装置状態確認方法¶
| 動作確認バージョン: | vSRX Version22.4R1 |
|---|
ここでは、ファイアウォール(vSRX) についての状態確認コマンドを紹介します。
バージョンの確認¶
- show version コマンド
ファイアウォール(vSRX) のバージョンを確認するために利用します。
user01@vSRX-02> show version
Hostname: vSRX-02
Model: vSRX
Junos: 22.4R1.10
(省略)
user01@vSRX-02>
コントロールプレーンのCPU・メモリ使用量の確認¶
- show chassis routing-engine コマンド
ファイアウォール(vSRX) のコントロールプレーンが使用しているCPU・メモリ状態を確認するために利用します。
user01@vSRX-02> show chassis routing-engine
Routing Engine status:
Total memory 4042 MB Max 2344 MB used ( 58 percent)
Control plane memory 1738 MB Max 817 MB used ( 47 percent)
Data plane memory 2304 MB Max 1544 MB used ( 67 percent)
5 sec CPU utilization:
User 2 percent
Background 0 percent
Kernel 4 percent
Interrupt 0 percent
Idle 94 percent
(省略)
データプレーンのCPU・メモリ使用量の確認¶
- show security monitoring fpc 0 コマンド
ファイアウォール(vSRX) のデータプレーンが使用しているCPU・メモリ状態を確認するために利用します。
user01@vSRX-02> show security monitoring fpc 0
FPC 0
PIC 0
CPU utilization : 0 %
Memory utilization : 67 %
Current flow session : 0
Current flow session IPv4: 0
Current flow session IPv6: 0
Max flow session : 524288
Total Session Creation Per Second (for last 96 seconds on average): 0
IPv4 Session Creation Per Second (for last 96 seconds on average): 0
IPv6 Session Creation Per Second (for last 96 seconds on average): 0
インターフェイスの状態確認¶
- show interfaces terse コマンド
ファイアウォール(vSRX) のインターフェイスの状態と設定されているIPアドレスを確認するために利用します。
user01@vSRX-02> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 192.168.1.102/24
gr-0/0/0 up up
ip-0/0/0 up up
lsq-0/0/0 up up
lt-0/0/0 up up
mt-0/0/0 up up
sp-0/0/0 up up
sp-0/0/0.0 up up inet
inet6
sp-0/0/0.16383 up up inet
ge-0/0/1 up up
ge-0/0/1.0 up up inet 192.168.2.102/24
ge-0/0/2 up up
ge-0/0/2.0 up up inet 192.168.3.102/24
ge-0/0/3 up up
ge-0/0/3.0 up up inet 192.168.4.102/24
dsc up up
em0 up up
em0.0 up up inet 128.0.0.1/2
em1 up up
em1.32768 up up inet 192.168.1.2/24
em2 up up
fxp0 up up
fxp0.0 up up inet 10.0.0.102/24
(省略)
ARP状態確認¶
- show arp コマンド
ARPテーブルを表示する際に利用します。
user01@vSRX-02> show arp
MAC Address Address Name Interface Flags
fa:16:xx:xx:xx:01 10.0.0.254 10.0.0.254 fxp0.0 none
fe:00:xx:xx:xx:04 128.0.0.16 128.0.0.16 em0.0 none
aa:bb:xx:xx:xx:ff 192.168.1.1 192.168.1.1 em1.32768 none
fa:16:xx:xx:xx:a9 192.168.1.11 192.168.1.11 ge-0/0/0.0 none
fa:16:xx:xx:xx:c8 192.168.1.101 192.168.1.101 ge-0/0/0.0 none
00:00:xx:xx:xx:00 192.168.2.2 192.168.2.2 ge-0/0/1.0 none
fa:16:xx:xx:xx:d1 192.168.2.12 192.168.2.12 ge-0/0/1.0 none
fa:16:xx:xx:xx:9b 192.168.2.14 192.168.2.14 ge-0/0/1.0 none
fa:16:xx:xx:xx:de 192.168.2.15 192.168.2.15 ge-0/0/1.0 none
00:00:xx:xx:xx:00 192.168.3.2 192.168.3.2 ge-0/0/2.0 none
fa:16:xx:xx:xx:e0 192.168.3.13 192.168.3.13 ge-0/0/2.0 none
fa:16:xx:xx:xx:41 192.168.3.103 192.168.3.103 ge-0/0/2.0 none
fa:16:xx:xx:xx:66 192.168.4.104 192.168.4.104 ge-0/0/3.0 none
Total entries: 13
注釈
上記表示結果は一部マスク処理をしております。
VRRP状態確認¶
- show vrrp コマンド
VRRP状態のサマリが確認可能です。2台の装置のMASTER/BACKUP状態を確認するために利用します。
VRRP MASTER側
user01@vSRX-02> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/0.0 up 1 master Active A 0.725 lcl 192.168.1.102
vip 192.168.1.100
VRRP BACKUP側
user01@vSRX-01> show vrrp
Interface State Group VR state VR Mode Timer Type Address
ge-0/0/0.0 up 1 backup Active D 3.111 lcl 192.168.1.101
vip 192.168.1.100
mas 192.168.1.102
- show vrrp detail コマンド
VRRP状態についての詳細が確認可能です。設定したVRRPグループに対する仮想IPアドレスやタイマー値の設定を確認するために利用します。
VRRP( MASTER )側
user01@vSRX-02> show vrrp detail
Physical interface: ge-0/0/0, Unit: 0, Address: 192.168.1.102/24
