在某些情況下,設定虛擬路由器時可能會出現問題。 例如,連接埠轉送 (NAT) 不起作用和/或設定防火牆規則本身有問題。 或者您只需要取得路由器的日誌,檢查通道的運作情況,並進行網路診斷。 雲端提供者 Cloud4Y 解釋了這是如何完成的。
使用虛擬路由器
首先,我們需要設定對虛擬路由器-EDGE的存取。 為此,我們輸入其服務並轉到相應的選項卡 – EDGE 設定。 在那裡我們啟用 SSH 狀態,設定密碼,並確保儲存變更。
如果我們使用嚴格的防火牆規則,預設情況下一切都被禁止,那麼我們新增允許透過 SSH 連接埠連接到路由器本身的規則:
然後我們連接任何 SSH 用戶端(例如 PuTTY)並存取控制台。
在控制台中,我們可以使用命令,可以使用以下命令查看命令列表:
表
哪些指令對我們有用? 以下是最有用的清單:
- 顯示界面 — 將顯示可用介面及其上安裝的 IP 位址
- 顯示日誌 - 將顯示路由器日誌
- 顯示日誌 關注 — 將幫助您即時查看日誌並不斷更新。 每個規則,無論是 NAT 還是防火牆,都有一個啟用日誌記錄選項,啟用後,事件將記錄在日誌中,這將允許診斷。
- 顯示流程表 — 將顯示已建立的連線及其參數的整個表
例子1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
- 顯示流程表 topN 10 — 允許您顯示所需的行數,在本例中為 10
- 顯示 flowtable topN 10 按 pkts 排序 — 將協助按資料包數量從小到大對連線進行排序
- 顯示流程表 topN 10 個排序位元組 — 將幫助按傳輸的位元組數從最小到最大對連接進行排序
- 顯示流程表規則 ID ID topN 10 — 將協助依所需的規則 ID 顯示連接
- 顯示流程表 flowspec 規格 — 為了更靈活地選擇連接,其中 SPEC — 設定必要的過濾規則,例如 proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365,用於使用 TCP 協定和來源 IP 位址 9Х.107.69 進行選擇。來自發送方端口59365 的XX
例子> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - 顯示丟包情況 – 將允許您查看包的統計信息
- 顯示防火牆流量 - 顯示防火牆封包計數器以及封包流。
我們也可以直接從 EDGE 路由器使用基本的網路診斷工具:
- ping ip 字
- ping ip WORD size SIZE count COUNT nofrag – ping 指示正在傳送的資料大小和檢查次數,同時也禁止對設定的資料包大小進行分片。
- 追蹤路由 ip WORD
在 Edge 上診斷防火牆操作的順序
- 發射 顯示防火牆 並查看usr_rules表中已安裝的自訂過濾規則
- 我們查看 POSTROUTIN 鏈並使用 DROP 欄位控制丟棄資料包的數量。 如果非對稱路由出現問題,我們將記錄值的增加。
讓我們進行額外的檢查:- Ping 將在一個方向上起作用,而不是在相反方向上起作用
- ping 將會起作用,但 TCP 會話將無法建立。
- 我們查看 IP 位址的資訊的輸出 - 顯示IP集
- 在 Edge 服務中啟用防火牆規則日誌記錄
- 我們查看日誌中的事件 - 顯示日誌 關注
- 我們使用所需的rule_id檢查連接 - 顯示流表rule_id
- 通過 顯示流量統計 我們將目前安裝的目前流量條目連接與目前配置中允許的最大容量(總流量)進行比較。 可在 VMware NSX Edge 中查看可用設定和限制。 如果你有興趣,我可以在下一篇文章中討論這個問題。
您還可以在博客上閱讀什麼?
→
→
→
→
→
訂閱我們的
來源: www.habr.com