Diagnostika omrežnih povezav na virtualnem usmerjevalniku EDGE

V nekaterih primerih lahko pride do težav pri nastavitvi virtualnega usmerjevalnika. Na primer, posredovanje vrat (NAT) ne deluje in/ali obstaja težava pri nastavitvi samih pravil požarnega zidu. Ali pa morate samo pridobiti dnevnike usmerjevalnika, preveriti delovanje kanala in opraviti diagnostiko omrežja. Ponudnik oblaka Cloud4Y pojasnjuje, kako se to naredi.

Delo z virtualnim usmerjevalnikom

Najprej moramo konfigurirati dostop do virtualnega usmerjevalnika – EDGE. Če želite to narediti, vstopimo v njegove storitve in odpremo ustrezen zavihek – Nastavitve EDGE. Tam omogočimo status SSH, nastavimo geslo in obvezno shranimo spremembe.

Če uporabljamo stroga pravila požarnega zidu, ko je privzeto vse prepovedano, potem dodamo pravila, ki dovoljujejo povezave do samega usmerjevalnika preko SSH vrat:

Nato se povežemo s katerimkoli odjemalcem SSH, na primer PuTTY, in pridemo do konzole.

V konzoli so nam na voljo ukazi, katerih seznam si lahko ogledate z:
Seznam

Kateri ukazi nam lahko koristijo? Tukaj je seznam najbolj uporabnih:

• pokaži vmesnik — prikaže razpoložljive vmesnike in na njih nameščene naslove IP
• pokaži dnevnik - prikaže dnevnike usmerjevalnika
• pokaži dnevnik sledi — vam bo pomagal spremljati dnevnik v realnem času s stalnimi posodobitvami. Vsako pravilo, naj bo to NAT ali požarni zid, ima možnost Omogoči beleženje, ko je omogočeno, se bodo dogodki beležili v dnevnik, kar bo omogočilo diagnostiko.
• pokaži tabelo pretoka — prikaže celotno tabelo vzpostavljenih povezav in njihovih parametrov
  Primer1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• pokaži tabelo pretoka na vrhuN 10 — omogoča prikaz zahtevanega števila vrstic, v tem primeru 10
• pokaži pretočno tabelo topN 10 razvrsti po pak — pomaga razvrstiti povezave po številu paketov od najmanjšega do največjega
• pokaži top tabelo N 10 razvrsti po bajtih — pomaga razvrstiti povezave po številu bajtov, prenesenih od najmanjšega do največjega
• pokaži ID pravila tabele pretoka topN 10 — bo pomagal prikazati povezave z zahtevanim ID-jem pravila
• pokaži specifikacijo pretoka tabele pretoka SPEC — za bolj prilagodljiv izbor povezav, kjer SPEC — nastavi potrebna pravila filtriranja, na primer proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, za izbiro z uporabo protokola TCP in izvornega naslova IP 9Х.107.69. XX iz vrat pošiljatelja 59365
  Primer> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• pokaži padce paketov – omogoča ogled statistike paketov
• pokaži tokove požarnega zidu - Prikazuje števce paketov požarnega zidu skupaj s pretoki paketov.

Prav tako lahko uporabimo osnovna orodja za diagnostiko omrežja neposredno iz usmerjevalnika EDGE:

• ping ip WORD
• ping ip WORD velikost SIZE count COUNT nofrag – ping, ki označuje velikost poslanih podatkov in število preverjanj ter prepoveduje fragmentacijo nastavljene velikosti paketa.
• traceroute ip WORD

Zaporedje diagnosticiranja delovanja požarnega zidu na Edge

1. Kosilo pokaži požarni zid in si oglejte nameščena pravila filtriranja po meri v tabeli usr_rules
2. Ogledamo si verigo POSTROUTIN in s poljem DROP nadzorujemo število izpuščenih paketov. Če pride do težave z asimetričnim usmerjanjem, bomo zabeležili povečanje vrednosti.
   Opravimo dodatne preglede:
   • Ping bo deloval v eno smer in ne v nasprotno smer
   • ping bo deloval, vendar seje TCP ne bodo vzpostavljene.
3. Pogledamo izpis informacij o naslovih IP - pokaži ipset
4. Omogoči prijavo v pravilo požarnega zidu v storitvah Edge
5. Ogledamo si dogodke v dnevniku - pokaži dnevnik sledi
6. Povezave preverjamo z zahtevanim pravilom_id - pokaži pravilo_id tabele poteka
7. S pokaži statistiko toka Primerjamo trenutno nameščene povezave Current Flow Entries z največjo dovoljeno zmogljivostjo (Total Flow Capacity) v trenutni konfiguraciji. Razpoložljive konfiguracije in omejitve si lahko ogledate v VMware NSX Edge. Če vas zanima, lahko o tem spregovorim v naslednjem članku.

Kaj še lahko preberete na blogu? Cloud4Y

→ Virusi, odporni na CRISPR, gradijo "zavetja" za zaščito genomov pred encimi, ki prodirajo v DNA
→ Kako je propadla banka?
→ Teorija velike snežinke
→ Internet na balonih
→ Pentesterji v ospredju kibernetske varnosti

Naročite se na našo Telegram-kanal, da ne zamudite naslednjega članka! Pišemo največ dvakrat na teden in samo poslovno. Spomnimo vas, da lahko startupi prejmejo 1 rubljev. od Cloud000Y. Pogoje in prijavnico za zainteresirane najdete na naši spletni strani: bit.ly/2sj6dPK

Vir: www.habr.com