Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security flow statistics

構文

説明

特定の SPU のセキュリティ フロー統計を表示します。フローとは、同じ一致基準を満たし、同じ特性を共有する、関連するパケットのストリームのことです。

パケットは、パケットベースのフィルターといくつかの画面が適用された後にフローベースの処理を受けます。システム処理ユニット(SPU)は、セッションに設定されたセキュリティ機能やその他のサービスに従って、フローのパケットを処理します。フローベースのパケット処理では、関連するパケットまたはパケットのストリームを同じように処理します。パケット処理は、パケット ストリームの最初のパケットに対して確立された特性に依存します。

コマンドは、 show security flow statistics 個々の SPU の情報を表示します。各 SPU について、SPU のアクティブなセッション、受信されたパケット、送信されたパケット、転送/キューに入れられたパケット、コピーされたパケット、ドロップされたパケット、SPU 上のフローで受信されたパケット フラグメント、生成された事前フラグメント化パケット、生成されたフラグメント化後パケットが数値で表示されます。

パケットがドロップされる原因となる可能性のある多くの条件があります。それらのいくつかを紹介します。

  • スクリーン モジュールが IP スプーフィングを検出します

  • IPSec カプセル化セキュリティ ペイロード (ESP) または認証ヘッダー (AH) 認証に失敗しました。たとえば、受信NATエラーにより、これが発生する可能性があります。

  • パケットは、ユーザー認証を指定する複数のセキュリティ ポリシーに一致します。(パケットがシステムを介して複数回ループされることがあります。パケットがシステムを通過するたびに、そのパケットはポリシーによって許可される必要があります)。

  • 時間制約設定の期限が切れます。例えば、パケット間隔が60秒を超えるマルチキャストストリームでは、フローセッションの早期エージングアウトが発生します。(ほとんどの場合、パケットのドロップを防ぐために、より高いタイムアウト値を構成できます)。

パケットのフラグメント化はさまざまな理由で発生することがあり、場合によっては構成設定で制御できます。すべてのリンクには、リンクが送信できる最大パケットのサイズを指定する最大送信単位 (MTU) サイズがあります。MTU サイズが大きいほど、一定量のデータを送信するために必要なパケット数が少なくて済みます。ただし、パケットが送信元ノードから宛先ノードへのパスを正常に通過するためには、送信元ノードのエグレス インターフェイスの MTU サイズが、送信元と宛先の間のパス上にある全ノードの最小 MTU サイズより大きくなければなりません。この値は、パス最大伝送単位(パスMTU)と呼ばれます。

パケットがデータ パス内の任意のリンクの MTU サイズより大きい場合、リンクはそのパケットをフラグメント化またはドロップする可能性があります。

  • IPv4 では、送信元ノードと宛先ノードの間のパス内のノードが MTU サイズより大きいパケットを受信すると、パケットをフラグメント化して、結果の小さいパケットを送信できます。

  • IPv6 の場合、中間ノードはパケットをフラグメント化できません。パケットがリンクのMTUサイズより大きい場合、リンクがそれをドロップする可能性があります。ただし、送信元ノード(パケットを送信したノード)はパケットをフラグメント化することができ、これはパスMTUサイズ調整要件に対応するために行われます。パケットのパスに沿ったノードは、パケットをフラグメント化して送信することはできません。

IPsecトンネルのフラグメンテーションカウンター機能は、フラグメント前生成フィールドとフラグメント生成後フィールドのshow出力情報を提供します。

Junos OS リリース 15.1X49-D10 および Junos OS リリース 17.3R1 以降、XL チップ(パケット処理チップ)を使用して既存のすべての IOC および SPC カードと相互接続するためにハッシュベースのデータパス パケット転送を実行する SRX5400、SRX5600、および SRX5800 デバイス向けに、SRX5K-MPC3-10G10G(IOC3)とSRX5K-MPC3-40G10G(IOC3)が導入されます。IOC3 XL チップは、デフォルトでハッシュベースの方法を使用して、イングレス トラフィックを SPU のプールに分散します。

オプション

none

セキュリティ フローの統計情報を表示します。

node

(オプション)シャーシ クラスタ設定の場合、クラスタ内の特定のノード(デバイス)上のすべてのセキュリティ フロー統計情報を表示します。

  • node-id- ノードの識別番号。0 または 1 を指定できます。

  • all- すべてのノードに関する情報を表示します。

  • local- ローカル ノードに関する情報を表示します。

  • primary- プライマリ ノードに関する情報を表示します。

logical-system logical-system-name

(オプション)指定した論理システムに関する情報を表示します。

logical-system all

(オプション)すべての論理システムに関する情報を表示します。

tenant tenant-name

(オプション)指定したテナント システムに関する情報を表示します。

tenant all

(オプション)すべてのテナント システムに関する情報を表示します。

必要な権限レベル

ビュー

出力フィールド

表 1 に、このコマンドの出力フィールド show security flow statistics を示します。出力フィールドは、表示されるおおよその順序に従って示しています。

表 1: show security flow statistics 出力フィールド

フィールド名

フィールドの説明

現在のセッション

SPU 上のアクティブなセッションの数。

受信パケット数

特定の SPU のセキュリティ フローで受信したパケット数。パケットはその SPU で処理され、転送されます。

送信されたパケット数

送信のために Jexec に返されたパケットの数。

転送/キューに入れられたパケット

転送されたパケット数、または他のモジュールによってキューに入れられたパケット数。

メモ:

ドロップされたパケットは、このフィールドではキャプチャされません。

コピーされたパケット

- フラグメンテーションや TCP プロキシを含む他のモジュールによってコピーされたパケットの数。

ドロップされたパケット

特定の SPU 上のフローでドロップされたパケットの数。

パケットはフローで受信されます。ただし、処理中に、システムはサニティーチェックエラー、セキュリティ違反、またはパケットがドロップされる原因となったその他の状態を検出します。

パケットがドロップされる原因となる可能性のある条件やイベントについては、説明を参照してください。

パケットのフラグメント化

SPU 上のフローで受信したフラグメントの数。パケットフラグメントの詳細については、説明を参照してください。

生成された事前フラグメント

IPsecトンネルの場合、IPsec暗号化ヘッダーでパケットをカプセル化する前に、SRXシリーズファイアウォールによって自己生成されたフラグメントの数。

生成されたフラグメントの投稿

IPsecトンネルの場合、SRXシリーズファイアウォールが受信したフラグメントの数、および暗号化後にフラグメント化されたパケットの数。

サンプル出力

セキュリティ フロー統計の表示

show security flow statistics logical-system LSYS1

セキュリティ フロー統計の表示

セキュリティフロー統計テナントTSYS1を表示

セキュリティ フロー統計の表示

リリース情報

Junos OS リリース 10.2 で導入されたコマンド。

Junos OSリリース15.1X49-90で導入されたフラグメンテーションカウンターオプション。

Junos OSリリース20.1R1で論理システムおよびテナントシステムレベルで追加されたサポート。