V niektorých prípadoch môžu nastať problémy pri nastavovaní virtuálneho smerovača. Napríklad nefunguje presmerovanie portov (NAT) a/alebo je problém v nastavení samotných pravidiel brány firewall. Alebo stačí získať protokoly smerovača, skontrolovať fungovanie kanála a vykonať diagnostiku siete. Poskytovateľ cloudu Cloud4Y vysvetľuje, ako sa to robí.
Práca s virtuálnym smerovačom
V prvom rade musíme nakonfigurovať prístup k virtuálnemu smerovaču – EDGE. Za týmto účelom vstúpime do jeho služieb a prejdeme na príslušnú kartu - EDGE Settings. Tam povolíme stav SSH, nastavíme heslo a nezabudnite uložiť zmeny.
Ak použijeme prísne pravidlá brány firewall, keď je všetko predvolene zakázané, pridáme pravidlá, ktoré umožňujú pripojenie k samotnému smerovaču cez port SSH:
Potom sa spojíme s ľubovoľným klientom SSH, napríklad PuTTY, a dostaneme sa do konzoly.
V konzole sú nám k dispozícii príkazy, ktorých zoznam je možné zobraziť pomocou:
zoznam
Aké príkazy môžu byť pre nás užitočné? Tu je zoznam najužitočnejších:
- zobraziť rozhranie — zobrazí dostupné rozhrania a na nich nainštalované IP adresy
- zobraziť denník - zobrazí protokoly smerovača
- zobraziť denník sledovať — pomôže vám sledovať denník v reálnom čase s neustálymi aktualizáciami. Každé pravidlo, či už NAT alebo Firewall, má možnosť Povoliť protokolovanie, po povolení sa udalosti budú zaznamenávať do protokolu, čo umožní diagnostiku.
- zobraziť prietokovú tabuľku — zobrazí celú tabuľku vytvorených spojení a ich parametre
Príklad1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
- zobraziť prietokový topN 10 — umožňuje zobraziť požadovaný počet riadkov, v tomto príklade 10
- zobraziť tok topN 10 triediť podľa pkts — pomôže zoradiť spojenia podľa počtu paketov od najmenšieho po najväčší
- zobraziť flowtable topN 10 triedených bajtov — pomôže zoradiť spojenia podľa počtu prenesených bajtov od najmenšieho po najväčšie
- zobraziť tok pravidla ID topN 10 — pomôže zobraziť pripojenia podľa požadovaného ID pravidla
- zobraziť prietokovú špecifikáciu prietoku SPEC — pre flexibilnejší výber spojení, kde SPEC — nastaví potrebné pravidlá filtrovania, napríklad proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, pre výber pomocou protokolu TCP a zdrojovej IP adresy 9Х.107.69. XX z portu odosielateľa 59365
Príklad> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - zobraziť poklesy paketov – vám umožní zobraziť štatistiky o balíkoch
- zobraziť toky brány firewall - Zobrazuje počítadlá paketov brány firewall spolu s tokmi paketov.
Priamo z EDGE routera môžeme použiť aj základné nástroje na diagnostiku siete:
- ping ip WORD
- ping ip Veľkosť SLOVA VEĽKOSŤ počet POČET nofrag – ping označuje veľkosť odosielaných dát a počet kontrol a zároveň zakazuje fragmentáciu nastavenej veľkosti paketu.
- traceroute IP WORD
Postupnosť diagnostiky prevádzky brány firewall na Edge
- Spustiť zobraziť bránu firewall a pozrite sa na nainštalované vlastné pravidlá filtrovania v tabuľke usr_rules
- Pozeráme sa na reťazec POSTROUTIN a kontrolujeme počet zahodených paketov pomocou poľa DROP. Ak sa vyskytne problém s asymetrickým smerovaním, zaznamenáme nárast hodnôt.
Vykonajte dodatočné kontroly:- Ping bude fungovať jedným smerom a nie opačným smerom
- ping bude fungovať, ale TCP relácie sa nevytvoria.
- Pozeráme sa na výstup informácií o IP adresách - zobraziť ipset
- Povoliť prihlasovanie na pravidlo brány firewall v službách Edge
- Pozeráme sa na udalosti v denníku - zobraziť denník sledovať
- Pripojenia kontrolujeme pomocou požadovaného rule_id - show flowtable rule_id
- Prostredníctvom zobraziť prietokové štatistiky Porovnávame aktuálne nainštalované pripojenia Current Flow Entries s maximálnou povolenou (Total Flow Capacity) v aktuálnej konfigurácii. Dostupné konfigurácie a limity je možné zobraziť vo VMware NSX Edge. Ak máte záujem, môžem o tom hovoriť v ďalšom článku.
Čo si ešte môžete prečítať na blogu?
→
→
→
→
→
Prihláste sa na odber
Zdroj: hab.com