show security flow statistics
構文
show security flow statistics
<node (node-id
| all | local | primary)> <logical-system (logical-system-name | all)> <tenant (tenant-name | all)>
説明
特定の SPU のセキュリティ フロー統計を表示します。フローとは、同じ一致基準を満たし、同じ特性を共有する、関連するパケットのストリームのことです。
パケットは、パケットベースのフィルターといくつかの画面が適用された後にフローベースの処理を受けます。システム処理ユニット(SPU)は、セッションに設定されたセキュリティ機能やその他のサービスに従って、フローのパケットを処理します。フローベースのパケット処理では、関連するパケットまたはパケットのストリームを同じように処理します。パケット処理は、パケット ストリームの最初のパケットに対して確立された特性に依存します。
コマンドは、 show security flow statistics
個々の SPU の情報を表示します。各 SPU について、SPU のアクティブなセッション、受信されたパケット、送信されたパケット、転送/キューに入れられたパケット、コピーされたパケット、ドロップされたパケット、SPU 上のフローで受信されたパケット フラグメント、生成された事前フラグメント化パケット、生成されたフラグメント化後パケットが数値で表示されます。
パケットがドロップされる原因となる可能性のある多くの条件があります。それらのいくつかを紹介します。
スクリーン モジュールが IP スプーフィングを検出します
IPSec カプセル化セキュリティ ペイロード (ESP) または認証ヘッダー (AH) 認証に失敗しました。たとえば、受信NATエラーにより、これが発生する可能性があります。
パケットは、ユーザー認証を指定する複数のセキュリティ ポリシーに一致します。(パケットがシステムを介して複数回ループされることがあります。パケットがシステムを通過するたびに、そのパケットはポリシーによって許可される必要があります)。
時間制約設定の期限が切れます。例えば、パケット間隔が60秒を超えるマルチキャストストリームでは、フローセッションの早期エージングアウトが発生します。(ほとんどの場合、パケットのドロップを防ぐために、より高いタイムアウト値を構成できます)。
パケットのフラグメント化はさまざまな理由で発生することがあり、場合によっては構成設定で制御できます。すべてのリンクには、リンクが送信できる最大パケットのサイズを指定する最大送信単位 (MTU) サイズがあります。MTU サイズが大きいほど、一定量のデータを送信するために必要なパケット数が少なくて済みます。ただし、パケットが送信元ノードから宛先ノードへのパスを正常に通過するためには、送信元ノードのエグレス インターフェイスの MTU サイズが、送信元と宛先の間のパス上にある全ノードの最小 MTU サイズより大きくなければなりません。この値は、パス最大伝送単位(パスMTU)と呼ばれます。
パケットがデータ パス内の任意のリンクの MTU サイズより大きい場合、リンクはそのパケットをフラグメント化またはドロップする可能性があります。
IPv4 では、送信元ノードと宛先ノードの間のパス内のノードが MTU サイズより大きいパケットを受信すると、パケットをフラグメント化して、結果の小さいパケットを送信できます。
IPv6 の場合、中間ノードはパケットをフラグメント化できません。パケットがリンクのMTUサイズより大きい場合、リンクがそれをドロップする可能性があります。ただし、送信元ノード(パケットを送信したノード)はパケットをフラグメント化することができ、これはパスMTUサイズ調整要件に対応するために行われます。パケットのパスに沿ったノードは、パケットをフラグメント化して送信することはできません。
IPsecトンネルのフラグメンテーションカウンター機能は、フラグメント前生成フィールドとフラグメント生成後フィールドのshow出力情報を提供します。
Junos OS リリース 15.1X49-D10 および Junos OS リリース 17.3R1 以降、XL チップ(パケット処理チップ)を使用して既存のすべての IOC および SPC カードと相互接続するためにハッシュベースのデータパス パケット転送を実行する SRX5400、SRX5600、および SRX5800 デバイス向けに、SRX5K-MPC3-10G10G(IOC3)とSRX5K-MPC3-40G10G(IOC3)が導入されます。IOC3 XL チップは、デフォルトでハッシュベースの方法を使用して、イングレス トラフィックを SPU のプールに分散します。
オプション
none | セキュリティ フローの統計情報を表示します。 |
node |
(オプション)シャーシ クラスタ設定の場合、クラスタ内の特定のノード(デバイス)上のすべてのセキュリティ フロー統計情報を表示します。
|
logical-system logical-system-name |
(オプション)指定した論理システムに関する情報を表示します。 |
logical-system all |
(オプション)すべての論理システムに関する情報を表示します。 |
tenant tenant-name |
(オプション)指定したテナント システムに関する情報を表示します。 |
tenant all |
(オプション)すべてのテナント システムに関する情報を表示します。 |
必要な権限レベル
ビュー
出力フィールド
表 1 に、このコマンドの出力フィールド show security flow statistics
を示します。出力フィールドは、表示されるおおよその順序に従って示しています。
フィールド名 |
フィールドの説明 |
---|---|
現在のセッション |
SPU 上のアクティブなセッションの数。 |
受信パケット数 |
特定の SPU のセキュリティ フローで受信したパケット数。パケットはその SPU で処理され、転送されます。 |
送信されたパケット数 |
送信のために Jexec に返されたパケットの数。 |
転送/キューに入れられたパケット |
転送されたパケット数、または他のモジュールによってキューに入れられたパケット数。
メモ:
ドロップされたパケットは、このフィールドではキャプチャされません。 |
