装置状態確認方法

動作確認バージョン:vSRX Version20.4R2, vSRX Version22.4R1

ここでは、ファイアウォール(vSRX) についての状態確認コマンドを紹介します。

バージョンの確認

  • show version コマンド
ファイアウォール(vSRX) のバージョンを確認するために利用します。
user01@vSRX-02> show version
Hostname: vSRX-02
Model: vSRX
Junos: 22.4R1.10
(省略)

user01@vSRX-02>

コントロールプレーンのCPU・メモリ使用量の確認

  • show chassis routing-engine コマンド
ファイアウォール(vSRX) のコントロールプレーンが使用しているCPU・メモリ状態を確認するために利用します。
user01@vSRX-02> show chassis routing-engine
Routing Engine status:
   Total memory              4042 MB Max  2344 MB used ( 58 percent)
     Control plane memory    1738 MB Max   817 MB used ( 47 percent)
     Data plane memory       2304 MB Max  1544 MB used ( 67 percent)
   5 sec CPU utilization:
     User                       2 percent
     Background                 0 percent
     Kernel                     4 percent
     Interrupt                  0 percent
     Idle                      94 percent
(省略)

データプレーンのCPU・メモリ使用量の確認

  • show security monitoring fpc 0 コマンド
ファイアウォール(vSRX) のデータプレーンが使用しているCPU・メモリ状態を確認するために利用します。
user01@vSRX-02> show security monitoring fpc 0
FPC 0
  PIC 0
    CPU utilization          :    0 %
    Memory utilization       :   67 %
    Current flow session     :    0
    Current flow session IPv4:    0
    Current flow session IPv6:    0
    Max flow session         : 524288
Total Session Creation Per Second (for last 96 seconds on average):    0
IPv4  Session Creation Per Second (for last 96 seconds on average):    0
IPv6  Session Creation Per Second (for last 96 seconds on average):    0

インターフェイスの状態確認

  • show interfaces terse コマンド
ファイアウォール(vSRX) のインターフェイスの状態と設定されているIPアドレスを確認するために利用します。
user01@vSRX-02> show interfaces terse
Interface               Admin Link Proto    Local                 Remote
ge-0/0/0                up    up
ge-0/0/0.0              up    up   inet     192.168.1.102/24
gr-0/0/0                up    up
ip-0/0/0                up    up
lsq-0/0/0               up    up
lt-0/0/0                up    up
mt-0/0/0                up    up
sp-0/0/0                up    up
sp-0/0/0.0              up    up   inet
                                   inet6
sp-0/0/0.16383          up    up   inet
ge-0/0/1                up    up
ge-0/0/1.0              up    up   inet     192.168.2.102/24
ge-0/0/2                up    up
ge-0/0/2.0              up    up   inet     192.168.3.102/24
ge-0/0/3                up    up
ge-0/0/3.0              up    up   inet     192.168.4.102/24
dsc                     up    up
em0                     up    up
em0.0                   up    up   inet     128.0.0.1/2
em1                     up    up
em1.32768               up    up   inet     192.168.1.2/24
em2                     up    up
fxp0                    up    up
fxp0.0                  up    up   inet     10.0.0.102/24
(省略)

