I vissa fall kan problem uppstå när du konfigurerar en virtuell router. Till exempel fungerar inte portvidarebefordran (NAT) och/eller det finns problem med att ställa in själva brandväggsreglerna. Eller så behöver du bara få loggar över routern, kontrollera kanalens funktion och utföra nätverksdiagnostik. Molnleverantören Cloud4Y förklarar hur detta går till.
Arbeta med en virtuell router
Först och främst måste vi konfigurera åtkomst till den virtuella routern – EDGE. För att göra detta går vi in på dess tjänster och går till lämplig flik – EDGE-inställningar. Där aktiverar vi SSH-status, ställer in ett lösenord och ser till att spara ändringarna.
Om vi använder strikta brandväggsregler, när allt är förbjudet som standard, lägger vi till regler som tillåter anslutningar till själva routern via SSH-porten:
Sedan ansluter vi till valfri SSH-klient, till exempel PuTTY, och kommer till konsolen.
I konsolen blir kommandon tillgängliga för oss, en lista över vilka kan ses med:
lista
Vilka kommandon kan vara användbara för oss? Här är en lista över de mest användbara:
- visa gränssnitt — visar tillgängliga gränssnitt och de installerade IP-adresserna på dem
- visa logg - kommer att visa routerloggar
- visa logg följ — hjälper dig att titta på loggen i realtid med ständiga uppdateringar. Varje regel, oavsett om det är NAT eller brandvägg, har ett Aktivera loggningsalternativ, när det är aktiverat kommer händelser att registreras i loggen, vilket tillåter diagnostik.
- visa flödestabell — visar hela tabellen över etablerade anslutningar och deras parametrar
Exempel1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
- visa flödestabell toppN 10 — låter dig visa det antal rader som krävs, i detta exempel 10
- visa flödestabell toppN 10 sortera efter pkts — hjälper till att sortera anslutningar efter antal paket från minsta till största
- visa flödestabell överstN 10 sorteringsbyte — hjälper till att sortera anslutningar efter antalet byte som överförs från minsta till största
- visa flödestabell regel-id topN 10 — hjälper till att visa anslutningar med det obligatoriska regel-ID:t
- visa flödestabell flödesspec SPEC — för mer flexibelt urval av anslutningar, där SPEC — ställer in de nödvändiga filtreringsreglerna, till exempel proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, för val med TCP-protokollet och käll-IP-adressen 9Х.107.69. XX från avsändarporten 59365
Exempel> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - visa paketdroppar – låter dig se statistik om paket
- visa brandväggsflöden - Visar brandväggspaketräknare tillsammans med paketflöden.
Vi kan också använda grundläggande nätverksdiagnostikverktyg direkt från EDGE-routern:
- pinga ip WORD
- ping ip ORD storlek STORLEK count COUNT nofrag – ping anger storleken på data som skickas och antalet kontroller, och förbjuder även fragmentering av den inställda paketstorleken.
- traceroute ip WORD
Sekvens för diagnos av brandväggsdrift på Edge
- Vi lanserar visa brandvägg och titta på de installerade anpassade filtreringsreglerna i tabellen usr_rules
- Vi tittar på POSTROUTIN-kedjan och kontrollerar antalet tappade paket med hjälp av DROP-fältet. Om det finns ett problem med asymmetrisk routing kommer vi att registrera en ökning av värden.
Låt oss utföra ytterligare kontroller:- Ping kommer att fungera i en riktning och inte i motsatt riktning
- ping kommer att fungera, men TCP-sessioner kommer inte att etableras.
- Vi tittar på utdata av information om IP-adresser - visa ipset
- Aktivera inloggning på brandväggsregeln i Edge-tjänster
- Vi tittar på händelserna i loggen - visa logg följ
- Vi kontrollerar anslutningar med det obligatoriska regel-id - visa flödestabell regel-id
- Genom visa flödesstatistik Vi jämför de för närvarande installerade Current Flow Entries-anslutningarna med den maximalt tillåtna (Total Flow Capacity) i den aktuella konfigurationen. Tillgängliga konfigurationer och gränser kan ses i VMware NSX Edge. Om du är intresserad kan jag prata om detta i nästa artikel.
Vad mer kan du läsa på bloggen?
→
→
→
→
→
Prenumerera på vår
Källa: will.com