Чтобы произвести отслеживание пакетов, используется следующая команда:
Admin@UGOS> show network trace
Будет отображена следующая информация: IP-адреса источника и назначения, протокол, названия портов источника и назначения NGFW, номера TCP/UDP портов источника и назначения. Команда также доступна в режиме конфигурации.
Чтобы выйти из режима отслеживания пакетов — Ctrl+C.
Правила отслеживания пакетов создаются и настраиваются в режиме конфигурации на уровне network. Для создания правила используется следующая команда:
Admin@UGOS# create network trace-rules
Далее указываются следующие параметры:
Параметр
Описание
enabled
Включение/отключение правила отслеживания пакетов:
on.
off.
name
Название правила. Если название правила не было задано, то оно задаётся автоматически в формате: trace_rule_N (где N — порядковый номер создаваемого правила отслеживания пакетов).
zones-in
Список зон источников трафика.
source-ip-lists
Список групп IP-адресов источника пакета. Подробнее о создании групп IP-адресов с использованием интерфейса командной строки читайте в разделе Настройка IP-адресов.
source-ip-addresses
Список IP-адресов источника пакета.
dest-ip-lists
Список групп IP-адресов назначения пакета. Подробнее о создании групп IP-адресов с использованием интерфейса командной строки читайте в разделе Настройка IP-адресов.
Также доступно удаление значений отдельных параметров правил. Для удаления доступны:
zones-in.
source-ip-lists.
source-ip-addresses.
dest-ip-lists.
dest-ip-addresses.
services.
Чтобы просмотреть существующие правила отслеживания пакетов:
Admin@UGOS# show network trace-rules
или
Admin@UGOS# show network trace-rules <trace-rule-name>
Мониторинг трафика
Следующая команда используется для мониторинга трафика:
Admin@UGOS> show traffic
Параметр
Описание
flows
Отображает информацию о входящем (IP и MAC-адреса источника и назначения, порты источника и назначения, протокол, тег VLAN, время жизни сессии, состояние сессии) и исходящем (IP-адреса источника и назначения, тег VLAN) потоках. Доступна фильтрация по:
source-ip — IP-адрес источника.
source-port — порт источника.
source-mac — MAC-адрес источника
dest-ip — IP-адрес назначения.
dest-port — порт назначения.
dest-mac — MAC-адрес назначения.
vlan-tag — тег VLAN.
connections
Представлена информация о соединениях (протокол и его номер; время жизни записи; IP-адреса источника и назначения, порты источника и назначения; IP-адреса источника и назначения, порты источника и назначения, которые ожидаются в ответе; статус сессии (UNREPLIED или ASSURED); количество переданных и принятых пакетов и байтов; зона источника; является ли эта сессия, сессией известного NGFW пользователя и т.п.).
Фильтрация доступна по:
protocol — протокол.
source-ip — IP-адрес источника.
dest-ip — IP-адрес назначения.
expect — отображение неустановленных соединений:
on.
off.
LLDP
Использованием следующей команды доступен просмотре информации LLDP:
Admin@UGOS> show lldp
Для просмотра доступны:
Параметр
Описание
neighbors
Cписок LLDP-совместимых устройств, на которых включена поддержка объявления LLDP.
Chassis ID — идентификатор шасси.
SysName — имя системы.
SysDescr — описание системы, содержит информацию об оборудовании и операционной системе устройства.
Management — адрес соседнего устройства (содержит адреса IPv4 и IPv6, номер интерфейса указанного адреса управления).
Capability — функции устройства (например, маршрутизатор, коммутатор и т.п.).
Port ID — идентификатор порта с которого был передан LLDPDU (Link Layer Discovery Protocol Data Unit).
PortDescr — описание порта.
TTL — время жизни передаваемых пакетов LLDP.
statistics
Cтатистика интерфейсов, в настройках которых был указан профиль LLDP:
Interface — название интерфейса.
Transmitted — общее количество кадров LLDP, переданных через интерфейсе.
Received — общее количество кадров LLDP, полученных на интерфейсе.
Discarded — число полученных на этом интерфейсе кадров LLDP, которые были отброшены.
Unrecognized — количество кадров LLDP с неподтверждённым содержимым, полученных на этом интерфейсе.
Ageout — в каждом кадре LLDP содержится информация о том, насколько долго является правильной информация LLDP (срок старения). Если в течение срока старения новых кадров не принято, информация LLDP удаляется.
Inserted — количество добавлений записей с информацией о соседях LLDP.
Deleted — количество удалений записей о соседях LLDP.
Маршруты
Данный раздел необходим для проведения диагностики и мониторинга маршрутной информации на NGFW.
