Диагностика сетевых соединений на виртуальном роутере EDGE (Часть 1)

Иногда возникают проблемы при настройке виртуального маршрутизатора, когда не работает проброс портов и могут быть проблемы, как в настройке самих правил. Или требуется получить логи работы роутера, проверить работу канала, провести сетевую диагностику. В этой статье будут описаны способы и решения возможных затруднений самим клиентом, без обращения в техническую поддержку.

Прежде всего нам нужно настроить доступ к виртуальному роутеру – EDGE.  Для этого входим в его сервисы и переходим на соответствующую вкладку – EDGE Settings. Где включаем SSH Status, задаем пароль, и сохраняем изменения.  

Рисунок 1

Если мы используем строгие правила Fierwall-a, когда запрещено все по умолчанию, то добавляем правила, разрешающие подключения к самому роутеру по SSH порту:

Рисунок 2

После подключаемся любым SSH клиентом, например  PuTTY, и попадаем в консоль.

Рисунок 3

Где нам становятся доступны команды, перейдем к их описанию. Чтоб посмотреть список всех доступных команд, используем:

list

 Приведем список команд полезных в работе . 

  • show interface - отобразит доступные интерфейсы и установленные IP адреса на них
  • show logпокажет логи роутера
  • show log follow – поможет смотреть лог в реальном времени с постоянным обновлением. У каждого правила, будь то NAT или Fierwall, есть опция Enable logging, при включении которой события будут фиксироваться в логе, что позволит провести диагностику.
  • show flowtable – покажет всю таблицу установленных соединений и их параметры

    1: tcp      6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
  • show flowtable topN 10 – позволяет отобразить нужное количество строк, в данном примере 10
  • show flowtable topN 10 sort-by pkts – поможет отсортировать соединения по количеству пакетов от меньшего к большему
  • show flowtable topN 10 sort-by bytes – поможет отсортировать соединения по количеству переданных bytes от меньшего к большему
  • show flowtable rule-id ID topN 10 – поможет отобразить соединения по нужному ID правила
  • show flowtable flowspec SPEC – для более гибкого отбора соединений, где SPEC - задает нужные правила фильтрации, например proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, для отбора по протоколу TCP и IP адрсеу источника 9Х.107.69.XX с порта отправителя 59365
    Пример:
       > show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365

 1: tcp      6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1

Total flows: 1

  • show packet dropsпозволит посмотреть статистику по пакетам

  • show firewall flows - показывает счетчики пакетов брандмауэра вместе с потоками пакетов. 

Таr же мы можем использовать основные сетевые инструменты диагностики непосредственно с роутера EDGE:

  • ping ip WORD

  • ping ip WORD size SIZE count COUNT nofrag – пропинговать с указанием размера пересылаемых данных и количества проверок, а также запретить фрагментацию установлееного размера пакета. 
  • traceroute ip WORD 

Последовательность диагностики работы Firewall на Edge

1) Запускаем show firewall и смотрим установленные пользовательские правила фильтрации в таблице usr_rules 

2) Смотрим цепочку POSTROUTIN и контролируем количество сброшенных пакетов по полю DROP. При наличии проблемы с асимметричной маршрутизацией , мы будем фиксировать рост значений.

Проведем дополнительным проверки:

  • работа ping будет в одном направлении и отсутствие в обратном
  • ping будет работать, но сессии TCP не будут устанавливаться.

3) Смотрим вывод информации о IP-адресов - show ipset 

4) Включаем логирование на правиле firewall в сервисах Edge      

5) Смотрим события по логу - show log follow 

6) Проверяем соединения по нужному rule_id - show flowtable rule_id 

 7) При помощи show flowstats сравниваем текущее установленные соединения  Current Flow Entries с максимально допустимыми (Total Flow Capacity) в текущей конфигурации, доступные конфигурации и лимиты смотрите  в NSX Edge - характеристики, производительность.   


Подробности по захвату трафика на EDGE смотри  Часть 2

Вы уже работаете с сервисами Cloud4Y?

Перейти на вебсайт

Попробовать бесплатно

  • 46 Пользователи нашли это полезным
Помог ли вам данный ответ?

Связанные статьи

Hairpin NAT на Edge Gateway

Hairpin NAT можно использовать для доступа к узлу за NAT, находясь за этим же NAT. В данной...

Диагностика сетевых соединений на виртуальном роутере EDGE (Часть 2)

В данной статье мы рассмотрим возможность проводить захват сетевых пакетов на EDGE с дальнейшим...

Балансировка нагрузки с помощью advanced edge

Балансировщик нагрузки, встроенный в advanced edge, принимает UDP, TCP, HTTP, HTTPS запросы и...

Сетевая настройка VMware инфраструктуры (NAT, DHCP, Firewall, Static Routing, VPN)

Сетевая настройка VMware инфраструктуры (NAT, DHCP, Firewall, Static Routing, VPN). После того,...

Балансировка нагрузки в Edge по URI

Edge Load Balancer, по сути, является HAProxy и поддерживает различные способы балансировки...