Команды диагностики позволяют просмотреть следующее:
Доступность сетевых ресурсов.
Статистику и информацию об интерфейсах.
Информацию о записях ARP.
Произвести отслеживание пакетов по установленным правилам.
Мониторинг трафика.
Информацию о маршрутах.
Мониторинг состояния кластера.
Мониторинг заблокированных СОВ IP-адресов.
Отображение системной информации.
Диагностику работы протоколов динамической маршрутизации.
Информацию об авторизованных пользователях.
Базовые команды управления
Для просмотра текущих даты и времени на узле используется команда:
Admin@nodename> date
Для перезагрузки узла используется команда:
Admin@nodename> reboot
Для выключения узла используется команда:
Admin@nodename> shutdown
Для перехода в режим конфигурации узла используется команда:
Admin@nodename> configure
Для выхода из интерфейса CLI используется команда:
Admin@nodename> exit
Команды проверки доступности сетевых ресурсов
Для проверки доступности определенного хоста утилитой ping используется команда:
Admin@nodename> ping <parameters>
С командой могут использоваться следующие параметры:
Параметр
Описание
host
IP-адрес или доменное имя хоста.
count
Количество отправляемых echo-запросов. Если параметр не задан, то отправка пакетов будет происходить, пока соединение не будет прервано пользователем (чтобы прервать отправку: Ctrl+C).
interface
Адрес выбранного интерфейса будет использоваться в качестве адреса источника для выполнения ping.
interval
Интервал времени, через который будет производиться отправка пакетов; указывается в секундах.
mtu
Размер mtu отправляемых пакетов.
numeric
Не резолвить имена.
ttl
Время жизни пакета.
timestamp
Отображение временных меток.
virtual-router
Имя виртуального маршрутизатора.
Для трассировки соединения до определённого хоста используется команда:
Admin@nodename> traceroute <parameters>
С командой могут использоваться следующие параметры:
Параметр
Описание
host
IP-адрес или доменное имя хоста, для которого производится трассировка.
interface
Интерфейс, с которого будут отправляться пакеты.
min-interval
Минимальный интервал между пакетами.
not-map-ip
Не искать hostname для IP-адреса при отображении.
port
Указать порт вместо порта по умолчанию (1 — 65535).
use-icmp-echo
Использовать ICMP echo.
Для проверки доступности стороннего HTTP/HTTPS-сервера используется команда:
Admin@nodename> netcheck <parameters>
С командой могут использоваться следующие параметры:
Параметр
Описание
address
Доменное имя хоста для проверки доступности по TCP или URL для HTTP.
type
Проверка доступности по:
http.
tcp (если порт не указан, то используется порт 80).
check-cert
Проверка SSL-сертификата.
dns-ip
IP-адрес сервера DNS.
dns-tcp
Использование TCP вместо UDP для DNS-запроса.
data
Запрос содержимого сайта. По умолчанию запрашиваются только заголовки.
timeout
Максимальный таймаут ожидания ответа от веб-сервера.
user-agent
Параметр для указания типа браузера (useragent). На некоторых сайтах может быть разрешен доступ только с определенных браузеров. Значение параметра указывается в двойных кавычках.
Для проверки записи DNS домена используется команда:
Admin@nodename> dig <parameters>
С командой могут использоваться следующие параметры:
Параметр
Описание
host
Доменное имя хоста или IP-адрес для реверсивного поиска.
dns
Указание IP-адреса DNS-сервера.
reverse-lookup
Получение имени хоста по IP-адресу.
tcp
Использование протокола TCP вместо UDP.