Для просмотра всех маршрутов, содержащихся в маршрутизаторе по умолчанию, используется команда:
Admin@UGOS> show network route
Параметр
Описание
ip
IP-адрес, маршрут до которого необходимо отобразить.
connected
Маршруты к сетям, которые подключены непосредственно к интерфейсам NGFW. Данные маршруты помечены символом С в списке маршрутов.
kernel
Отображение маршрутов, добавленных администратором; маршруты помечены символом К в списке маршрутов.
summary
Количество активных подключений и записей FIB (Forwarding Information Base).
ospf
Отображение маршрутов, полученных- с помощью протокола динамической маршрутизации OSPF. Данные маршруты помечены символом О в списке маршрутов.
bgp
Отображение маршрутов, полученных с помощью протокола динамической маршрутизации BGP; маршруты помечены символом В в списке маршрутов.
rip
Отображение маршрутов, полученных- с помощью протокола динамической маршрутизации RIP; маршруты помечены символом R в списке маршрутов.
virtual-router
Виртуальный маршрутизатор, маршруты которого необходимо отобразить (<vrf-name> | all).
Мониторинг OSPF
Диагностика и мониторинг OSPF производится с использованием команд, представленных ниже. Отображение информации OSPF:
Admin@UGOS> show network ospf
Параметр
Описание
virtual-router
Виртуальный маршрутизатор, для которого необходимо отобразить общую информацию об OSPF: (<vrf-name> | all).
route
Отображение маршрутов, полученных по протоколу динамической маршрутизации OSPF.
database
Отображена информация:
Router Link States: пакеты LSA (Link State Advertisement) Type 1 (Router LSA) передаются маршрутизаторами в пределах одной зоны; используются для передачи информации соседним маршрутизаторам, находящихся в той же зоне, о собственных интерфейсах и своих соседях.
Network Link States: пакеты LSA Type 2 (Network LSA) генерируются выделенным маршрутизатором (Designated Router, DR) для описания всех маршрутизаторов, подключённых к его сегменту напрямую.
Summary Link States: пакеты LSA Type 3 (Summary LSA) формируются с помощью пограничных маршрутизаторов (Area Border Routers, ABR). Пакеты содержат суммарное сообщение о непосредственно подключенной к ним зоне, сообщают информацию в другие зоны, к которым подключен ABR и передаются в несколько зон по всей сети.
ASBR-Summary Link States: пакеты LSA Type 4 (ASBR Summary LSA) сообщают о присутствии автономного пограничного маршрутизатора (Autonomous System Border Router, ASBR) в других областях.
Приоритет. Маршрутизатор с наивысшим приоритет становится выделенным маршрутизатором — Designated Router, DR. Если приоритеты маршрутизаторов равны, то будет выбран маршрутизатор с наибольшим идентификатором.
Состояние, например, Full/DR, Full/BDR, Full/Drother.
Интервал простоя — время, через которое соединение с OSPF-соседом будет разорвано, если не будет получен пакет Hello.
IP-адрес интерфейса, к которому подключен сосед.
Интерфейс, на котором сформировано соседство маршрутизаторов.
Доступно указание дополнительных параметров:
interface-name — будут отображены соседи, с которыми установлена смежность на указанном интерфейсе.
all — отображение таблицы со всеми соседях.
detail — отображение подробной информации о соседях.
interface
Отображение информации об интерфейсах OSPF.
Дополнительно:
interface-name — отображение информации об указанном интерфейсе.
traffic — статистика переданных и принятых пакетов OSPF (Hello, Database Description, Link State Request, Link State Update, Link State Acknowledgment).
border-routers
Отображение информации о пограничных маршрутизаторах.
Команда для перезапуска процесса OSPF:
Admin@UGOS> clear network ospf
Параметр
Описание
virtual-router
Виртуальный маршрутизатор, на котором необходимо перезапустить OSPF (<vrf-name> | all).
interface
Интерфейс, на котором необходимо перезапустить процесс OSPF.
Мониторинг BGP
В данном разделе представлены команды диагностики и мониторинга BGP.
Для отображения таблицы BGP маршрутизатора по умолчанию:
Admin@UGOS> show network bgp
Параметр
Описание
virtual-router
Виртуальный маршрутизатор, маршруты которого необходимо отобразить (<vrf-name> | all).
ip
IP-адрес, маршрут до которого необходимо отобразить.
statistics
Отображение статистики BGP.
neighbors
Отображение информации о BGP-соседях (доступно отображение информации об определённом соседе; необходимо указание IP-адреса соседа).
Дополнительные параметры, доступные при указании соседа:
received-routes — принятые маршруты до применения к ним входящей политики (Routemap и фильтры).
advertised-routes — маршруты, которые анонсируются указанному соседу.
summary
Просмотр краткой информации о соседях.
Для выполнения повторного запроса информации у BGP-соседей (обрыв TCP-сессии):
Admin@UGOS> clear network bgp
Далее доступно указание параметров:
Параметр
Описание
ip
IP-адрес соседа, с которым произойдет обрыв соединения для обновления информации.
virtual-router
Название виртуального маршрутизатора, которому принадлежит BGP-сосед.
