Иногда возникают проблемы при настройке виртуального маршрутизатора, когда не работает проброс портов и могут быть проблемы, как в настройке самих правил. Или требуется получить логи работы роутера, проверить работу канала, провести сетевую диагностику. В этой статье будут описаны способы и решения возможных затруднений самим клиентом, без обращения в техническую поддержку.
Прежде всего нам нужно настроить доступ к виртуальному роутеру – EDGE. Для этого входим в его сервисы и переходим на соответствующую вкладку – EDGE Settings. Где включаем SSH Status, задаем пароль, и сохраняем изменения.
Рисунок 1
Если мы используем строгие правила Fierwall-a, когда запрещено все по умолчанию, то добавляем правила, разрешающие подключения к самому роутеру по SSH порту:
Рисунок 2
После подключаемся любым SSH клиентом, например PuTTY, и попадаем в консоль.
Рисунок 3
Где нам становятся доступны команды, перейдем к их описанию. Чтоб посмотреть список всех доступных команд, используем:
list
Приведем список команд полезных в работе .
- show interface - отобразит доступные интерфейсы и установленные IP адреса на них
- show log – покажет логи роутера
- show log follow – поможет смотреть лог в реальном времени с постоянным обновлением. У каждого правила, будь то NAT или Fierwall, есть опция Enable logging, при включении которой события будут фиксироваться в логе, что позволит провести диагностику.
- show flowtable – покажет всю таблицу установленных соединений и их параметры
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1 - show flowtable topN 10 – позволяет отобразить нужное количество строк, в данном примере 10
- show flowtable topN 10 sort-by pkts – поможет отсортировать соединения по количеству пакетов от меньшего к большему
- show flowtable topN 10 sort-by bytes – поможет отсортировать соединения по количеству переданных bytes от меньшего к большему
- show flowtable rule-id ID topN 10 – поможет отобразить соединения по нужному ID правила
- show flowtable flowspec SPEC – для более гибкого отбора соединений, где SPEC - задает нужные правила фильтрации, например proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, для отбора по протоколу TCP и IP адрсеу источника 9Х.107.69.XX с порта отправителя 59365
Пример:
> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
- show packet drops – позволит посмотреть статистику по пакетам
- show firewall flows - показывает счетчики пакетов брандмауэра вместе с потоками пакетов.
Таr же мы можем использовать основные сетевые инструменты диагностики непосредственно с роутера EDGE:
- ping ip WORD
- ping ip WORD size SIZE count COUNT nofrag – пропинговать с указанием размера пересылаемых данных и количества проверок, а также запретить фрагментацию установлееного размера пакета.
- traceroute ip WORD
Последовательность диагностики работы Firewall на Edge
1) Запускаем show firewall и смотрим установленные пользовательские правила фильтрации в таблице usr_rules
2) Смотрим цепочку POSTROUTIN и контролируем количество сброшенных пакетов по полю DROP. При наличии проблемы с асимметричной маршрутизацией , мы будем фиксировать рост значений.
Проведем дополнительным проверки:
- работа ping будет в одном направлении и отсутствие в обратном
- ping будет работать, но сессии TCP не будут устанавливаться.
3) Смотрим вывод информации о IP-адресов - show ipset
4) Включаем логирование на правиле firewall в сервисах Edge
5) Смотрим события по логу - show log follow
6) Проверяем соединения по нужному rule_id - show flowtable rule_id
7) При помощи show flowstats сравниваем текущее установленные соединения Current Flow Entries с максимально допустимыми (Total Flow Capacity) в текущей конфигурации, доступные конфигурации и лимиты смотрите в NSX Edge - характеристики, производительность.
Подробности по захвату трафика на EDGE смотри Часть 2