ARP状態確認

  • show arp コマンド

ARPテーブルを表示する際に利用します。

user01@vSRX-02> show arp
MAC Address       Address         Name                      Interface               Flags
fa:16:xx:xx:xx:01 10.0.0.254      10.0.0.254                fxp0.0                  none
fe:00:xx:xx:xx:04 128.0.0.16      128.0.0.16                em0.0                   none
aa:bb:xx:xx:xx:ff 192.168.1.1     192.168.1.1               em1.32768               none
fa:16:xx:xx:xx:a9 192.168.1.11    192.168.1.11              ge-0/0/0.0              none
fa:16:xx:xx:xx:c8 192.168.1.101   192.168.1.101             ge-0/0/0.0              none
00:00:xx:xx:xx:00 192.168.2.2     192.168.2.2               ge-0/0/1.0              none
fa:16:xx:xx:xx:d1 192.168.2.12    192.168.2.12              ge-0/0/1.0              none
fa:16:xx:xx:xx:9b 192.168.2.14    192.168.2.14              ge-0/0/1.0              none
fa:16:xx:xx:xx:de 192.168.2.15    192.168.2.15              ge-0/0/1.0              none
00:00:xx:xx:xx:00 192.168.3.2     192.168.3.2               ge-0/0/2.0              none
fa:16:xx:xx:xx:e0 192.168.3.13    192.168.3.13              ge-0/0/2.0              none
fa:16:xx:xx:xx:41 192.168.3.103   192.168.3.103             ge-0/0/2.0              none
fa:16:xx:xx:xx:66 192.168.4.104   192.168.4.104             ge-0/0/3.0              none
Total entries: 13

注釈

上記表示結果は一部マスク処理をしております。

VRRP状態確認

  • show vrrp コマンド

VRRP状態のサマリが確認可能です。2台の装置のMASTER/BACKUP状態を確認するために利用します。

VRRP MASTER側

user01@vSRX-02> show vrrp
Interface     State       Group   VR state VR Mode   Timer    Type   Address
ge-0/0/0.0    up              1   master   Active      A  0.725 lcl    192.168.1.102
                                                                vip    192.168.1.100

VRRP BACKUP側

user01@vSRX-01> show vrrp
Interface     State       Group   VR state VR Mode   Timer    Type   Address
ge-0/0/0.0    up              1   backup   Active      D  3.111 lcl    192.168.1.101
                                                                vip    192.168.1.100
                                                                mas    192.168.1.102
  • show vrrp detail コマンド

VRRP状態についての詳細が確認可能です。設定したVRRPグループに対する仮想IPアドレスやタイマー値の設定を確認するために利用します。

VRRP( MASTER )側

user01@vSRX-02> show vrrp detail
Physical interface: ge-0/0/0, Unit: 0, Address: 192.168.1.102/24
  Index: 68, SNMP ifIndex: 518, VRRP-Traps: enabled, VRRP-Version: 2
  Interface state: up, Group: 1, State: master, VRRP Mode: Active
  Priority: 100, Advertisement interval: 5, Authentication type: none
  Advertisement threshold: 3, Computed send rate: 0
  Preempt: yes, Accept-data mode: yes, VIP count: 1, VIP: 192.168.1.100
  Advertisement Timer: 0.170s, Master router: 192.168.1.102
  Virtual router uptime: 04:22:52, Master router uptime: 00:03:24
  Virtual Mac: 00:00:5e:00:01:01
  Tracking: disabled

user01@vSRX-02>

VRRP( BACKUP )側

user01@vSRX-01> show vrrp detail
Physical interface: ge-0/0/0, Unit: 0, Address: 192.168.1.101/24
  Index: 68, SNMP ifIndex: 519, VRRP-Traps: disabled, VRRP-Version: 2
  Interface state: up, Group: 1, State: backup, VRRP Mode: Active
  Priority: 100, Advertisement interval: 5, Authentication type: none
  Advertisement threshold: 3, Computed send rate: 0
  Preempt: yes, Accept-data mode: yes, VIP count: 1, VIP: 192.168.1.100
  Dead timer: 3.512s, Master priority: 100, Master router: 192.168.1.102
  Virtual router uptime: 04:21:35
  Tracking: disabled

user01@vSRX-01>

ルーティング状態確認

  • show route コマンド
ファイアウォール(vSRX) が保持している経路情報を確認・表示させるために利用します。 プロトコルの名前を選択すると該当のプロトコル経路だけを表示させることができます。
user01@vSRX-02> show route

inet.0: 11 destinations, 11 routes (11 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

