Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security flow statistics

구문

설명

특정 SPU에 대한 보안 플로우 통계를 표시합니다. 플로우는 동일한 일치 기준을 충족하고 동일한 특성을 공유하는 관련 패킷의 스트림입니다.

패킷은 패킷 기반 필터 및 일부 화면이 적용된 후 플로우 기반 처리를 거칩니다. SPU(System Processing Unit)는 세션에 대해 구성된 보안 기능 및 기타 서비스에 따라 플로우의 패킷을 처리합니다. 플로우 기반 패킷 처리는 관련 패킷 또는 패킷 스트림을 동일한 방식으로 처리합니다. 패킷 처리는 패킷 스트림의 첫 번째 패킷에 대해 설정된 특성에 따라 달라집니다.

명령은 show security flow statistics 개별 SPU에 대한 정보를 표시합니다. 각 SPU의 경우, SPU의 활성 세션, 수신된 패킷, 전송된 패킷, 포워딩/큐잉된 패킷, 복사된 패킷, 손실된 패킷, SPU의 플로우에서 수신된 패킷 조각, 생성된 사전 조각화된 패킷 및 생성된 조각화된 후 패킷이 숫자로 표시됩니다.

패킷이 삭제될 수 있는 여러 가지 조건이 있습니다. 다음은 그 중 일부입니다.

  • 화면 모듈이 IP 스푸핑을 감지합니다.

  • IPSec ESP(Encapsulating Security Payload) 또는 AH(Authentication Header) 인증에 실패했습니다. 예를 들어 들어오는 NAT 오류로 인해 이 문제가 발생할 수 있습니다.

  • 패킷은 사용자 인증을 지정하는 둘 이상의 보안 정책과 일치합니다. (때로는 패킷이 시스템을 통해 두 번 이상 루프됩니다. 패킷이 시스템을 통과할 때마다 해당 패킷은 정책에 의해 허용되어야 합니다.)

  • 시간 제약 조건 설정이 만료됩니다. 예를 들어, 패킷 간격이 60초를 초과하는 멀티캐스트 스트림은 플로우 세션이 조기에 에이징되는 경험을 할 수 있습니다. (대부분의 경우 패킷 삭제를 방지하기 위해 더 높은 시간 제한 값을 구성할 수 있습니다.)

패킷 단편화는 여러 가지 이유로 발생할 수 있으며, 경우에 따라 구성 설정을 통해 제어할 수 있습니다. 모든 링크에는 링크가 전송할 수 있는 가장 큰 패킷의 크기를 지정하는 최대 전송 단위(MTU) 크기가 있습니다. MTU 크기가 클수록 일정량의 데이터를 전송하는 데 필요한 패킷 수가 줄어듭니다. 그러나 패킷이 소스 노드에서 대상 노드까지 경로를 성공적으로 통과하려면 소스 노드 송신 인터페이스의 MTU 크기가 소스와 대상 사이의 경로에 있는 모든 노드의 최소 MTU 크기보다 크지 않아야 합니다. 이 값을 경로 최대 전송 단위(경로 MTU)라고 합니다.

패킷이 데이터 경로의 링크에서 MTU 크기보다 크면 링크는 패킷을 조각화하거나 삭제할 수 있습니다.

  • IPv4의 경우, 소스 노드와 대상 노드 사이의 경로 내에 있는 노드가 MTU 크기보다 큰 패킷을 수신하면 패킷을 단편화하고 더 작은 패킷을 전송할 수 있습니다.

  • IPv6의 경우 중간 노드는 패킷을 단편화할 수 없습니다. 패킷이 링크의 MTU 크기보다 크면 링크가 패킷을 삭제할 가능성이 높습니다. 그러나 소스 노드(패킷을 전송한 노드)는 패킷을 단편화할 수 있으며, 이는 경로 MTU 크기 조정 요구 사항을 수용하기 위해 수행됩니다. 패킷 경로를 따라 있는 노드는 패킷을 단편화하여 전송할 수 없습니다.

IPsec 터널에 대한 단편화 카운터 기능은 사전 조각 생성 및 사후 조각 생성 필드에 대한 출력 표시 정보를 제공합니다.

