konfigurowania routera wirtualnego. Na przykład przekierowanie portów (NAT) nie działa i/lub występuje problem z samym ustawieniem reguł zapory sieciowej. Lub po prostu musisz uzyskać logi routera, sprawdzić działanie kanału i przeprowadzić diagnostykę sieci. Dostawca usług w chmurze Cloud4Y wyjaśnia, jak to się robi.
Praca z routerem wirtualnym
Na początek musimy skonfigurować dostęp do routera wirtualnego – EDGE. W tym celu wchodzimy w jej usługi i przechodzimy do odpowiedniej zakładki – Ustawienia EDGE. Tam włączamy Status SSH, ustawiamy hasło i pamiętajmy o zapisaniu zmian.
Jeśli stosujemy rygorystyczne reguły Firewalla, gdy wszystko jest domyślnie zabronione, to dodajemy reguły umożliwiające połączenia z samym routerem przez port SSH:
Następnie łączymy się z dowolnym klientem SSH np. PuTTY i docieramy do konsoli.
W konsoli stają się dla nas dostępne polecenia, których listę można zobaczyć za pomocą:
podstęp
Jakie polecenia mogą nam się przydać? Oto lista najbardziej przydatnych:
- pokaż interfejs — wyświetli dostępne interfejsy i zainstalowane na nich adresy IP
- Pokaż logi - pokaże logi routera
- pokaż dziennik obserwuj — pomoże Ci oglądać log w czasie rzeczywistym i będzie stale aktualizowany. Każda reguła, czy to NAT, czy Firewall, ma opcję Włącz rejestrowanie, po włączeniu zdarzenia będą rejestrowane w dzienniku, co umożliwi diagnostykę.
- pokaż płynność — wyświetli całą tabelę nawiązanych połączeń i ich parametrów
Przykład1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
- pokaż płynny topN 10 — umożliwia wyświetlenie wymaganej liczby linii, w tym przykładzie 10
- pokaż płynne topN 10 punktów sortowania — pomoże posortować połączenia według liczby pakietów od najmniejszego do największego
- pokaż topowe N 10 bajtów sortowania — pomoże posortować połączenia według liczby bajtów przesłanych od najmniejszego do największego
- pokaż identyfikator reguły przepływowej topN 10 — pomoże wyświetlić połączenia według wymaganego identyfikatora reguły
- pokaż specyfikację przepływu SPEC — dla bardziej elastycznego wyboru połączeń, gdzie SPEC — ustawia niezbędne reguły filtrowania, np. proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, dla wyboru przy użyciu protokołu TCP i źródłowego adresu IP 9Х.107.69. XX z portu nadawcy 59365
Przykład> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - pokaż spadki pakietów – umożliwi Ci przeglądanie statystyk dotyczących pakietów
- pokaż przepływy zapory - Pokazuje liczniki pakietów zapory wraz z przepływami pakietów.
Możemy także skorzystać z podstawowych narzędzi diagnostyki sieci bezpośrednio z routera EDGE:
- ping ip WORD
- ping ip WORD rozmiar ROZMIAR liczba liczba COUNT nofrag – ping wskazujący rozmiar wysyłanych danych i liczbę kontroli, a także zabraniający fragmentacji ustawionego rozmiaru pakietu.
- traceroute ip WORD
Kolejność diagnozowania działania Firewalla na Edge
- Biegnij pokaż zaporę sieciową i spójrz na zainstalowane niestandardowe reguły filtrowania w tabeli usr_rules
- Przyglądamy się łańcuchowi POSTROUTIN i kontrolujemy liczbę upuszczonych pakietów za pomocą pola DROP. Jeśli wystąpi problem z routingiem asymetrycznym, odnotujemy wzrost wartości.
Przeprowadźmy dodatkowe kontrole:- Ping będzie działał w jednym kierunku, a nie w przeciwnym
- polecenie ping będzie działać, ale sesje TCP nie zostaną ustanowione.
- Przyglądamy się wynikom informacji o adresach IP - pokaż ipset
- Włącz logowanie w regule zapory sieciowej w usługach Edge
- Patrzymy na zdarzenia w dzienniku - pokaż dziennik obserwuj
- Sprawdzamy połączenia za pomocą wymaganego rule_id - pokaż płynny identyfikator reguły
- Za pomocą pokaż statystyki przepływu Porównujemy aktualnie zainstalowane połączenia Current Flow Entry z maksymalną dozwoloną (Całkowitą przepustowością) w bieżącej konfiguracji. Dostępne konfiguracje i limity można wyświetlić w VMware NSX Edge. Jeśli jesteś zainteresowany, mogę o tym porozmawiać w następnym artykule.
Co jeszcze można przeczytać na blogu?
→
→
→
→
→
Zapisz się do naszego
Źródło: www.habr.com