Em alguns casos, podem surgir problemas ao configurar um roteador virtual. Por exemplo, o encaminhamento de porta (NAT) não funciona e/ou há um problema na configuração das próprias regras do Firewall. Ou você só precisa obter logs do roteador, verificar o funcionamento do canal e realizar diagnósticos de rede. O provedor de nuvem Cloud4Y explica como isso é feito.
Trabalhando com um roteador virtual
Primeiramente precisamos configurar o acesso ao roteador virtual – EDGE. Para fazer isso, entramos em seus serviços e vamos para a aba apropriada – Configurações EDGE. Lá habilitamos o status SSH, definimos uma senha e salvamos as alterações.
Se usarmos regras rígidas de Firewall, quando tudo é proibido por padrão, então adicionamos regras que permitem conexões ao próprio roteador através da porta SSH:
Em seguida, nos conectamos com qualquer cliente SSH, por exemplo PuTTY, e acessamos o console.
No console, ficam disponíveis para nós comandos, cuja lista pode ser vista usando:
Lista
Quais comandos podem ser úteis para nós? Aqui está uma lista dos mais úteis:
- mostrar interface — exibirá as interfaces disponíveis e os endereços IP instalados nelas
- mostrar log - mostrará logs do roteador
- mostrar log seguir — irá ajudá-lo a assistir o log em tempo real com atualizações constantes. Cada regra, seja ela NAT ou Firewall, possui a opção Habilitar log, quando habilitada, os eventos serão registrados no log, o que permitirá o diagnóstico.
- mostrar tabela de fluxo — mostrará toda a tabela de conexões estabelecidas e seus parâmetros
Exemplo1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
- mostrar o topo da mesa de fluxoN 10 — permite exibir o número necessário de linhas, neste exemplo 10
- mostrar flowtable topN 10 pacotes classificados por — ajudará a classificar as conexões por número de pacotes, do menor para o maior
- mostrar flowtable topN 10 bytes classificados — ajudará a classificar as conexões pelo número de bytes transferidos do menor para o maior
- mostrar ID de regra da tabela de fluxo topN 10 — ajudará a exibir conexões pelo ID de regra necessário
- mostrar tabela de fluxo flowspec SPEC — para uma seleção mais flexível de conexões, onde SPEC — define as regras de filtragem necessárias, por exemplo proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, para seleção usando o protocolo TCP e o endereço IP de origem 9Х.107.69. XX da porta remetente 59365
Exemplo> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - mostrar quedas de pacotes – permitirá que você visualize estatísticas sobre pacotes
- mostrar fluxos de firewall - Mostra contadores de pacotes de firewall junto com fluxos de pacotes.
Também podemos usar ferramentas básicas de diagnóstico de rede diretamente do roteador EDGE:
- ping ip PALAVRA
- ping ip WORD size SIZE count COUNT nofrag – ping indicando o tamanho dos dados que estão sendo enviados e o número de verificações, além de proibir a fragmentação do tamanho do pacote definido.
- traceroute ip PALAVRA
Sequência de diagnóstico da operação do Firewall no Edge
- Lançamos mostrar firewall e observe as regras de filtragem personalizadas instaladas na tabela usr_rules
- Observamos a cadeia POSTROUTIN e controlamos o número de pacotes descartados usando o campo DROP. Caso haja algum problema com roteamento assimétrico, registraremos aumento nos valores.
Vamos realizar verificações adicionais:- O ping funcionará em uma direção e não na direção oposta
- O ping funcionará, mas as sessões TCP não serão estabelecidas.
- Observamos a saída de informações sobre endereços IP - mostrar ipset
- Habilitar o log na regra de firewall nos serviços Edge
- Observamos os eventos no log - mostrar log seguir
- Verificamos as conexões usando o Rule_id necessário - mostrar regra de fluxo_id
- Por meio de mostrar estatísticas de fluxo Comparamos as conexões de entradas de fluxo atuais instaladas com o máximo permitido (capacidade total de fluxo) na configuração atual. As configurações e limites disponíveis podem ser visualizados no VMware NSX Edge. Se você estiver interessado, posso falar sobre isso no próximo artigo.
O que mais você pode ler no blog?
→
→
→
→
→
Assine o nosso
Fonte: habr.com