Диагностика сетевых соединений на виртуальном роутере EDGE (Часть 1)

Иногда возникают проблемы при настройке виртуального маршрутизатора, когда не работает проброс портов и могут быть проблемы, как в настройке самих правил. Или требуется получить логи работы роутера, проверить работу канала, провести сетевую диагностику. В этой статье будут описаны способы и решения возможных затруднений самим клиентом, без обращения в техническую поддержку.

Прежде всего нам нужно настроить доступ к виртуальному роутеру – EDGE.  Для этого входим в его сервисы и переходим на соответствующую вкладку – EDGE Settings. Где включаем SSH Status, задаем пароль, и сохраняем изменения.  

Рисунок 1

Если мы используем строгие правила Fierwall-a, когда запрещено все по умолчанию, то добавляем правила, разрешающие подключения к самому роутеру по SSH порту:

Рисунок 2

После подключаемся любым SSH клиентом, например  PuTTY, и попадаем в консоль.

Рисунок 3

Где нам становятся доступны команды, перейдем к их описанию. Чтоб посмотреть список всех доступных команд, используем:

list

 Приведем список команд полезных в работе . 

  • show interface - отобразит доступные интерфейсы и установленные IP адреса на них
  • show logпокажет логи роутера
  • show log follow – поможет смотреть лог в реальном времени с постоянным обновлением. У каждого правила, будь то NAT или Fierwall, есть опция Enable logging, при включении которой события будут фиксироваться в логе, что позволит провести диагностику.
  • show flowtable – покажет всю таблицу установленных соединений и их параметры

    1: tcp      6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
  • show flowtable topN 10 – позволяет отобразить нужное количество строк, в данном примере 10
  • show flowtable topN 10 sort-by pkts – поможет отсортировать соединения по количеству пакетов от меньшего к большему
  • show flowtable topN 10 sort-by bytes – поможет отсортировать соединения по количеству переданных bytes от меньшего к большему
  • show flowtable rule-id ID topN 10 – поможет отобразить соединения по нужному ID правила
  • show flowtable flowspec SPEC – для более гибкого отбора соединений, где SPEC - задает нужные правила фильтрации, например proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, для отбора по протоколу TCP и IP адрсеу источника 9Х.107.69.XX с порта отправителя 59365
    Пример:
       > show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365

 1: tcp      6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1

Total flows: 1

  • show packet dropsпозволит посмотреть статистику по пакетам

  • show firewall flows - показывает счетчики пакетов брандмауэра вместе с потоками пакетов. 

Таr же мы можем использовать основные сетевые инструменты диагностики непосредственно с роутера EDGE:

  • ping ip WORD

  • ping ip WORD size SIZE count COUNT nofrag – пропинговать с указанием размера пересылаемых данных и количества проверок, а также запретить фрагментацию установлееного размера пакета. 
  • traceroute ip WORD 

Последовательность диагностики работы Firewall на Edge

1) Запускаем show firewall и смотрим установленные пользовательские правила фильтрации в таблице usr_rules 

2) Смотрим цепочку POSTROUTIN и контролируем количество сброшенных пакетов по полю DROP. При наличии проблемы с асимметричной маршрутизацией , мы будем фиксировать рост значений.

Проведем дополнительным проверки:

  • работа ping будет в одном направлении и отсутствие в обратном
  • ping будет работать, но сессии TCP не будут устанавливаться.

3) Смотрим вывод информации о IP-адресов - show ipset 

4) Включаем логирование на правиле firewall в сервисах Edge      

5) Смотрим события по логу - show log follow 

6) Проверяем соединения по нужному rule_id - show flowtable rule_id 

 7) При помощи show flowstats сравниваем текущее установленные соединения  Current Flow Entries с максимально допустимыми (Total Flow Capacity) в текущей конфигурации, доступные конфигурации и лимиты смотрите  в NSX Edge - характеристики, производительность.   


Подробности по захвату трафика на EDGE смотри  Часть 2

Ещё не пробовали услугу "Облачный хостинг" от Cloud4Y?

Отправьте заявку сейчас и получите 14-ти дневный бесплатный доступ.

  • 45 Пользователи нашли это полезным
Помог ли вам данный ответ?

Связанные статьи

NSX Edge - характеристики, производительность

  VMware NSX Edge – это решение, обеспечивающее для виртуального дата-центра функции...

Hairpin NAT на Edge Gateway

Hairpin NAT можно использовать для доступа к узлу за NAT, находясь за этим же NAT. В данной...

Диагностика сетевых соединений на виртуальном роутере EDGE (Часть 2)

В данной статье мы рассмотрим возможность проводить захват сетевых пакетов на EDGE с дальнейшим...

Балансировка нагрузки с помощью advanced edge

Балансировщик нагрузки, встроенный в advanced edge, принимает UDP, TCP, HTTP, HTTPS запросы и...

Как предоставить доступ к сервисам виртуальной машины из Интернет?

Предоставление доступа к сервисам виртуальной машины производится через трансляцию внешнего...

Powered by WHMCompleteSolution