Junos OS 릴리스 15.1X49-D10 및 Junos OS 릴리스 17.3R1부터 XL 칩(패킷 처리 칩)을 사용하여 기존의 모든 IOC 및 SPC 카드와 상호 연결하기 위해 해시 기반 데이터 경로 패킷 전달을 수행하는 SRX5400, SRX5600 및 SRX5800 디바이스에 대해 Junos OS 릴리스 15.1X49-D10 및 Junos OS 릴리스 17.3R1부터 SRX5K-MPC3-100G10G(IOC3) 및 SRX5K-MPC3-40G10G(IOC3)가 도입되었습니다. IOC3 XL 칩은 해시 기반 방법을 사용하여 기본적으로 SPU 풀에 수신 트래픽을 배포합니다.

옵션

none

보안 플로우 통계 정보를 표시합니다.

node

(선택 사항) 섀시 클러스터 구성의 경우, 클러스터의 특정 노드(디바이스)에 대한 모든 보안 플로우 통계를 표시합니다.

  • node-id- 노드의 식별 번호입니다. 0 또는 1일 수 있습니다.

  • all- 모든 노드에 대한 정보를 표시합니다.

  • local- 로컬 노드에 대한 정보를 표시합니다.

  • primary- 기본 노드에 대한 정보를 표시합니다.

logical-system logical-system-name

(선택 사항) 지정된 논리적 시스템에 대한 정보를 표시합니다.

logical-system all

(선택 사항) 모든 논리적 시스템에 대한 정보를 표시합니다.

tenant tenant-name

(선택 사항) 지정된 테넌트 시스템에 대한 정보를 표시합니다.

tenant all

(선택 사항) 모든 테넌트 시스템에 대한 정보를 표시합니다.

필요한 권한 수준

보기

출력 필드

표 1 에는 명령의 출력 필드가 나열되어 있습니다 show security flow statistics . 출력 필드는 나타나는 대략적인 순서대로 나열됩니다.

표 1: 보안 플로우 통계 출력 필드 표시

필드 이름

필드 설명

현재 세션

SPU의 활성 세션 수.

수신된 패킷

특정 SPU의 보안 플로우에서 수신된 패킷 수. 패킷은 해당 SPU에서 처리 및 전달됩니다.

전송된 패킷

전송을 위해 Jexec에 반환된 패킷 수입니다.

전달/대기 중인 패킷

전달된 패킷 수 또는 다른 모듈에 의해 대기열에 있는 패킷 수.

참고:

손실된 패킷은 이 필드에서 캡처되지 않습니다.

복사된 패킷

단편화 및 TCP 프록시를 포함한 다른 모듈에 의해 복사된 패킷 수입니다.

손실된 패킷

특정 SPU의 플로우에서 손실된 패킷 수.

패킷은 플로우에서 수신됩니다. 그러나 처리 중에 시스템은 온전성 검사 오류, 보안 위반 또는 패킷 삭제의 원인이 된 기타 조건을 발견합니다.

패킷 삭제를 유발할 수 있는 일부 조건 및 이벤트에 대한 설명을 참조하십시오.

패킷 조각

SPU의 플로우에서 수신된 단편 수. 패킷 조각에 대한 정보는 설명을 참조하십시오.

생성된 사전 조각

IPsec 터널의 경우, SRX 시리즈 방화벽이 IPsec 암호화 헤더로 패킷을 캡슐화하기 전에 자체 생성한 단편 수입니다.

생성된 포스트 조각

IPsec 터널의 경우, SRX 시리즈 방화벽이 수신한 단편 수와 암호화 후 단편화된 패킷 수입니다.

샘플 출력

보안 플로우 통계 표시

보안 플로우 통계 논리 시스템 LSYS1 표시

보안 플로우 통계 표시

보안 플로우 통계 테넌트 TSYS1 표시

보안 플로우 통계 표시

릴리스 정보

Junos OS 릴리스 10.2에서 소개된 명령입니다.

단편화 카운터 옵션은 Junos OS 릴리스 15.1X49-90에 도입되었습니다.

Junos OS 릴리스 20.1R1의 논리적 시스템 및 테넌트 시스템 수준에서 지원이 추가되었습니다.