EDGE virtual routerida tarmoq ulanishlarining diagnostikasi

Ba'zi hollarda virtual routerni sozlashda muammolar paydo bo'lishi mumkin. Misol uchun, portni yo'naltirish (NAT) ishlamaydi va/yoki xavfsizlik devori qoidalarini o'rnatishda muammo bor. Yoki siz shunchaki yo'riqnoma jurnallarini olishingiz, kanalning ishlashini tekshirishingiz va tarmoq diagnostikasini o'tkazishingiz kerak. Bulutli provayder Cloud4Y bu qanday amalga oshirilishini tushuntiradi.

Virtual router bilan ishlash

Avvalo, biz virtual router - EDGE-ga kirishni sozlashimiz kerak. Buning uchun biz uning xizmatlariga kiramiz va tegishli yorlig'iga o'tamiz - EDGE sozlamalari. U erda biz SSH Status-ni yoqamiz, parol o'rnatamiz va o'zgarishlarni saqlashni unutmang.

Agar biz qat'iy xavfsizlik devori qoidalaridan foydalansak, hamma narsa sukut bo'yicha taqiqlangan bo'lsa, biz SSH porti orqali yo'riqnoma o'ziga ulanishga ruxsat beruvchi qoidalarni qo'shamiz:

Keyin har qanday SSH mijozi, masalan, PuTTY bilan bog'lanamiz va konsolga o'tamiz.

Konsolda buyruqlar biz uchun mavjud bo'lib, ularning ro'yxatini quyidagi yordamida ko'rish mumkin:
ro'yxat

Qanday buyruqlar biz uchun foydali bo'lishi mumkin? Mana eng foydalilar ro'yxati:

• interfeysni ko'rsatish — mavjud interfeyslarni va ulardagi o'rnatilgan IP manzillarni ko'rsatadi
• jurnalni ko'rsatish - router jurnallarini ko'rsatadi
• jurnalni kuzatishni ko'rsatish — doimiy yangilanishlar bilan real vaqtda jurnalni ko'rishga yordam beradi. Har bir qoida, xoh u NAT, xoh Xavfsizlik devori, jurnalga yozishni yoqish opsiyasiga ega, agar yoqilgan bo'lsa, hodisalar diagnostika qilish imkonini beruvchi jurnalga yozib olinadi.
• oqim jadvalini ko'rsatish — o'rnatilgan ulanishlarning butun jadvali va ularning parametrlarini ko'rsatadi
  misol1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• Yuqori oqim jadvalini ko'rsatishN 10 — kerakli qatorlar sonini ko'rsatishga imkon beradi, bu misolda 10
• oqim jadvalini ko'rsatish topN 10 saralash pkts — ulanishlarni paketlar soni boʻyicha eng kichikdan kattaga saralashga yordam beradi
• Yuqori oqim jadvalini ko'rsatishN 10 saralash bayt — ulanishlarni eng kichikdan kattaga uzatiladigan baytlar soni bo'yicha saralashga yordam beradi
• oqim jadvali qoida identifikatori identifikatori topN 10 ni ko'rsatish — kerakli qoida identifikatori bo'yicha ulanishlarni ko'rsatishga yordam beradi
• SPEC oqim jadvalini ko'rsatish — ulanishlarni yanada moslashuvchan tanlash uchun, bunda SPEC — kerakli filtrlash qoidalarini o'rnatadi, masalan, proto=tcp:srcip=9X.107.69.XXX:sport=59365, TCP protokoli va manba IP manzili 9X.107.69 yordamida tanlash uchun. XX jo'natuvchi portidan 59365
  misol> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• paket tomchilarini ko'rsatish - paketlar bo'yicha statistikani ko'rish imkonini beradi
• xavfsizlik devori oqimlarini ko'rsatish - Paket oqimlari bilan birga xavfsizlik devori paket hisoblagichlarini ko'rsatadi.

Shuningdek, biz to'g'ridan-to'g'ri EDGE routeridan asosiy tarmoq diagnostikasi vositalaridan foydalanishimiz mumkin:

• ping ip WORD
• ping ip WORD size SIZE count COUNT nofrag - ping yuborilayotgan ma'lumotlar hajmini va tekshiruvlar sonini ko'rsatadi, shuningdek, belgilangan paket hajmining parchalanishini taqiqlaydi.
• traceroute ip WORD

Edge-da xavfsizlik devori ishini diagnostika qilish ketma-ketligi

1. Ishga tushirish xavfsizlik devorini ko'rsatish va usr_rules jadvalidagi o'rnatilgan maxsus filtrlash qoidalariga qarang
2. Biz POSTROUTIN zanjirini ko'rib chiqamiz va DROP maydonidan foydalanib tashlangan paketlar sonini nazorat qilamiz. Agar assimetrik marshrutlashda muammo bo'lsa, biz qiymatlarning o'sishini qayd etamiz.
   Keling, qo'shimcha tekshiruvlarni o'tkazaylik:
   • Ping teskari yo'nalishda emas, balki bir yo'nalishda ishlaydi
   • ping ishlaydi, lekin TCP seanslari o'rnatilmaydi.
3. Biz IP manzillari haqidagi ma'lumotlarning chiqishini ko'rib chiqamiz - ipsetni ko'rsatish
4. Edge xizmatlarida xavfsizlik devori qoidasiga kirishni yoqing
5. Biz jurnaldagi voqealarga qaraymiz - jurnalni kuzatishni ko'rsatish
6. Biz ulanishlarni kerakli rule_id yordamida tekshiramiz - oqim jadvali rule_id ni ko'rsatish
7. Yordamida oqim statistikasini ko'rsatish Biz hozirda o'rnatilgan joriy oqim yozuvlarini joriy konfiguratsiyadagi maksimal ruxsat etilgan (Total Flow Capacity) bilan solishtiramiz. Mavjud konfiguratsiyalar va cheklovlarni VMware NSX Edge da ko'rish mumkin. Agar siz qiziqsangiz, men bu haqda keyingi maqolada gapirishim mumkin.

Blogda yana nimani o'qishingiz mumkin? Cloud4Y

→ CRISPR ga chidamli viruslar genomlarni DNKga o'tuvchi fermentlardan himoya qilish uchun "boshpana" yaratadi.
→ Qanday qilib bank muvaffaqiyatsizlikka uchradi?
→ Buyuk qor parchalari nazariyasi
→ Balonlar ustida Internet
→ Pentesters kiberxavfsizlikda birinchi o'rinda turadi

Bizning kanalimizga obuna bo'ling TelegramKeyingi maqolani o'tkazib yubormaslik uchun kanal! Biz haftasiga ikki martadan ko'p bo'lmagan va faqat ish haqida yozamiz. Eslatib o'tamiz, startaplar 1 000 000 rubl olishlari mumkin. Cloud4Y dan. Qiziqqanlar uchun shartlar va ariza shaklini bizning veb-saytimizda topishingiz mumkin: bit.ly/2sj6dPK

Manba: www.habr.com