show security flow statistics
構文
show security flow statistics<node (node-id| all | local | primary)> <logical-system (logical-system-name | all)> <tenant (tenant-name | all)>
説明
特定のSPUでセキュリティ フローの統計情報を表示します。フローとは、同じ一致条件を満たして同じ特性を共有する、関連するパケットのストリームです。
パケットは、パケット ベースのフィルターと一部のスクリーンが適用された後、フローベースの処理を行います。システム処理ユニット(SPU)は、セキュリティ機能およびセッションに設定されたその他のサービスに従って、フローのパケットを処理します。フローベースのパケット処理は、関連するパケット、またはパケット ストリームを同じ方法で処理します。パケット処理は、パケット ストリームの最初のパケットに対して確立された特性に依存します。
コマンド show security flow statistics は、個々のSSPの情報を表示します。SPU ごとに、SPU 上のアクティブ セッション、受信したパケット、送信されたパケット、転送/キューに入ったパケット、コピーされたパケット、破棄されたパケット、SPU 上のフローで受信したパケット フラグメント、生成されたフラグメント化前のパケット、生成されたポストフラグメント パケットが、番号の観点から表示されます。
パケットの破棄を引き起こす可能性がある条件は多数ある。その一部を以下に示します。
スクリーン モジュールが脅威をIP スプーフィング
ESP(IPSec カプセル化セキュリティ ペイロード セキュリティ プロトコル)または AH(認証ヘッダー)認証に失敗しました。たとえば、受信した通知NATが発生する可能性があります。
パケットは、ユーザー認証を指定する複数のセキュリティー ポリシーと一致します。(パケットはシステムを 1 回繰り返しループする場合があります。パケットがシステムを通過する度に、そのパケットはポリシーで許可される必要があります)。
時間制限設定の有効期限切れ。たとえば、パケット間隔が 60 秒を超えるマルチキャスト ストリームでは、フロー セッションの早期エージング アウトが発生します。(ほとんどの場合、パケット損失を防ぐために、より高いタイムアウト値を設定できます)。
パケットのフラグメント化は、いくつかの理由で発生する可能性があります。場合によっては、設定を使用して制御できます。すべてのリンクのサイズは最大送信単位(MTU)で、リンクから送信できる最も大きなパケットのサイズを指定します。パケット サイズMTU大きくなるということは、一定量のデータの送信に必要なパケット数を減らします。ただし、パケットがソース ノードから宛先ノードへのパスを正常に通過するには、ソース ノードと宛先の間のパス上のすべてのノードの最小 MTU サイズよりも、ソース ノードのエグレス インターフェイスの MTU サイズよりも大きく小さくする必要があります。この値はパス パス最大送信単位呼MTU。
パケットのサイズが大きくなるとMTUパス内のリンクのサイズが大きくなると、リンクによってパケットがフラグメント化またはドロップされる可能性があります。
IPv4 では、ソース ノードと宛先ノード間のパス内のノードが MTU サイズを超えるパケットを受信した場合、パケットをフラグメント化して、結果として小さなパケットを送信できます。
IPv6 の場合、中間ノードはパケットをフラグメント化できません。パケットのリンクのリンクサイズを超MTUすると、リンクがドロップされる可能性があります。ただし、ソース ノード(パケットを送信したノード)はパケットをフラグメント化できます。これはパスのサイズ調整のMTUに対応するために行われます。パケットのパスに沿ったノードは、パケットをフラグメント化して送信することはできません。
IPsec トンネルのフラグメント化カウンター機能は、生成されたフラグメント前およびフラグメント後に生成されたフィールドの show 出力情報を提供します。
最初のリリースJunos OSリリース15.1X49-D10、Junos OSリリース17.3R1、 SRX5K-MPC3-100G10G(IOC3)および SRX5K-MPC3-40G10G(IOC3)が、XLチップ(パケット処理チップ)を使用して既存のすべてのIOCカードおよびSPCカードと相互接続するために、ハッシュベースのデータパスパケット転送を実行するSRX5400、SRX5600、SRX5800デバイスが導入されました。IOC3 XL チップは、ハッシュベースの方法を使用して、イングレス トラフィックをデフォルトで SPUs プールに配信します。
オプション
| なし | セキュリティ フローの統計情報を表示します。 |
node |
(オプション)シャーシ クラスタの設定では、クラスタ内の特定のノード(デバイス)に、すべてのセキュリティ フロー統計情報を表示します。
|
logical-system logical-system-name |
(オプション)指定された論理システムに関する情報を表示します。 |
logical-system all |
(オプション)すべての論理システムの情報を表示します。 |
tenant tenant-name |
(オプション)指定されたテナント システムに関する情報を表示します。 |
tenant all |
(オプション)すべてのテナント システムの情報を表示します。 |
必須の権限レベル
ビュー
出力フィールド
表 1 は 、 コマンドの出力フィールドを示 show security flow statistics しています。出力フィールドは、概して表示される順序で一覧表示されます。
フィールド名 |
フィールドの説明 |
|---|---|
現在のセッション |
SPU上のアクティブなセッション数。 |
受信パケット数 |
特定のSPUのセキュリティフローで受信したパケット数。パケットは処理され、その SPU 上で転送されます。 |
送信されたパケット |
Jexecに転送のために返されたパケット数。 |
転送されたパケット/キューに入れられます。 |
他のモジュールがキューに入れ込む、転送されたパケットの数。
注:
破棄されたパケットは、このフィールドではキャプチャされません。 |
コピーされたパケット |
フラグメント化と tcp プロキシを含む他のモジュールによってコピーされたパケット数。 |
破棄されたパケット |
