Bazı durumlarda sanal yönlendirici kurulumunda sorunlar ortaya çıkabilir. Örneğin, bağlantı noktası yönlendirme (NAT) çalışmıyor ve/veya Güvenlik Duvarı kurallarının kendisinde ayarlanmasında bir sorun var. Veya sadece yönlendiricinin günlüklerini almanız, kanalın çalışmasını kontrol etmeniz ve ağ teşhisi yapmanız yeterlidir. Bulut sağlayıcısı Cloud4Y bunun nasıl yapıldığını açıklıyor.
Sanal bir yönlendiriciyle çalışma
Her şeyden önce, sanal yönlendiriciye (EDGE) erişimi yapılandırmamız gerekiyor. Bunu yapmak için hizmetlerine giriyoruz ve uygun sekmeye – EDGE Ayarlarına gidiyoruz. Orada SSH Durumunu etkinleştiriyoruz, bir şifre belirliyoruz ve değişiklikleri kaydettiğinizden emin oluyoruz.
Her şeyin varsayılan olarak yasak olduğu katı Güvenlik Duvarı kuralları kullanırsak, SSH bağlantı noktası aracılığıyla yönlendiricinin kendisine bağlantılara izin veren kurallar ekleriz:
Daha sonra PuTTY gibi herhangi bir SSH istemcisine bağlanıp konsola ulaşıyoruz.
Konsolda, bir listesi aşağıdakiler kullanılarak görülebilen komutlar bizim için kullanılabilir hale gelir:
liste
Hangi komutlar bizim için yararlı olabilir? İşte en yararlı olanların listesi:
- arayüzü göster — mevcut arayüzleri ve üzerlerinde yüklü olan IP adreslerini görüntüler
- günlüğü göster - yönlendirici günlüklerini gösterecek
- günlüğü göster takip et — sürekli güncellemelerle günlüğü gerçek zamanlı olarak izlemenize yardımcı olacaktır. İster NAT ister Güvenlik Duvarı olsun, her kuralın Günlüğü etkinleştir seçeneği vardır; etkinleştirildiğinde olaylar günlüğe kaydedilir ve bu da teşhise izin verir.
- akış tablosunu göster — kurulan bağlantıların ve parametrelerinin tüm tablosunu gösterecektir
Örnek1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
- akıcı üst kısmı gösterN 10 — gerekli sayıda satırı görüntülemenizi sağlar; bu örnekte 10
- akış tablosunu gösterN 10 sıralama paketi — Bağlantıların paket sayısına göre en küçükten en büyüğe doğru sıralanmasına yardımcı olur
- akış tablosunu göster üstN 10 sıralama baytı — bağlantıları en küçükten en büyüğe aktarılan bayt sayısına göre sıralamaya yardımcı olur
- akıcı kural kimliği kimliğini göster topN 10 — bağlantıların gerekli kural kimliğine göre görüntülenmesine yardımcı olur
- akıcı akış spesifikasyonu SPEC'ini göster — daha esnek bağlantı seçimi için; burada SPEC — TCP protokolünü ve 9Х.107.69 kaynak IP adresini kullanarak seçim için gerekli filtreleme kurallarını ayarlar, örneğin proto=tcp:srcip=59365Х.9.ХХХ:sport=107.69. XX gönderen bağlantı noktası 59365'ten
Örnek> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - paket düşüşlerini göster – paketlere ilişkin istatistikleri görüntülemenize olanak tanır
- güvenlik duvarı akışlarını göster - Paket akışlarıyla birlikte güvenlik duvarı paket sayaçlarını gösterir.
Temel ağ tanılama araçlarını doğrudan EDGE yönlendiriciden de kullanabiliriz:
- ping ip KELİME
- ping ip WORD size SIZE count COUNT nofrag – gönderilen verinin boyutunu ve kontrol sayısını belirten ping, ayrıca ayarlanan paket boyutunun parçalanmasını da engeller.
- Traceroute IP WORD
Edge'de Güvenlik Duvarı işlemini teşhis etme sırası
- koşmak güvenlik duvarını göster ve usr_rules tablosunda kurulu özel filtreleme kurallarına bakın
- POSTROUTIN zincirine bakıyoruz ve DROP alanını kullanarak bırakılan paketlerin sayısını kontrol ediyoruz. Asimetrik yönlendirmede sorun varsa değerlerde artış kaydedeceğiz.
Ek kontroller yapalım:- Ping ters yönde değil, tek yönde çalışacaktır
- ping çalışacak, ancak TCP oturumları kurulmayacaktır.
- IP adresleriyle ilgili bilgilerin çıktısına bakıyoruz - ipset'i göster
- Edge hizmetlerinde güvenlik duvarı kuralında oturum açmayı etkinleştirin
- Günlükteki olaylara bakıyoruz - günlüğü göster takip et
- Gerekli rule_id'yi kullanarak bağlantıları kontrol ediyoruz - akıcı kural_id'sini göster
- Vasıtasıyla akış istatistiklerini göster Mevcut kurulu Akım Akış Girişleri bağlantılarını mevcut konfigürasyonda izin verilen maksimum (Toplam Akış Kapasitesi) ile karşılaştırırız. Mevcut konfigürasyonlar ve sınırlar VMware NSX Edge'de görüntülenebilir. İlgilenirseniz bir sonraki yazımda bu konuya değinebilirim.
Blogda başka neler okuyabilirsiniz?
→
→
→
→
→
Abone olun
Kaynak: habr.com