コピーされたパケット |
- フラグメンテーションや TCP プロキシを含む他のモジュールによってコピーされたパケットの数。 |
ドロップされたパケット |
特定の SPU 上のフローでドロップされたパケットの数。 パケットはフローで受信されます。ただし、処理中に、システムはサニティーチェックエラー、セキュリティ違反、またはパケットがドロップされる原因となったその他の状態を検出します。 パケットがドロップされる原因となる可能性のある条件やイベントについては、説明を参照してください。 |
パケットのフラグメント化 |
SPU 上のフローで受信したフラグメントの数。パケットフラグメントの詳細については、説明を参照してください。 |
生成された事前フラグメント |
IPsecトンネルの場合、IPsec暗号化ヘッダーでパケットをカプセル化する前に、SRXシリーズファイアウォールによって自己生成されたフラグメントの数。 |
生成されたフラグメントの投稿 |
IPsecトンネルの場合、SRXシリーズファイアウォールが受信したフラグメントの数、および暗号化後にフラグメント化されたパケットの数。 |
サンプル出力
- セキュリティ フロー統計の表示
- show security flow statistics logical-system LSYS1
- セキュリティ フロー統計の表示
- セキュリティフロー統計テナントTSYS1を表示
- セキュリティ フロー統計の表示
セキュリティ フロー統計の表示
user@host> show security flow statistics node0: -------------------------------------------------------------------------- Current sessions: 0 Packets received: 2677 Packets transmitted: 2278 Packets forwarded/queued: 0 Packets copied: 99 Packets dropped: 300 Fragment packets: 0 Pre fragments generated: 0 Post fragments generated: 0 node1: -------------------------------------------------------------------------- Current sessions: 0 Packets received: 1267 Packets transmitted: 904 Packets forwarded/queued: 0 Packets copied: 0 Packets dropped: 363 Fragment packets: 0 Pre fragments generated: 0 Post fragments generated: 0
show security flow statistics logical-system LSYS1
user@host> show security flow statistics logical-system LSYS1 Current sessions: 1000 Packets received: 177888012 Packets transmitted: 66705150 Packets forwarded/queued: 14 Packets copied: 77831798 Packets dropped: 33351074 Services-offload packets processed: 16574037502 Fragment packets: 0 Pre fragments generated: 0 Post fragments generated: 0
セキュリティ フロー統計の表示
user@host:LSYS1> show security flow statistics Current sessions: 1000 Packets received: 177888012 Packets transmitted: 66705150 Packets forwarded/queued: 14 Packets copied: 77831798 Packets dropped: 33351074 Services-offload packets processed: 16574037502 Fragment packets: 0 Pre fragments generated: 0 Post fragments generated: 0
セキュリティフロー統計テナントTSYS1を表示
user@host> show security flow statistics tenant TSYS1 Current sessions: 10 Packets received: 28711 Packets transmitted: 10 Packets forwarded/queued: 0 Packets copied: 9590 Packets dropped: 19541 Services-offload packets processed: 95909 Fragment packets: 0 Pre fragments generated: 0 Post fragments generated: 0
セキュリティ フロー統計の表示
user@host:TSYS1> show security flow statistics Current sessions: 10 Packets received: 28711 Packets transmitted: 10 Packets forwarded/queued: 0 Packets copied: 9590 Packets dropped: 19541 Services-offload packets processed: 95909 Fragment packets: 0 Pre fragments generated: 0 Post fragments generated: 0
リリース情報
Junos OS リリース 10.2 で導入されたコマンド。
Junos OSリリース15.1X49-90で導入されたフラグメンテーションカウンターオプション。
Junos OSリリース20.1R1で論理システムおよびテナントシステムレベルで追加されたサポート。