Diagnostifikimi i lidhjeve të rrjetit në ruterin virtual EDGE

Në disa raste, mund të shfaqen probleme kur konfiguroni një ruter virtual. Për shembull, përcjellja e portit (NAT) nuk funksionon dhe/ose ka një problem në konfigurimin e vetë rregullave të Firewall-it. Ose thjesht duhet të merrni regjistrat e ruterit, të kontrolloni funksionimin e kanalit dhe të kryeni diagnostikimin e rrjetit. Ofruesi i resë kompjuterike Cloud4Y shpjegon se si bëhet kjo.

Puna me një ruter virtual

Para së gjithash, ne duhet të konfigurojmë qasjen në ruterin virtual - EDGE. Për ta bërë këtë, ne futemi në shërbimet e tij dhe shkojmë në skedën e duhur - Cilësimet e EDGE. Aty aktivizojmë Statusin SSH, vendosim një fjalëkalim dhe sigurohuni që të ruani ndryshimet.

Nëse përdorim rregulla strikte të Firewall, kur gjithçka është e ndaluar si parazgjedhje, atëherë shtojmë rregulla që lejojnë lidhjet me vetë ruterin përmes portit SSH:

Pastaj lidhemi me çdo klient SSH, për shembull PuTTY, dhe shkojmë në tastierë.

Në tastierë, komandat bëhen të disponueshme për ne, një listë e të cilave mund të shihet duke përdorur:
listë

Cilat komanda mund të jenë të dobishme për ne? Këtu është një listë e më të dobishmeve:

• shfaq ndërfaqen — do të shfaqë ndërfaqet e disponueshme dhe adresat IP të instaluara në to
• shfaq log - do të tregojë regjistrat e ruterit
• trego log ndjekin — do t'ju ndihmojë të shikoni regjistrin në kohë reale me përditësime të vazhdueshme. Çdo rregull, qoftë NAT ose Firewall, ka një opsion Aktivizo regjistrimin, kur aktivizohet, ngjarjet do të regjistrohen në regjistër, gjë që do të lejojë diagnostikimin.
• tregojnë tabelën e rrjedhës — do të tregojë të gjithë tabelën e lidhjeve të vendosura dhe parametrat e tyre
  Shembull1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• tregoni tabelën e rrjedhës N 10 — ju lejon të shfaqni numrin e kërkuar të rreshtave, në këtë shembull 10
• tregoni tabelën e rrjedhës në kryeN 10 renditje sipas pkts — do të ndihmojë në renditjen e lidhjeve sipas numrit të paketave nga më e vogla tek më e madhja
• tregoni topin e tabelës së rrjedhës N 10 bajt të renditjes — do të ndihmojë në renditjen e lidhjeve sipas numrit të bajteve të transferuara nga më i vogli tek më i madhi
• tregoni ID-në e identifikimit të rregullave të tabelës rrjedhëse N 10 — do të ndihmojë në shfaqjen e lidhjeve sipas ID-së së rregullit të kërkuar
• tregoni Specifikimin e rrjedhës së tabelës së rrjedhës SPEC — për zgjedhje më fleksibël të lidhjeve, ku SPEC — vendos rregullat e nevojshme të filtrimit, për shembull proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, për përzgjedhje duke përdorur protokollin TCP dhe adresën IP të burimit 9Х.107.69. XX nga porta e dërguesit 59365
  Shembull> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• tregoni pikat e paketave – do t'ju lejojë të shikoni statistikat e paketave
• tregojnë rrjedhat e murit të zjarrit - Tregon numëruesit e paketave të murit të zjarrit së bashku me flukset e paketave.

Ne gjithashtu mund të përdorim mjetet themelore të diagnostikimit të rrjetit direkt nga ruteri EDGE:

• ping ip WORD
• ping ip Madhësia e fjalës SIZE numërimi COUNT nofrag – ping që tregon madhësinë e të dhënave që dërgohen dhe numrin e kontrolleve, si dhe ndalon fragmentimin e madhësisë së caktuar të paketës.
• traceroute ip FJALË

Sekuenca e diagnostikimit të funksionimit të Firewall-it në Edge

1. Nisja shfaq murin e zjarrit dhe shikoni rregullat e instaluara të filtrimit me porosi në tabelën usr_rules
2. Ne shikojmë zinxhirin POSTROUTIN dhe kontrollojmë numrin e paketave të hedhura duke përdorur fushën DROP. Nëse ka një problem me drejtimin asimetrik, ne do të regjistrojmë një rritje të vlerave.
   Le të bëjmë kontrolle shtesë:
   • Ping do të funksionojë në një drejtim dhe jo në drejtim të kundërt
   • ping do të funksionojë, por seancat TCP nuk do të vendosen.
3. Ne shikojmë daljen e informacionit në lidhje me adresat IP - tregojnë ipset
4. Aktivizo regjistrimin në rregullin e murit të zjarrit në shërbimet Edge
5. Ne shikojmë ngjarjet në regjistër - trego log ndjekin
6. Ne kontrollojmë lidhjet duke përdorur rregulloren_id të kërkuar - tregoni rule_id të tabelës së rrjedhës
7. Me anë të tregojnë statistikat e rrjedhës Ne krahasojmë lidhjet e instaluara aktualisht të hyrjeve të rrjedhës aktuale me maksimumin e lejuar (Kapaciteti total i rrjedhës) në konfigurimin aktual. Konfigurimet dhe kufijtë e disponueshëm mund të shihen në VMware NSX Edge. Nëse jeni të interesuar, mund të flas për këtë në artikullin tjetër.

Çfarë tjetër mund të lexoni në blog? Cloud4Y

→ Viruset rezistente ndaj CRISPR ndërtojnë "strehime" për të mbrojtur gjenomet nga enzimat që depërtojnë në ADN
→ Si dështoi banka?
→ Teoria e Flokës së Madhe të borës
→ Interneti në balona
→ Pentesterët në ballë të sigurisë kibernetike

Regjistrohu në tonë Telegram-kanal që të mos humbisni artikullin tjetër! Ne shkruajmë jo më shumë se dy herë në javë dhe vetëm për punë. Ju kujtojmë se startup-et mund të marrin 1 RUB. nga Cloud000Y. Kushtet dhe formulari i aplikimit për të interesuarit mund të gjenden në faqen tonë të internetit: bit.ly/2sj6dPK

Burimi: www.habr.com