Для проверки принадлежности IP-адреса по текущей базе GeoIP используется команда:
Admin@nodename> check-geoip ip <IP-address>
Статистика и информация об интерфейсах
Для отображения информации об интерфейсах используется следующая команда:
Admin@nodename> show network interface
Для отображения статистики определенного интерфейса и информации о нём используется следующая команда:
Admin@nodename> show network interface <interface-name>
Также доступно отображение только информации или только статистики интерфейса:
Admin@nodename> show network interface <interface-name> type info
Admin@nodename> show network interface <interface-name> type statistics
Для отображения списка упорядоченных имён сетевых интерфейсов и соответствующих им физических адресов предназначена команда:
Admin@nodename> show network interfac-mapping
Упорядочивание интерфейсов производится в соответствии с номером порта в шине PCI.
Для удаления списка используется следующая команда:
Admin@nodename> clear network interfac-mapping
После перезагрузки устройства UserGate список обновится и станет доступным для отображения. Эту операцию необходимо выполнять после добавления сетевых портов в настроенное устройство UserGate.
ARP-записи
Для просмотра информации о записях ARP:
Admin@nodename> show network arp
При просмотре записей доступно использование фильтров. Параметры фильтрации:
Параметр
Описание
node-name
Название узла кластера, ARP-записи которого необходимо отобразить.
Далее необходимо указать интерфейс или IP-адрес хоста:
Admin@nodename> show network arp node-name <node-name> interface <iface-name>
Admin@nodename> show network arp node-name <node-name> host <ip>
interface
Название интерфейса NGFW.
host
IP-адрес устройства.
mac
MAC-адрес устройства.
Admin@nodename> show network arp host <IP-address>
Admin@nodename> show network arp interface <interface-name>
Admin@nodename> show network arp mac <MAC-address>
Просмотр записей ARP также доступен в режиме конфигурации; команды идентичны командам в режиме диагностики и мониторинга.
ПримечаниеВ режиме диагностики и мониторинга действия производятся с системными записями; в режиме конфигурации – со статическими записями ARP.
Добавление статических ARP-записей доступно в режиме конфигурации с использованием следующей команды:
Admin@nodename# set network arp host <IP-address> interface <interface-name> mac <MAC-address>
Параметры команды:
Параметр
Описание
node-name
Название узла кластера, на котором будет создана запись ARP. Далее необходимо указать название интерфейса, IP и MAC-адреса устройства.
interface
Название интерфейса NGFW.
host
IP-адрес устройства.
mac
MAC-адрес устройства.
Команды удаления системных и статических ARP-записей имеют аналогичную структуру, отличается действие, которое необходимо выполнить:
clear: удаление системных записей в режиме диагностики и мониторинга;
delete: удаление статических записей в режиме конфигурации.
Далее будет представлен формат команд удаления на примере команд режима диагностики и мониторинга.
Чтобы произвести отслеживание пакетов, используется следующая команда:
Admin@nodename> show network trace
Будет отображена следующая информация: IP-адреса источника и назначения, протокол, названия портов источника и назначения UserGate, номера TCP/UDP портов источника и назначения. Команда также доступна в режиме конфигурации.
Чтобы выйти из режима отслеживания пакетов - Ctrl+C.
Правила отслеживания пакетов создаются и настраиваются в режиме конфигурации на уровне network. Для создания правила используется следующая команда:
Admin@nodename# create network trace-rules
Далее указываются следующие параметры:
Параметр
Описание
enabled
Включение/отключение правила отслеживания пакетов:
on.
off.
name
Название правила. Если название правила не было задано, то оно задаётся автоматически в формате: trace_rule_N (где N — порядковый номер создаваемого правила отслеживания пакетов).
zones-in
Список зон источников трафика.
source-ip-lists
Список групп IP-адресов источника пакета. Подробнее о создании групп IP-адресов с использованием интерфейса командной строки читайте в разделе Настройка IP-адресов.
source-ip-addresses
Список IP-адресов источника пакета.
dest-ip-lists
Список групп IP-адресов назначения пакета. Подробнее о создании групп IP-адресов с использованием интерфейса командной строки читайте в разделе Настройка IP-адресов.
Также доступно удаление значений отдельных параметров правил. Для удаления доступны:
zones-in.
source-ip-lists.
source-ip-addresses.
dest-ip-lists.
dest-ip-addresses.
services.