特定のSPU上のフローで破棄されたパケット数。 パケットはフローで受信されます。ただし、処理中に、パケットがドロップされる原因となる、セキュリティ違反、その他の状態がシステムによって検出されます。 パケットのドロップを引き起こす可能性がある一部の状態とイベントの説明を参照してください。 |
フラグメント パケット |
SPU上のフローで受信したフラグメント数。パケット フラグメントの詳細については、 の説明を参照してください。 |
生成されるフラグメント前 |
IPsecトンネルの場合、パケットをIPsec暗号化ヘッダーでカプセル化する前に、SRX シリーズデバイスによって自己生成されるフラグメントの数。 |
生成されたフラグメントの後 |
IPsecトンネルの場合、暗号化後にフラグメント化されたデバイスSRX シリーズパケットを受信したフラグメントの数。 |
出力例
- show security flow statistics(セキュリティフローの統計情報を表示)
- show security flow statistics logical-system LSYS1
- show security flow statistics(セキュリティフローの統計情報を表示)
- show security flow statistics tenant TSYS1
- show security flow statistics(セキュリティフローの統計情報を表示)
show security flow statistics(セキュリティフローの統計情報を表示)
user@host> show security flow statistics
node0:
--------------------------------------------------------------------------
Current sessions: 0
Packets received: 2677
Packets transmitted: 2278
Packets forwarded/queued: 0
Packets copied: 99
Packets dropped: 300
Fragment packets: 0
Pre fragments generated: 0
Post fragments generated: 0
node1:
--------------------------------------------------------------------------
Current sessions: 0
Packets received: 1267
Packets transmitted: 904
Packets forwarded/queued: 0
Packets copied: 0
Packets dropped: 363
Fragment packets: 0
Pre fragments generated: 0
Post fragments generated: 0
show security flow statistics logical-system LSYS1
user@host> show security flow statistics logical-system LSYS1
Current sessions: 1000
Packets received: 177888012
Packets transmitted: 66705150
Packets forwarded/queued: 14
Packets copied: 77831798
Packets dropped: 33351074
Services-offload packets processed: 16574037502
Fragment packets: 0
Pre fragments generated: 0
Post fragments generated: 0
show security flow statistics(セキュリティフローの統計情報を表示)
user@host:LSYS1> show security flow statistics
Current sessions: 1000
Packets received: 177888012
Packets transmitted: 66705150
Packets forwarded/queued: 14
Packets copied: 77831798
Packets dropped: 33351074
Services-offload packets processed: 16574037502
Fragment packets: 0
Pre fragments generated: 0
Post fragments generated: 0
show security flow statistics tenant TSYS1
user@host> show security flow statistics tenant TSYS1
Current sessions: 10
Packets received: 28711
Packets transmitted: 10
Packets forwarded/queued: 0
Packets copied: 9590
Packets dropped: 19541
Services-offload packets processed: 95909
Fragment packets: 0
Pre fragments generated: 0
Post fragments generated: 0
show security flow statistics(セキュリティフローの統計情報を表示)
user@host:TSYS1> show security flow statistics
Current sessions: 10
Packets received: 28711
Packets transmitted: 10
Packets forwarded/queued: 0
Packets copied: 9590
Packets dropped: 19541
Services-offload packets processed: 95909
Fragment packets: 0
Pre fragments generated: 0
Post fragments generated: 0
リリース情報
リリース10.2 Junos OS導入されたコマンド。
リリース 15.1X49-90 でJunos OSフラグメント化カウンター オプションが導入されました。
システムの論理システムおよびテナント システム レベルで追加されたJunos OSサポート20.1R1。