În unele cazuri, pot apărea probleme la configurarea unui router virtual. De exemplu, port forwarding (NAT) nu funcționează și/sau există o problemă în configurarea regulilor Firewall în sine. Sau trebuie doar să obțineți jurnalele routerului, să verificați funcționarea canalului și să efectuați diagnosticarea rețelei. Furnizorul de cloud Cloud4Y explică cum se face acest lucru.
Lucrul cu un router virtual
În primul rând, trebuie să configuram accesul la routerul virtual – EDGE. Pentru a face acest lucru, intrăm în serviciile sale și mergem la fila corespunzătoare - Setări EDGE. Acolo activăm SSH Status, setăm o parolă și ne asigurăm că salvăm modificările.
Dacă folosim reguli stricte de firewall, când totul este interzis implicit, atunci adăugăm reguli care permit conexiunile la router în sine prin portul SSH:
Apoi ne conectăm cu orice client SSH, de exemplu PuTTY, și ajungem la consolă.
În consolă, comenzile devin disponibile pentru noi, a căror listă poate fi văzută folosind:
listă
Ce comenzi ne pot fi utile? Iată o listă cu cele mai utile:
- arata interfata — va afișa interfețele disponibile și adresele IP instalate pe acestea
- arată jurnal - va afișa jurnalele routerului
- arată jurnalul de urmărire — vă va ajuta să urmăriți jurnalul în timp real, cu actualizări constante. Fiecare regulă, fie că este NAT sau Firewall, are o opțiune Enable logging, atunci când este activată, evenimentele vor fi înregistrate în jurnal, ceea ce va permite diagnosticarea.
- arată fluxul — va afișa întregul tabel al conexiunilor stabilite și parametrii acestora
Exemplu1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
- arată topul cu curgere N 10 — vă permite să afișați numărul necesar de linii, în acest exemplu 10
- arată flowtable topN 10 sortare după bucăți — va ajuta la sortarea conexiunilor după numărul de pachete de la cel mai mic la cel mai mare
- arată flowtable topN 10 sortați după octeți — va ajuta la sortarea conexiunilor după numărul de octeți transferați de la cel mai mic la cel mai mare
- afișează codul codului de regulă al fluxului topN 10 — va ajuta la afișarea conexiunilor după ID-ul de regulă necesar
- arată flowtable flowspec SPEC — pentru o selecție mai flexibilă a conexiunilor, unde SPEC — stabilește regulile de filtrare necesare, de exemplu proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, pentru selecție folosind protocolul TCP și adresa IP sursă 9Х.107.69. XX din portul expeditor 59365
Exemplu> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - arată picăturile de pachete – vă va permite să vizualizați statistici despre pachete
- arată fluxurile de firewall - Afișează contoarele de pachete firewall împreună cu fluxurile de pachete.
De asemenea, putem folosi instrumente de bază de diagnosticare a rețelei direct de la routerul EDGE:
- ping ip WORD
- ping ip WORD size SIZE count COUNT nofrag – ping care indică dimensiunea datelor trimise și numărul de verificări și, de asemenea, interzice fragmentarea dimensiunii setate a pachetului.
- traceroute ip WORD
Secvența de diagnosticare a funcționării firewall-ului pe Edge
- Lansa arată firewall și uitați-vă la regulile de filtrare personalizate instalate în tabelul usr_rules
- Ne uităm la lanțul POSTROUTIN și controlăm numărul de pachete aruncate folosind câmpul DROP. Dacă există o problemă cu rutarea asimetrică, vom înregistra o creștere a valorilor.
Să efectuăm verificări suplimentare:- Ping va funcționa într-o direcție și nu în direcția opusă
- ping va funcționa, dar sesiunile TCP nu vor fi stabilite.
- Ne uităm la ieșirea informațiilor despre adresele IP - arata ipset
- Activați înregistrarea pe regula firewall în serviciile Edge
- Ne uităm la evenimentele din jurnal - arată jurnalul de urmărire
- Verificăm conexiunile folosind rule_id-ul necesar - afișează flowtable rule_id
- Cu ajutorul arătați statistici de flux Comparăm conexiunile Current Flow Entries instalate în prezent cu maximul permis (Total Flow Capacity) în configurația curentă. Configurațiile și limitele disponibile pot fi vizualizate în VMware NSX Edge. Dacă ești interesat, pot vorbi despre asta în următorul articol.
Ce mai poți citi pe blog?
→
→
→
→
→
Abonați-vă la
Sursa: www.habr.com