Index: 68, SNMP ifIndex: 518, VRRP-Traps: enabled, VRRP-Version: 2
Interface state: up, Group: 1, State: master, VRRP Mode: Active
Priority: 100, Advertisement interval: 5, Authentication type: none
Advertisement threshold: 3, Computed send rate: 0
Preempt: yes, Accept-data mode: yes, VIP count: 1, VIP: 192.168.1.100
Advertisement Timer: 0.170s, Master router: 192.168.1.102
Virtual router uptime: 04:22:52, Master router uptime: 00:03:24
Virtual Mac: 00:00:5e:00:01:01
Tracking: disabled
user01@vSRX-02>
VRRP( BACKUP )側
user01@vSRX-01> show vrrp detail
Physical interface: ge-0/0/0, Unit: 0, Address: 192.168.1.101/24
Index: 68, SNMP ifIndex: 519, VRRP-Traps: disabled, VRRP-Version: 2
Interface state: up, Group: 1, State: backup, VRRP Mode: Active
Priority: 100, Advertisement interval: 5, Authentication type: none
Advertisement threshold: 3, Computed send rate: 0
Preempt: yes, Accept-data mode: yes, VIP count: 1, VIP: 192.168.1.100
Dead timer: 3.512s, Master priority: 100, Master router: 192.168.1.102
Virtual router uptime: 04:21:35
Tracking: disabled
user01@vSRX-01>
ルーティング状態確認¶
- show route コマンド
ファイアウォール(vSRX) が保持している経路情報を確認・表示させるために利用します。
プロトコルの名前を選択すると該当のプロトコル経路だけを表示させることができます。
user01@vSRX-02> show route
inet.0: 11 destinations, 11 routes (11 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.0.0.0/24 *[Direct/0] 1w3d 20:56:45
> via fxp0.0
10.0.0.102/32 *[Local/0] 1w3d 20:56:45
Local via fxp0.0
192.168.1.0/24 *[Direct/0] 1w3d 20:56:42
> via ge-0/0/0.0
192.168.1.102/32 *[Local/0] 1w3d 20:56:43
Local via ge-0/0/0.0
192.168.2.0/24 *[Direct/0] 1w3d 20:56:42
> via ge-0/0/1.0
192.168.2.102/32 *[Local/0] 1w3d 20:56:43
Local via ge-0/0/1.0
192.168.3.0/24 *[Direct/0] 1w3d 20:56:42
> via ge-0/0/2.0
192.168.3.102/32 *[Local/0] 1w3d 20:56:43
Local via ge-0/0/2.0
192.168.4.0/24 *[Direct/0] 1w3d 20:56:42
> via ge-0/0/3.0
192.168.4.102/32 *[Local/0] 1w3d 20:56:43
Local via ge-0/0/3.0
224.0.0.5/32 *[OSPF/10] 1w3d 20:56:47, metric 1
MultiRecv
NAT状態確認¶
- show security flow session コマンド
NATのアドレス変換を確認する際に利用します。(セッションテーブル)
user01@vSRX-02> show security flow session
Session ID: 601, Policy name: POL1/6, Timeout: 1800, Valid
In: 192.168.3.203/57016 --> 192.168.3.102/22;tcp, Conn Tag: 0x0, If: ge-0/0/2.0, Pkts: 2456, Bytes: 130807,
Out: 192.168.1.201/22 --> 192.168.1.102/27746;tcp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 2436, Bytes: 369511,
Session ID: 602, Policy name: POL1/6, Timeout: 1800, Valid
In: 192.168.3.203/37124 --> 192.168.3.102/2222;tcp, Conn Tag: 0x0, If: ge-0/0/2.0, Pkts: 2389, Bytes: 127899,
Out: 192.168.2.202/22 --> 192.168.2.102/26438;tcp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 2366, Bytes: 358139,
Total sessions: 2
user01@vSRX-02>
- show security nat source rule all コマンド
送信元NATを利用しているときに、 NATルールと変換が行われた回数を確認するために利用します。
user01@vSRX-02> show security nat source rule all
Total rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 1/0
source NAT rule: SNAT_RULE1 Rule-set: SNAT_RULE
Rule-Id : 1
Rule position : 1
From zone : untrust
To zone : trust
Match
Source addresses : 192.168.3.0 - 192.168.3.255
Action : interface
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 5
Successful sessions : 5
Failed sessions : 0
Number of sessions : 2
user01@vSRX-02>
- show security nat destination rule all コマンド
宛先NATを利用しているときに、 NATルールと変換が行われた回数を確認するために利用します。
user01@vSRX-02> show security nat destination rule all
Total destination-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Destination NAT rule: DNAT_RULE1 Rule-set: DNAT_RULE
Rule-Id : 1
Rule position : 1
From zone : untrust
Destination addresses : 192.168.3.102 - 192.168.3.102
Destination port : 22 - 22
Action : POOL1
Translation hits : 6
Successful sessions : 3
Failed sessions : 3
Number of sessions : 1
Destination NAT rule: DNAT_RULE2 Rule-set: DNAT_RULE
Rule-Id : 2
Rule position : 2
From zone : untrust
Destination addresses : 192.168.3.102 - 192.168.3.102
Destination port : 2222 - 2222
Action : POOL2
Translation hits : 5
Successful sessions : 5
Failed sessions : 0
Number of sessions : 1
user01@vSRX-02>
VPN(IPSECトンネル)状態確認¶
- show security ike security-associations コマンド
IKEを利用しているときに、トンネルの確立状態を確認するために利用します。
user01@vSRX-01> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address
137031 UP 4994f91cc5a7afd7 5e2c4c8cf061daa5 IKEv2 192.168.3.103
user01@vSRX-01>
- show security ipsec security-associations コマンド
IPsecを利用しているときに、トンネルの確立状態を確認するために利用します。
user01@vSRX-01> show security ipsec security-associations
Total active tunnels: 1
ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway
<131073 ESP:aes-gcm-256/None 8e61521c 1799/ unlim - root 500 192.168.3.103
>131073 ESP:aes-gcm-256/None fa047078 1799/ unlim - root 500 192.168.3.103
user01@vSRX-01>
ゾーンベースファイアウォール状態確認¶
- show security policies コマンド
ゾーンに設定しているファイアウォールのpolicyを確認するために利用します。
user01@vSRX-01> show security policies
Default policy: deny-all
From zone: trust, To zone: trust
Policy: default-permit, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: trust, To zone: untrust
Policy: default-permit, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: untrust, To zone: trust
Policy: IPSEC-PERMIT, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1
Source addresses: REMOTE_LAN
Destination addresses: LOCAL_LAN
Applications: any
Action: permit
Policy: ALL_DENY, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 2
Source addresses: any
Destination addresses: any
Applications: any
Action: deny
Syslogメッセージ確認¶
- show log messages コマンド
ファイアウォール(vSRX) に保存されているSyslogメッセージを確認するために利用します。
user01@vSRX> show log messages
Mar 17 19:30:00 vSRX newsyslog[3974]: logfile turned over due to size>1024K
Mar 17 19:30:32 vSRX jade[4042]: (pam_sm_authenticate): DEBUG: PAM_USER: provider-ctrl
Mar 17 19:30:32 vSRX jade[4042]: (pam_sm_authenticate): DEBUG: Updating lock-attempts of user: provider-ctrl attempts: 1
Mar 17 19:30:32 vSRX jade[4042]: (pam_sm_acct_mgmt): DEBUG: PAM_USER: provider-ctrl
Mar 17 19:30:32 vSRX jade[4042]: JADE_AUTH_SUCCESS: Authentication succeded for user 'provider-ctrl'
Mar 17 19:31:33 vSRX jade[4230]: (pam_sm_authenticate): DEBUG: PAM_USER: provider-ctrl
Mar 17 19:31:33 vSRX jade[4230]: (pam_sm_authenticate): DEBUG: Updating lock-attempts of user: provider-ctrl attempts: 1
Mar 17 19:31:33 vSRX jade[4230]: (pam_sm_acct_mgmt): DEBUG: PAM_USER: provider-ctrl
Mar 17 19:31:33 vSRX jade[4230]: JADE_AUTH_SUCCESS: Authentication succeded for user 'provider-ctrl'
Mar 17 19:32:32 vSRX jade[4387]: (pam_sm_authenticate): DEBUG: PAM_USER: provider-ctrl
Mar 17 19:32:32 vSRX jade[4387]: (pam_sm_authenticate): DEBUG: Updating lock-attempts of user: provider-ctrl attempts: 1
Mar 17 19:32:32 vSRX jade[4387]: (pam_sm_acct_mgmt): DEBUG: PAM_USER: provider-ctrl
Mar 17 19:32:32 vSRX jade[4387]: JADE_AUTH_SUCCESS: Authentication succeded for user 'provider-ctrl'
Mar 17 19:33:32 vSRX jade[4575]: (pam_sm_authenticate): DEBUG: PAM_USER: provider-ctrl