Мониторинг трафика
Следующая команда используется для мониторинга трафика:
Admin@nodename> show traffic
Параметр
Описание
flows
Отображение информации о входящем и исходящем потоках. Доступна фильтрация по:
source-ip — IP-адрес источника.
source-port — порт источника.
dest-ip — IP-адрес назначения.
dest-port — порт назначения.
vlan-tag — тег VLAN.
interface-name — название интерфейса.
node-name — название узла.
protocol — протокол.
connections
Отображение информации о соединениях (протокол и его номер; время жизни записи; IP-адреса источника и назначения, порты источника и назначения; IP-адреса источника и назначения, порты источника и назначения, которые ожидаются в ответе; статус сессии (UNREPLIED или ASSURED); количество переданных и принятых пакетов и байтов; зона источника; является ли эта сессия сессией известного NGFW пользователя и т.п.).
Фильтрация доступна по:
protocol — протокол.
source-ip — IP-адрес источника.
dest-ip — IP-адрес назначения.
node-name — название узла.
expect — отображение неустановленных соединений:
on.
off.
capture
Отображение захвата пакетов.
Доступна фильтрация по следующим параметрам:
destination — IP-адрес назначения
destination-port — порт назначения.
ipv4-protocol — номер протокола IPv4 (0-255).
interfaces — название интерфейса.
protocol — выбор протокола.
rule — выбор имеющегося правила для захвата пакетов.
source — IP-адрес источника.
source-port — порт источника.
Пример команды мониторинга трафика:
Admin@nodename> show traffic connections node-name utmcore@dineanoulwer dest-ip 192.168.0.100 expect on
LLDP
Просмотр информации, полученной по LLDP (Link Layer Discovery Protocol), доступен с использованием команд:
Admin@nodename> show lldp
Admin@nodename> show lldp neighbors
Admin@nodename> show lldp statistics
Параметры команды:
Параметр
Описание
neighbors
Cписок LLDP-совместимых устройств, на которых включена поддержка объявления LLDP.
Chassis ID — идентификатор шасси.
SysName — имя системы.
SysDescr — описание системы, содержит информацию об оборудовании и операционной системе устройства.
Management — адрес соседнего устройства (содержит адреса IPv4 и IPv6, номер интерфейса указанного адреса управления).
Capability — функции устройства (например, маршрутизатор, коммутатор и т.п.).
Port ID — идентификатор порта с которого был передан LLDPDU (Link Layer Discovery Protocol Data Unit).
PortDescr — описание порта.
TTL — время жизни передаваемых пакетов LLDP.
statistics
Cтатистика интерфейсов, в настройках которых был указан профиль LLDP:
Interface — название интерфейса.
Transmitted — общее количество кадров LLDP, переданных через интерфейс.
Received — общее количество кадров LLDP, полученных на интерфейсе.
Discarded — число полученных на этом интерфейсе кадров LLDP, которые были отброшены.
Unrecognized — количество кадров LLDP с неподтверждённым содержимым, полученных на этом интерфейсе.
Ageout — в каждом кадре LLDP содержится информация о том, насколько долго является правильной информация LLDP (срок старения). Если в течение срока старения новых кадров не принято, информация LLDP удаляется.
Inserted — количество добавлений записей с информацией о соседях LLDP.
Deleted — количество удалений записей о соседях LLDP.
Данный раздел необходим для проведения диагностики и мониторинга маршрутной информации на NGFW.