10.0.0.0/24        *[Direct/0] 1w3d 20:56:45
                    > via fxp0.0
10.0.0.102/32      *[Local/0] 1w3d 20:56:45
                      Local via fxp0.0
192.168.1.0/24     *[Direct/0] 1w3d 20:56:42
                    > via ge-0/0/0.0
192.168.1.102/32   *[Local/0] 1w3d 20:56:43
                      Local via ge-0/0/0.0
192.168.2.0/24     *[Direct/0] 1w3d 20:56:42
                    > via ge-0/0/1.0
192.168.2.102/32   *[Local/0] 1w3d 20:56:43
                      Local via ge-0/0/1.0
192.168.3.0/24     *[Direct/0] 1w3d 20:56:42
                    > via ge-0/0/2.0
192.168.3.102/32   *[Local/0] 1w3d 20:56:43
                      Local via ge-0/0/2.0
192.168.4.0/24     *[Direct/0] 1w3d 20:56:42
                    > via ge-0/0/3.0
192.168.4.102/32   *[Local/0] 1w3d 20:56:43
                      Local via ge-0/0/3.0
224.0.0.5/32       *[OSPF/10] 1w3d 20:56:47, metric 1
                      MultiRecv

NAT状態確認

  • show security flow session コマンド

NATのアドレス変換を確認する際に利用します。(セッションテーブル)

user01@vSRX-02> show security flow session
Session ID: 601, Policy name: POL1/6, Timeout: 1800, Valid
  In: 192.168.3.203/57016 --> 192.168.3.102/22;tcp, Conn Tag: 0x0, If: ge-0/0/2.0, Pkts: 2456, Bytes: 130807,
  Out: 192.168.1.201/22 --> 192.168.1.102/27746;tcp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 2436, Bytes: 369511,

Session ID: 602, Policy name: POL1/6, Timeout: 1800, Valid
  In: 192.168.3.203/37124 --> 192.168.3.102/2222;tcp, Conn Tag: 0x0, If: ge-0/0/2.0, Pkts: 2389, Bytes: 127899,
  Out: 192.168.2.202/22 --> 192.168.2.102/26438;tcp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 2366, Bytes: 358139,
Total sessions: 2

user01@vSRX-02>
  • show security nat source rule all コマンド

送信元NATを利用しているときに、 NATルールと変換が行われた回数を確認するために利用します。

user01@vSRX-02> show security nat source rule all
Total rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 1/0
source NAT rule: SNAT_RULE1             Rule-set: SNAT_RULE
  Rule-Id                    : 1
  Rule position              : 1
  From zone                  : untrust
  To zone                    : trust
  Match
    Source addresses         : 192.168.3.0     - 192.168.3.255
  Action                        : interface
    Persistent NAT type         : N/A
    Persistent NAT mapping type : address-port-mapping
    Inactivity timeout          : 0
    Max session number          : 0
  Translation hits           : 5
    Successful sessions      : 5
    Failed sessions          : 0
  Number of sessions         : 2

user01@vSRX-02>
  • show security nat destination rule all コマンド

宛先NATを利用しているときに、 NATルールと変換が行われた回数を確認するために利用します。

user01@vSRX-02> show security nat destination rule all
Total destination-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Destination NAT rule: DNAT_RULE1             Rule-set: DNAT_RULE
  Rule-Id                    : 1
  Rule position              : 1
  From zone                  : untrust
    Destination addresses    : 192.168.3.102   - 192.168.3.102
    Destination port         : 22              - 22
  Action                     : POOL1
  Translation hits           : 6
    Successful sessions      : 3
    Failed sessions          : 3
  Number of sessions         : 1
Destination NAT rule: DNAT_RULE2             Rule-set: DNAT_RULE
  Rule-Id                    : 2
  Rule position              : 2
  From zone                  : untrust
    Destination addresses    : 192.168.3.102   - 192.168.3.102
    Destination port         : 2222            - 2222
  Action                     : POOL2
  Translation hits           : 5
    Successful sessions      : 5
    Failed sessions          : 0
  Number of sessions         : 1

