在某些情况下,设置虚拟路由器时可能会出现问题。 例如,端口转发 (NAT) 不起作用和/或设置防火墙规则本身存在问题。 或者您只需要获取路由器的日志,检查通道的运行情况,并进行网络诊断。 云提供商 Cloud4Y 解释了这是如何完成的。
使用虚拟路由器
首先,我们需要配置对虚拟路由器-EDGE的访问。 为此,我们输入其服务并转到相应的选项卡 – EDGE 设置。 在那里我们启用 SSH 状态,设置密码,并确保保存更改。
如果我们使用严格的防火墙规则,默认情况下一切都被禁止,那么我们添加允许通过 SSH 端口连接到路由器本身的规则:
然后我们连接任何 SSH 客户端(例如 PuTTY)并访问控制台。
在控制台中,我们可以使用命令,可以使用以下命令查看命令列表:
名单
哪些命令对我们有用? 以下是最有用的列表:
- 显示界面 — 将显示可用接口及其上安装的 IP 地址
- 显示日志 - 将显示路由器日志
- 显示日志 关注 — 将帮助您实时查看日志并不断更新。 每个规则,无论是 NAT 还是防火墙,都有一个启用日志记录选项,启用后,事件将记录在日志中,这将允许诊断。
- 显示流表 — 将显示已建立的连接及其参数的整个表
例子1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
- 显示流表 topN 10 — 允许您显示所需的行数,在本例中为 10
- 显示 flowtable topN 10 按 pkts 排序 — 将帮助按数据包数量从小到大对连接进行排序
- 显示流表 topN 10 个排序字节 — 将帮助按传输的字节数从最小到最大对连接进行排序
- 显示流表规则 ID ID topN 10 — 将帮助按所需的规则 ID 显示连接
- 显示流表 flowspec 规格 — 为了更灵活地选择连接,其中 SPEC — 设置必要的过滤规则,例如 proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365,用于使用 TCP 协议和源 IP 地址 9Х.107.69 进行选择。来自发送方端口 59365 的 XX
例子> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - 显示丢包情况 – 将允许您查看包的统计信息
- 显示防火墙流量 - 显示防火墙数据包计数器以及数据包流。
我们还可以直接从 EDGE 路由器使用基本的网络诊断工具:
- ping ip 字
- ping ip WORD size SIZE count COUNT nofrag – ping 指示正在发送的数据大小和检查次数,同时还禁止对设定的数据包大小进行分片。
- 跟踪路由 ip WORD
在 Edge 上诊断防火墙操作的顺序
- 我们启动 显示防火墙 并查看usr_rules表中已安装的自定义过滤规则
- 我们查看 POSTROUTIN 链并使用 DROP 字段控制丢弃数据包的数量。 如果非对称路由出现问题,我们将记录值的增加。
让我们进行额外的检查:- Ping 将在一个方向上起作用,而不是在相反方向上起作用
- ping 将起作用,但 TCP 会话将无法建立。
- 我们查看有关 IP 地址的信息的输出 - 显示IP集
- 在 Edge 服务中启用防火墙规则日志记录
- 我们查看日志中的事件 - 显示日志 关注
- 我们使用所需的rule_id检查连接 - 显示流表rule_id
- 通过 显示流量统计 我们将当前安装的当前流量条目连接与当前配置中允许的最大容量(总流量)进行比较。 可以在 VMware NSX Edge 中查看可用配置和限制。 如果你有兴趣,我可以在下一篇文章中讨论这个问题。
你还能在博客上读到什么?
→
→
→
→
→
订阅我们的
来源: habr.com