Для просмотра всех маршрутов, содержащихся в маршрутизаторе по умолчанию, используется команда:
Admin@nodename> show network route
Параметр
Описание
ip
IP-адрес, маршрут до которого необходимо отобразить.
node-name
Выбор узла кластера.
connected
Маршруты к сетям, которые подключены непосредственно к интерфейсам NGFW. Данные маршруты помечены символом С в списке маршрутов.
kernel
Отображение маршрутов, добавленных администратором; маршруты помечены символом К в списке маршрутов.
summary
Количество активных подключений и записей FIB (Forwarding Information Base).
ospf
Отображение маршрутов, полученных с помощью протокола динамической маршрутизации OSPF. Данные маршруты помечены символом О в списке маршрутов.
bgp
Отображение маршрутов, полученных с помощью протокола динамической маршрутизации BGP; маршруты помечены символом В в списке маршрутов.
rip
Отображение маршрутов, полученных с помощью протокола динамической маршрутизации RIP; маршруты помечены символом R в списке маршрутов.
virtual-router
Виртуальный маршрутизатор, маршруты которого необходимо отобразить (<vrf-name> | all).
Мониторинг OSPF
Диагностика и мониторинг OSPF производится с использованием команд, представленных ниже. Отображение информации OSPF:
Admin@nodename> show network ospf
...
Admin@nodename> show network ospf <parameter>
Параметр
Описание
node-name
Выбор узла кластера.
virtual-router
Виртуальный маршрутизатор, для которого необходимо отобразить общую информацию об OSPF: (<vrf-name> | all).
route
Отображение маршрутов, полученных по протоколу динамической маршрутизации OSPF.
database
Отображена информация:
Router Link States: пакеты LSA (Link State Advertisement) Type 1 (Router LSA) передаются маршрутизаторами в пределах одной зоны; используются для передачи информации соседним маршрутизаторам, находящихся в той же зоне, о собственных интерфейсах и своих соседях.
Network Link States: пакеты LSA Type 2 (Network LSA) генерируются выделенным маршрутизатором (Designated Router, DR) для описания всех маршрутизаторов, подключённых к его сегменту напрямую.
Summary Link States: пакеты LSA Type 3 (Summary LSA) формируются с помощью пограничных маршрутизаторов (Area Border Routers, ABR). Пакеты содержат суммарное сообщение о непосредственно подключенной к ним зоне, сообщают информацию в другие зоны, к которым подключен ABR и передаются в несколько зон по всей сети.
ASBR-Summary Link States: пакеты LSA Type 4 (ASBR Summary LSA) сообщают о присутствии автономного пограничного маршрутизатора (Autonomous System Border Router, ASBR) в других областях.
Приоритет. Маршрутизатор с наивысшим приоритет становится выделенным маршрутизатором - Designated Router, DR. Если приоритеты маршрутизаторов равны, то будет выбран маршрутизатор с наибольшим идентификатором.
Состояние, например, Full/DR, Full/BDR, Full/Drother.
Интервал простоя — время, через которое соединение с OSPF-соседом будет разорвано, если не будет получен пакет Hello.
IP-адрес интерфейса, к которому подключен сосед.
Интерфейс, на котором сформировано соседство маршрутизаторов.
Доступно указание дополнительных параметров:
interface-name — будут отображены соседи, с которыми установлена смежность на указанном интерфейсе.
all — отображение таблицы со всеми соседях.
detail — отображение подробной информации о соседях.
interface
Отображение информации об интерфейсах OSPF.
Дополнительно:
interface-name — отображение информации об указанном интерфейсе.
traffic — статистика переданных и принятых пакетов OSPF (Hello, Database Description, Link State Request, Link State Update, Link State Acknowledgment).
border-routers
Отображение информации о пограничных маршрутизаторах.
Команда для перезапуска процесса OSPF:
Admin@nodename> clear network ospf <parameter>
Параметр
Описание
interface-name
Название интерфейса.
node-name
Выбор узла кластера.
virtual-router
Виртуальный маршрутизатор, на котором необходимо перезапустить OSPF (<vrf-name> | all).
interface
Интерфейс, на котором необходимо перезапустить процесс OSPF (<interface-name>).
neighbor
Выбор соседей в отношении которых будет перезапущен процесс
Мониторинг BGP
В данном разделе представлены команды диагностики и мониторинга BGP.
Для отображения таблиц BGP маршрутизатора:
Admin@nodename> show network bgp
...
