Sa ilang mga kaso, maaaring lumitaw ang mga problema kapag nagse-set up ng isang virtual na router. Halimbawa, hindi gumagana ang port forwarding (NAT) at/o may problema sa pagse-set up mismo ng mga panuntunan ng Firewall. O kailangan mo lang kumuha ng mga log ng router, suriin ang pagpapatakbo ng channel, at magsagawa ng mga diagnostic sa network. Ipinapaliwanag ng Cloud provider na Cloud4Y kung paano ito ginagawa.
Nagtatrabaho sa isang virtual na router
Una sa lahat, kailangan nating i-configure ang pag-access sa virtual router - EDGE. Upang gawin ito, ipinasok namin ang mga serbisyo nito at pumunta sa naaangkop na tab - Mga Setting ng EDGE. Doon namin pinagana ang SSH Status, nagtakda ng password, at siguraduhing i-save ang mga pagbabago.
Kung gumagamit kami ng mahigpit na mga panuntunan sa Firewall, kapag ang lahat ay ipinagbabawal bilang default, pagkatapos ay nagdaragdag kami ng mga panuntunan na nagpapahintulot sa mga koneksyon sa mismong router sa pamamagitan ng SSH port:
Pagkatapos ay kumonekta kami sa anumang SSH client, halimbawa PuTTY, at pumunta sa console.
Sa console, ang mga utos ay magiging available sa amin, isang listahan kung saan makikita gamit ang:
listahan
Anong mga utos ang maaaring maging kapaki-pakinabang sa atin? Narito ang isang listahan ng mga pinaka-kapaki-pakinabang:
- ipakita ang interface β ay ipapakita ang mga magagamit na interface at ang mga naka-install na IP address sa kanila
- ipakita ang log - magpapakita ng mga log ng router
- ipakita ang log follow β ay tutulong sa iyo na panoorin ang log in real time na may patuloy na pag-update. Ang bawat panuntunan, maging NAT o Firewall, ay may opsyon na Paganahin ang pag-log, kapag pinagana, ire-record ang mga kaganapan sa log, na magbibigay-daan sa mga diagnostic.
- ipakita ang flowtable β ay magpapakita ng buong talahanayan ng mga naitatag na koneksyon at ang kanilang mga parameter
Halimbawa1: tcp 6 21599 ESTABLISHED src=9Π₯.107.69.Π₯Π₯Π₯ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.Π₯Π₯Π₯ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
- ipakita ang flowtable tuktokN 10 β nagpapahintulot sa iyo na ipakita ang kinakailangang bilang ng mga linya, sa halimbawang ito 10
- ipakita ang flowtable topN 10 sort-by pkts β ay makakatulong sa pag-uuri ng mga koneksyon ayon sa bilang ng mga packet mula sa pinakamaliit hanggang sa pinakamalaki
- ipakita ang flowtable topN 10 sort-byte β ay makakatulong sa pag-uuri ng mga koneksyon ayon sa bilang ng mga byte na inilipat mula sa pinakamaliit hanggang sa pinakamalaki
- ipakita ang flowtable rule-id ID sa itaasN 10 β ay makakatulong sa pagpapakita ng mga koneksyon ayon sa kinakailangang rule ID
- ipakita ang flowtable flowspec SPEC β para sa mas nababaluktot na pagpili ng mga koneksyon, kung saan ang SPEC β ay nagtatakda ng kinakailangang mga panuntunan sa pag-filter, halimbawa proto=tcp:srcip=9Π₯.107.69.Π₯Π₯Π₯:sport=59365, para sa pagpili gamit ang TCP protocol at ang source IP address 9Π₯.107.69. XX mula sa sender port 59365
Halimbawa> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Π₯.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - ipakita ang packet drops - ay magbibigay-daan sa iyo upang tingnan ang mga istatistika sa mga pakete
- ipakita ang mga daloy ng firewall - Nagpapakita ng mga counter ng packet ng firewall kasama ng mga daloy ng packet.
Maaari rin kaming gumamit ng mga pangunahing tool sa diagnostic ng network nang direkta mula sa EDGE router:
- ping ip WORD
- ping ip WORD size SIZE count COUNT nofrag β ping na nagpapahiwatig ng laki ng data na ipinapadala at ang bilang ng mga tseke, at ipinagbabawal din ang fragmentation ng set na laki ng packet.
- traceroute ip WORD
Pagkakasunud-sunod ng pag-diagnose ng pagpapatakbo ng Firewall sa Edge
- Ilunsad ipakita ang firewall at tingnan ang naka-install na custom na mga panuntunan sa pag-filter sa usr_rules table
- Tinitingnan namin ang POSTROUTIN chain at kinokontrol ang bilang ng mga nahulog na packet gamit ang DROP field. Kung may problema sa asymmetric na pagruruta, magtatala kami ng pagtaas sa mga halaga.
Magsagawa tayo ng mga karagdagang pagsusuri:- Gagana ang ping sa isang direksyon at hindi sa kabilang direksyon
- gagana ang ping, ngunit ang mga sesyon ng TCP ay hindi maitatag.
- Tinitingnan namin ang output ng impormasyon tungkol sa mga IP address - ipakita ang ipset
- Paganahin ang pag-log sa panuntunan ng firewall sa mga serbisyo ng Edge
- Tinitingnan namin ang mga kaganapan sa talaan - ipakita ang log follow
- Sinusuri namin ang mga koneksyon gamit ang kinakailangang rule_id - ipakita ang flowtable rule_id
- Sa pamamagitan ng ipakita ang mga flowstat Inihahambing namin ang kasalukuyang naka-install na mga Kasalukuyang Entri ng Daloy na koneksyon sa maximum na pinapayagan (Kabuuang Kapasidad ng Daloy) sa kasalukuyang configuration. Maaaring matingnan ang mga available na configuration at limitasyon sa VMware NSX Edge. Kung interesado ka, maaari kong pag-usapan ito sa susunod na artikulo.
Ano pa ang mababasa mo sa blog?
β
β
β
β
β
Mag-subscribe sa aming
Pinagmulan: www.habr.com