ในบางกรณี ปัญหาอาจเกิดขึ้นเมื่อตั้งค่าเราเตอร์เสมือน ตัวอย่างเช่น การส่งต่อพอร์ต (NAT) ไม่ทำงาน และ/หรือมีปัญหาในการตั้งค่ากฎไฟร์วอลล์ด้วยตนเอง หรือคุณเพียงแค่ต้องรับบันทึกของเราเตอร์ ตรวจสอบการทำงานของช่องสัญญาณ และดำเนินการวินิจฉัยเครือข่าย ผู้ให้บริการคลาวด์ Cloud4Y อธิบายวิธีการดำเนินการนี้
การทำงานกับเราเตอร์เสมือน
ก่อนอื่นเราต้องกำหนดค่าการเข้าถึงเราเตอร์เสมือน - EDGE ในการดำเนินการนี้ เราเข้าสู่บริการและไปที่แท็บที่เหมาะสม – การตั้งค่า EDGE ที่นั่นเราเปิดใช้งานสถานะ SSH ตั้งรหัสผ่าน และอย่าลืมบันทึกการเปลี่ยนแปลง
หากเราใช้กฎไฟร์วอลล์ที่เข้มงวด เมื่อทุกอย่างถูกห้ามโดยค่าเริ่มต้น เราจะเพิ่มกฎที่อนุญาตการเชื่อมต่อกับเราเตอร์ผ่านพอร์ต SSH:
จากนั้นเราจะเชื่อมต่อกับไคลเอนต์ SSH เช่น PuTTY และไปที่คอนโซล
ในคอนโซลคำสั่งจะมีให้สำหรับเรารายการต่างๆสามารถดูได้โดยใช้:
รายการ
คำสั่งอะไรที่เป็นประโยชน์กับเรา? นี่คือรายการที่มีประโยชน์ที่สุด:
- แสดงอินเทอร์เฟซ — จะแสดงอินเทอร์เฟซที่มีอยู่และที่อยู่ IP ที่ติดตั้งไว้
- แสดงบันทึก - จะแสดงบันทึกของเราเตอร์
- แสดงบันทึกการติดตาม — จะช่วยให้คุณดูบันทึกแบบเรียลไทม์พร้อมการอัพเดทอย่างต่อเนื่อง แต่ละกฎ ไม่ว่าจะเป็น NAT หรือไฟร์วอลล์ มีตัวเลือกเปิดใช้งานการบันทึก เมื่อเปิดใช้งาน กิจกรรมจะถูกบันทึกลงในบันทึก ซึ่งจะช่วยให้ทำการวินิจฉัยได้
- แสดงตารางการไหล — จะแสดงตารางทั้งหมดของการเชื่อมต่อที่สร้างขึ้นและพารามิเตอร์
ตัวอย่าง1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1 - แสดงตารางการไหล topN 10 — ให้คุณแสดงจำนวนบรรทัดที่ต้องการในตัวอย่างนี้ 10
- แสดง flowtable topN 10 เรียงลำดับตาม pkts — จะช่วยจัดเรียงการเชื่อมต่อตามจำนวนแพ็กเก็ตจากน้อยไปหามาก
- แสดง flowtable topN 10 เรียงตามไบต์ — จะช่วยเรียงลำดับการเชื่อมต่อตามจำนวนไบต์ที่ถ่ายโอนจากน้อยไปหามาก
- แสดง ID กฎ Flowtable topN 10 — จะช่วยแสดงการเชื่อมต่อตามรหัสกฎที่ต้องการ
- แสดง Flowspec Flowspec SPEC — เพื่อการเลือกการเชื่อมต่อที่ยืดหยุ่นมากขึ้น โดยที่ SPEC — ตั้งค่ากฎการกรองที่จำเป็น เช่น proto=tcp:srcip=9X.107.69.AHXH:sport=59365 สำหรับการเลือกโดยใช้โปรโตคอล TCP และที่อยู่ IP ต้นทาง 9X.107.69 XX จากพอร์ตผู้ส่ง 59365
ตัวอย่าง> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - แสดงแพ็คเก็ตลดลง – จะทำให้คุณสามารถดูสถิติเกี่ยวกับแพ็คเกจได้
- แสดงโฟลว์ไฟร์วอลล์ - แสดงตัวนับแพ็คเก็ตไฟร์วอลล์พร้อมกับกระแสแพ็คเก็ต
เรายังใช้เครื่องมือวินิจฉัยเครือข่ายพื้นฐานได้โดยตรงจากเราเตอร์ EDGE:
- ปิง ไอพี เวิร์ด
- ping ip ขนาด WORD SIZE นับ COUNT nofrag – ping ระบุขนาดของข้อมูลที่ถูกส่งและจำนวนการตรวจสอบ และยังห้ามไม่ให้มีการกระจายตัวของขนาดแพ็คเก็ตที่ตั้งไว้
- Traceroute IP คำ
ลำดับของการวินิจฉัยการทำงานของไฟร์วอลล์บน Edge
- ปล่อย แสดงไฟร์วอลล์ และดูกฎการกรองแบบกำหนดเองที่ติดตั้งไว้ในตาราง usr_rules
- เราดูที่ห่วงโซ่ POSTROUTIN และควบคุมจำนวนแพ็กเก็ตที่ดร็อปโดยใช้ฟิลด์ DROP หากมีปัญหากับการกำหนดเส้นทางแบบไม่สมมาตร เราจะบันทึกค่าที่เพิ่มขึ้น
ดำเนินการตรวจสอบเพิ่มเติม:- การปิงจะทำงานไปในทิศทางเดียวไม่ใช่ไปในทิศทางตรงกันข้าม
- ping จะทำงาน แต่เซสชัน TCP จะไม่ถูกสร้างขึ้น
- เราดูผลลัพธ์ของข้อมูลเกี่ยวกับที่อยู่ IP - แสดงไอแพต
- เปิดใช้งานการบันทึกกฎไฟร์วอลล์ในบริการ Edge
- เราดูเหตุการณ์ในบันทึก - แสดงบันทึกการติดตาม
- เราตรวจสอบการเชื่อมต่อโดยใช้ Rule_id ที่จำเป็น - แสดงกฎการไหลแบบ flow_id
- โดย แสดงสถิติการไหล เราเปรียบเทียบการเชื่อมต่อรายการกระแสปัจจุบันที่ติดตั้งไว้กับจำนวนสูงสุดที่อนุญาต (ความจุกระแสรวม) ในการกำหนดค่าปัจจุบัน สามารถดูการกำหนดค่าและขีดจำกัดที่มีอยู่ได้ใน VMware NSX Edge หากคุณสนใจฉันสามารถพูดคุยเกี่ยวกับเรื่องนี้ในบทความถัดไป
คุณสามารถอ่านอะไรได้อีกในบล็อก
→
→
→
→
→
สมัครสมาชิกของเรา -channel เพื่อให้คุณไม่พลาดบทความถัดไป! เราเขียนไม่เกินสัปดาห์ละสองครั้งและเขียนเกี่ยวกับธุรกิจเท่านั้น เราขอเตือนคุณว่าสตาร์ทอัพสามารถรับ RUB 1 จาก Cloud000Y เงื่อนไขและแบบฟอร์มการสมัครสำหรับผู้ที่สนใจสามารถดูได้ที่เว็บไซต์ของเรา:
ที่มา: will.com