Admin@nodename> show network bgp <parameter>
Параметр
Описание
node-name
Выбор узла кластера.
virtual-router
Виртуальный маршрутизатор, маршруты которого необходимо отобразить (<vrf-name> | all).
ip
IP-адрес, маршрут до которого необходимо отобразить.
statistics
Отображение статистики BGP.
neighbors
Отображение информации о BGP-соседях (доступно отображение информации об определённом соседе; необходимо указание IP-адреса соседа).
Дополнительные параметры, доступные при указании соседа:
received-routes — принятые маршруты до применения к ним входящей политики (Routemap и фильтры).
advertised-routes — маршруты, которые анонсируются указанному соседу.
summary
Просмотр краткой информации о соседях.
Для выполнения повторного запроса информации у BGP-соседей (обрыв TCP-сессии):
Admin@nodename> clear network bgp
Далее доступно указание параметров:
Параметр
Описание
ip
IP-адрес соседа, с которым произойдет обрыв соединения для обновления информации.
node-name
Выбор узла кластера.
virtual-router
Название виртуального маршрутизатора, которому принадлежит BGP-сосед.
В случае, если на соседних устройствах поддерживается метод Route Refresh, то можно избежать полной реинициализации сессии с соседом, отправив специальное сообщение типа ROUTE REFRESH. Отправка данного сообщения позволяет обновить информацию без прерывания в маршрутизации.
Для обновления информации без обрыва сессии с соседом используется команда:
Admin@nodename> clear network bgp ip <neighbor-ip> soft in | out
Admin@nodename> clear network bgp virtual-router <vrf-name> ip <neighbor-ip> soft in | out
Мониторинг RIP
В данном разделе представлены команды диагностики и мониторинга RIP.
Для отображения информации RIP из таблицы маршрутизатора по умолчанию (адрес сети, полученный по RIP; адрес Next Hop; метрика маршрута; тэг маршрута, предназначенный для разделения внутренних и внешних маршрутов; интервал времени, по истечении которого маршрут будет признан недействительным, если информация о нём не была получена):
Admin@nodename> show network rip
...
Admin@nodename> show network rip <parameter>
Доступно использование следующих параметров:
Параметр
Описание
node-name
Выбор узла кластера.
status
Текущий статус RIP: версия, таймеры, фильтры, распространяемые маршруты и т.п.
virtual-router
Виртуальный маршрутизатор, информацию о маршрутах RIP которого необходимо отобразить: <vrf-name> | all.
Мониторинг мультикаст-трафика
Для просмотра таблицы маршрутизации мультикаст-трафика на маршрутизаторе по умолчанию:
Admin@nodename> show network mroute
...
Admin@nodename> show network mroute <parameter>
Доступно использование следующих параметров:
Параметр
Описание
node-name
Выбор узла кластера.
count
Отображение статистики о группе и источнике.
virtual-router
Выбор виртуального маршрутизатора: <vrf-name> | all.
summary
Суммарная информация о каждой записи в таблице мультикаст-маршрутизации.
ip — отображение записи для определённого IP-адреса; далее необходимо указать IP-адрес.
ip
Отображение записи для определённого IP-адреса; необходимо указать IP-адрес.
Мониторинг IGMP
Мониторинг работы протокола IGMP (Internet Group Management Protocol) доступен с использованием следующей команды (указание параметров является обязательным). Для отображения информации для маршрутизатора по умолчанию:
Admin@nodename> show network igmp <parameters>
Далее необходимо указать параметры:
Параметр
Описание
node-name
Выбор узла кластера.
virtual-router
Выбор виртуального маршрутизатора.
statistics
Статистика по сообщениям:
IGMP Membership Query — сообщение сервера клиенту, в котором сервер просит обновить подписку на получаемые клиентом группы иначе, сервер перестанет вещать группу/группы в данный сегмент сети.
IGMP Leave — сообщение клиента серверу; клиент сообщает, что желает убрать мультикаст-группу из списка получаемых.