В случае, если на соседних устройствах поддерживается метод Route Refresh, то можно избежать полной реинициализации сессии с соседом, отправив специальное сообщение типа ROUTE REFRESH. Отправка данного сообщения позволяет обновить информацию без прерывания в маршрутизации.
Для обновления информации без обрыва сессии с соседом используется команда:
Admin@UGOS> clear network bgp ip <neighbor-ip> soft in | out
Admin@UGOS> clear network bgp virtual-router <vrf-name> ip <neighbor-ip> soft in | out
Мониторинг RIP
В данном разделе представлены команды диагностики и мониторинга RIP.
Для отображения информации RIP из таблицы маршрутизатора по умолчанию (адрес сети, полученный по RIP; адрес Next Hop; метрика маршрута; тэг маршрута, предназначенный для разделения внутренних и внешних маршрутов; интервал времени, по истечении которого маршрут будет признан недействительным, если информация о нём не была получена):
Admin@UGOS> show network rip
Далее доступно использование следующих параметров:
Параметр
Описание
status
Текущий статус RIP: версия, таймеры, фильтры, распространяемые маршруты и т.п.
virtual-router
Виртуальный маршрутизатор, информацию о маршрутах RIP которого необходимо отобразить: <vrf-name> | all.
Мониторинг мультикаст
Для просмотра таблицы маршрутизации мультикаст-трафика на маршрутизаторе по умолчанию:
Admin@UGOS> show network mroute
Далее доступно использование следующих параметров:
Параметр
Описание
count
Отображение статистики о группе и источнике.
virtual-router
Выбор виртуального маршрутизатора: <vrf-name> | all.
summary
Суммарная информация о каждой записи в таблице мультикаст-маршрутизации.
ip — отображение записи для определённого IP-адреса; далее необходимо указать IP-адрес.
ip
Отображение записи для определённого IP-адреса; необходимо указать IP-адрес.
Мониторинг IGMP
Мониторинг работы протокола IGMP (Internet Group Management Protocol) доступен с использованием следующей команды (указание параметров является обязательным). Для отображения информации для маршрутизатора по умолчанию:
Admin@UGOS> show network igmp
Если необходимо отобразить информацию для определённого виртуального маршрутизатора или всех:
Admin@UGOS> show network igmp virtual-router <vrf-name> | all
Далее необходимо указать один из параметров:
Параметр
Описание
statistics
Статистика по сообщениям:
IGMP Membership Query — сообщение сервера клиенту, в котором сервер просит обновить подписку на получаемые клиентом группы иначе, сервер перестанет вещать группу/группы в данный сегмент сети.
IGMP Leave — сообщение клиента серверу; клиент сообщает, что желает убрать мультикаст-группу из списка получаемых.
IGMP Membership Report — сообщение клиента серверу; клиент желает получать трафик этой группы.
join
Отображение информации о группах IGMP.
sources
Отображение информации об источниках мультикаст-трафика.
groups
Отображение мультикаст-групп, полученных по протоколу IGMP. Отображается следующая информация:
Общее количество групп.
Интерфейс, через который группа доступна.
Адрес группы.
Режим INCLUDE или EXCLUDE.
Таймер, определяющий время, через которое маршрутизатор перестанет пересылать трафик на интерфейс, если не будет получен ответный IGMP Membership Report.
Время, в течение которого группа известна.
interface
Отображение информации об интерфейсе, связанной с мультикаст-маршрутизацией:
Название интерфейса, его статус и адрес.
Версия IGMP.
Опрашиватель и его адрес (Querier).
Таймер, который обнуляется каждый раз, как приходит сообщение Query с меньшим IP-адресом.
Доступно указание:
interface-name — название интерфейса.
detail — подробная информация об интерфейсе.
Мониторинг PIM
Мониторинг работы протокола PIM (Protocol-Independent Multicast) доступен с использованием следующей команды (указание параметров является обязательным). Для отображения информации для маршрутизатора по умолчанию:
Admin@UGOS> show network pim
Если необходимо отобразить информацию для определённого виртуального маршрутизатора или всех:
Admin@UGOS> show network pim virtual-router <vrf-name> | all
Далее необходимо указать один из параметров:
Параметр
Описание
vxlan-groups
Информация о группах VXLAN, использующихся в мультивещании.
statistics
Статистика протокола.
join
Отображение информации о группах PIM протокола.
neighbor
Информация о соседях:
Интерфейс, через который была получена информация о соседе.
Адрес соседа.
Время, с последнего начала работы PIM.
Время, в течении которого сосед доступен.
Приоритет DR.
next-hop
Записи о адресах next-hop.
state
Информация об известных S, G маршрутах, IIF (Incoming Interface), OIL (Outgoing Interface List).
rp-info
Отображение информации о Rendezvous Point (RP): адрес, разрешённые ASM группы с данного RP.
interface
Информация об интерфейсах, настроенных для работы PIM: название и адрес интерфейса, адрес DR и т.п.