user01@vSRX-02>

VPN(IPSECトンネル)状態確認

  • show security ike security-associations コマンド

IKEを利用しているときに、トンネルの確立状態を確認するために利用します。

user01@vSRX-01> show security ike security-associations
Index   State  Initiator cookie  Responder cookie  Mode           Remote Address
137031  UP     4994f91cc5a7afd7  5e2c4c8cf061daa5  IKEv2          192.168.3.103

user01@vSRX-01>
  • show security ipsec security-associations コマンド

IPsecを利用しているときに、トンネルの確立状態を確認するために利用します。

user01@vSRX-01> show security ipsec security-associations
  Total active tunnels: 1
  ID    Algorithm       SPI      Life:sec/kb  Mon lsys Port  Gateway
  <131073 ESP:aes-gcm-256/None 8e61521c 1799/ unlim - root 500 192.168.3.103
  >131073 ESP:aes-gcm-256/None fa047078 1799/ unlim - root 500 192.168.3.103

user01@vSRX-01>

ゾーンベースファイアウォール状態確認

  • show security policies コマンド

ゾーンに設定しているファイアウォールのpolicyを確認するために利用します。

user01@vSRX-01> show security policies
Default policy: deny-all
From zone: trust, To zone: trust
  Policy: default-permit, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
    Source addresses: any
    Destination addresses: any
    Applications: any
    Action: permit
From zone: trust, To zone: untrust
  Policy: default-permit, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1
    Source addresses: any
    Destination addresses: any
    Applications: any
    Action: permit
From zone: untrust, To zone: trust
  Policy: IPSEC-PERMIT, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1
    Source addresses: REMOTE_LAN
    Destination addresses: LOCAL_LAN
    Applications: any
    Action: permit
  Policy: ALL_DENY, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 2
    Source addresses: any
    Destination addresses: any
    Applications: any
    Action: deny

Syslogメッセージ確認

  • show log messages コマンド
ファイアウォール(vSRX) に保存されているSyslogメッセージを確認するために利用します。
user01@vSRX> show log messages
Mar 17 19:30:00  vSRX newsyslog[3974]: logfile turned over due to size>1024K
Mar 17 19:30:32  vSRX jade[4042]: (pam_sm_authenticate): DEBUG: PAM_USER: provider-ctrl
Mar 17 19:30:32  vSRX jade[4042]: (pam_sm_authenticate): DEBUG: Updating lock-attempts of user: provider-ctrl     attempts: 1
Mar 17 19:30:32  vSRX jade[4042]: (pam_sm_acct_mgmt): DEBUG: PAM_USER: provider-ctrl
Mar 17 19:30:32  vSRX jade[4042]: JADE_AUTH_SUCCESS: Authentication succeded for user 'provider-ctrl'
Mar 17 19:31:33  vSRX jade[4230]: (pam_sm_authenticate): DEBUG: PAM_USER: provider-ctrl
Mar 17 19:31:33  vSRX jade[4230]: (pam_sm_authenticate): DEBUG: Updating lock-attempts of user: provider-ctrl     attempts: 1
Mar 17 19:31:33  vSRX jade[4230]: (pam_sm_acct_mgmt): DEBUG: PAM_USER: provider-ctrl
Mar 17 19:31:33  vSRX jade[4230]: JADE_AUTH_SUCCESS: Authentication succeded for user 'provider-ctrl'
Mar 17 19:32:32  vSRX jade[4387]: (pam_sm_authenticate): DEBUG: PAM_USER: provider-ctrl
Mar 17 19:32:32  vSRX jade[4387]: (pam_sm_authenticate): DEBUG: Updating lock-attempts of user: provider-ctrl     attempts: 1
Mar 17 19:32:32  vSRX jade[4387]: (pam_sm_acct_mgmt): DEBUG: PAM_USER: provider-ctrl
Mar 17 19:32:32  vSRX jade[4387]: JADE_AUTH_SUCCESS: Authentication succeded for user 'provider-ctrl'
Mar 17 19:33:32  vSRX jade[4575]: (pam_sm_authenticate): DEBUG: PAM_USER: provider-ctrl
保守運用者向け機能
障害発生時の確認方法