IGMP Membership Report — сообщение клиента серверу; клиент желает получать трафик этой группы.
join
Отображение информации о группах IGMP.
sources
Отображение информации об источниках мультикаст-трафика.
groups
Отображение мультикаст-групп, полученных по протоколу IGMP. Отображается следующая информация:
Общее количество групп.
Интерфейс, через который группа доступна.
Адрес группы.
Режим INCLUDE или EXCLUDE.
Таймер, определяющий время, через которое маршрутизатор перестанет пересылать трафик на интерфейс, если не будет получен ответный IGMP Membership Report.
Время, в течение которого группа известна.
interface
Отображение информации об интерфейсе, связанной с мультикаст-маршрутизацией:
Название интерфейса, его статус и адрес.
Версия IGMP.
Опрашиватель и его адрес (Querier).
Таймер, который обнуляется каждый раз, как приходит сообщение Query с меньшим IP-адресом.
Доступно указание:
interface-name — название интерфейса.
detail — подробная информация об интерфейсе.
Мониторинг PIM
Мониторинг работы протокола PIM (Protocol-Independent Multicast) доступен с использованием следующей команды (указание параметров является обязательным). Для отображения информации для маршрутизатора по умолчанию:
Admin@ndename> show network pim <parameter>
Далее необходимо указать параметры:
Параметр
Описание
node-name
Выбор узла кластера, для которого необходимо отобразить информацию.
virtual-router
Выбор виртуального маршрутизатора, для которого необходимо отобразить информацию.
vxlan-groups
Информация о группах VXLAN, использующихся в мультивещании.
statistics
Статистика протокола.
join
Отображение информации о группах PIM протокола.
neighbor
Информация о соседях:
Интерфейс, через который была получена информация о соседе.
Адрес соседа.
Время, с последнего начала работы PIM.
Время, в течении которого сосед доступен.
Приоритет DR.
next-hop
Записи о адресах next-hop.
state
Информация об известных S, G маршрутах, IIF (Incoming Interface), OIL (Outgoing Interface List).
rp-info
Отображение информации о Rendezvous Point (RP): адрес, разрешённые ASM группы с данного RP.
interface
Информация об интерфейсах, настроенных для работы PIM: название и адрес интерфейса, адрес DR и т.п.
Список разрешённых групповых адресов для SSM (Source Specific Multicast).
secondary
Отображение информации об интерфейсе с указанием дополнительного IP-адреса.
Мониторинг состояния кластера
Команды мониторинга состояния кластера могут быть запущены на любом из узлов, входящих в кластер. Они позволяют получить информацию о текущем состоянии кластера, его узлов, режиме работы кластера и истории переключения состояний кластера.
Для мониторинга состояния кластера используется следующая команда:
Admin@nodename> show ha-cluster state
Для мониторинга состояния узлов кластера используется команда:
Admin@nodename> show ha-cluster tablestat
Для отображения информации об истории переключения состояния кластера используется команда:
Admin@nodename> show ha-cluster failover
Мониторинг заблокированных СОВ IP-адресов
Для просмотра таблицы с заблокированными системой СОВ IP-адресами используется команда:
Admin@nodename> show blocked-ip
Для разблокирования отдельных IP-адресов используется команда:
Для просмотра версии ПО системы используется команда:
Admin@nodename> show system version
Для отображения информации о количестве активных TCP/UDP/ICMP сессий на системе используется команда:
Admin@nodename> show system sessions
Для отображения информации о количестве активных сессий по отдельным протоколам или временным интервалам используется команда:
Admin@nodename> show system sessions counters [ parameters ]
Очистить статистику:
Admin@nodename> clear system sessions
Диагностика работы протоколов динамической маршрутизации
С помощью команд этого раздела можно просматривать события debug-логов протоколов динамической маршрутизации. Включение в debug-лог событий конкретного протокола производится командой debug в режиме конфигурации (подробнее читайте в разделе Режим конфигурации).
Для просмотра записей debug-лога используется команда:
