Параметр
|
Описание
|
node-name
|
Название узла кластера, на котором будет создана запись ARP. Далее необходимо указать название интерфейса, IP и MAC-адреса устройства.
|
interface
|
Название интерфейса NGFW.
|
host
|
IP-адрес устройства.
|
mac
|
MAC-адрес устройства.
|
Команды удаления системных и статических ARP-записей имеют аналогичную структуру, отличается действие, которое необходимо выполнить:
Далее будет представлен формат команд удаления на примере команд режима диагностики и мониторинга.
Для удаления системной записи:
Admin@nodename> clear network arp interface <iface-name> host <ip>
Чтобы удалить запись на другом узле кластера:
Admin@nodename> clear network arp interface <iface-name> node-name <node-name> host <ip>
Следующая команда позволяет удалить все системные записи на заданном интерфейсе (можно указать несколько интерфейсов):
Admin@nodename> clear network arp interfaces [ <iface-name1> <iface-name2> … ]
Для удаления всех системных записей интерфейса другого узла:
Admin@nodename> clear network arp interfaces [ <iface-name1> <iface-name2> … ] node-name <node-name>
Отслеживание пакетов
Чтобы произвести отслеживание пакетов, используется следующая команда:
Admin@nodename> show network trace
Будет отображена следующая информация: IP-адреса источника и назначения, протокол, названия портов источника и назначения UserGate, номера TCP/UDP портов источника и назначения. Команда также доступна в режиме конфигурации.
Чтобы выйти из режима отслеживания пакетов - Ctrl+C.
Правила отслеживания пакетов создаются и настраиваются в режиме конфигурации на уровне network. Для создания правила используется следующая команда:
Admin@nodename# create network trace-rules
Далее указываются следующие параметры:
Параметр
|
Описание
|
enabled
|
Включение/отключение правила отслеживания пакетов:
|
name
|
Название правила. Если название правила не было задано, то оно задаётся автоматически в формате: trace_rule_N (где N — порядковый номер создаваемого правила отслеживания пакетов).
|
zones-in
|
Список зон источников трафика.
|
source-ip-lists
|
Список групп IP-адресов источника пакета. Подробнее о создании групп IP-адресов с использованием интерфейса командной строки читайте в разделе Настройка IP-адресов.
|
source-ip-addresses
|
Список IP-адресов источника пакета.
|
dest-ip-lists
|
Список групп IP-адресов назначения пакета. Подробнее о создании групп IP-адресов с использованием интерфейса командной строки читайте в разделе Настройка IP-адресов.
|
dest-ip-addresses
|
Список IP-адресов назначения пакета.
|
services
|
Тип сервиса. Подробнее читайте в разделе Настройка сервисов.
|
Пример команды создания правила:
Admin@nodename# create network trace-rules enabled on name "Test trace" source-ip-addresses [ 192.168.0.100 ]
Для редактирования правила:
Admin@nodename# set network trace-rules <trace-rule-name>
Admin@nodename# set network trace-rules "Test trace" services [ "[SYSTEM] Any ICMP" ]
Для изменения доступны параметры, представленные в таблице выше.
Чтобы просмотреть существующие правила отслеживания пакетов:
Admin@nodename# show network trace-rules
Для удаления правила отслеживания пакетов используется следующая команда:
Admin@nodename# delete network trace-rules <trace-rule-name>
Также доступно удаление значений отдельных параметров правил. Для удаления доступны:
-
zones-in.
-
source-ip-lists.
-
source-ip-addresses.
-
dest-ip-lists.
-
dest-ip-addresses.
-
services.
Мониторинг трафика
Следующая команда используется для мониторинга трафика:
Admin@nodename> show traffic
Параметр
|
Описание
|
flows
|
Отображение информации о входящем и исходящем потоках. Доступна фильтрация по:
-
source-ip — IP-адрес источника.
-
source-port — порт источника.
-
dest-ip — IP-адрес назначения.
-
dest-port — порт назначения.
-
vlan-tag — тег VLAN.
-
interface-name — название интерфейса.
-
node-name — название узла.
-
protocol — протокол.
|
connections
|
Отображение информации о соединениях (протокол и его номер; время жизни записи; IP-адреса источника и назначения, порты источника и назначения; IP-адреса источника и назначения, порты источника и назначения, которые ожидаются в ответе; статус сессии (UNREPLIED или ASSURED); количество переданных и принятых пакетов и байтов; зона источника; является ли эта сессия сессией известного NGFW пользователя и т.п.).
Фильтрация доступна по:
-
protocol — протокол.
-
source-ip — IP-адрес источника.
-
dest-ip — IP-адрес назначения.
-
node-name — название узла.
-
expect — отображение неустановленных соединений:
|
capture
|
Отображение захвата пакетов.
Доступна фильтрация по следующим параметрам:
-
destination — IP-адрес назначения
-
destination-port — порт назначения.
-
ipv4-protocol — номер протокола IPv4 (0-255).
-
interfaces — название интерфейса.
-
protocol — выбор протокола.
-
rule — выбор имеющегося правила для захвата пакетов.
-
source — IP-адрес источника.
-
source-port — порт источника.
|
Пример команды мониторинга трафика:
Admin@nodename> show traffic connections node-name utmcore@dineanoulwer dest-ip 192.168.0.100 expect on
LLDP
Просмотр информации, полученной по LLDP (Link Layer Discovery Protocol), доступен с использованием команд:
Admin@nodename> show lldp
Admin@nodename> show lldp neighbors
Admin@nodename> show lldp statistics
Параметры команды:
Параметр
|
Описание
|
neighbors
|
Cписок LLDP-совместимых устройств, на которых включена поддержка объявления LLDP.
-
Chassis ID — идентификатор шасси.
-
SysName — имя системы.
-
SysDescr — описание системы, содержит информацию об оборудовании и операционной системе устройства.
-
Management — адрес соседнего устройства (содержит адреса IPv4 и IPv6, номер интерфейса указанного адреса управления).
-
Capability — функции устройства (например, маршрутизатор, коммутатор и т.п.).
-
Port ID — идентификатор порта с которого был передан LLDPDU (Link Layer Discovery Protocol Data Unit).
-
PortDescr — описание порта.
-
TTL — время жизни передаваемых пакетов LLDP.
|
statistics
|
Cтатистика интерфейсов, в настройках которых был указан профиль LLDP:
-
Interface — название интерфейса.
-
Transmitted — общее количество кадров LLDP, переданных через интерфейс.
-
Received — общее количество кадров LLDP, полученных на интерфейсе.
-
Discarded — число полученных на этом интерфейсе кадров LLDP, которые были отброшены.
-
Unrecognized — количество кадров LLDP с неподтверждённым содержимым, полученных на этом интерфейсе.
-
Ageout — в каждом кадре LLDP содержится информация о том, насколько долго является правильной информация LLDP (срок старения). Если в течение срока старения новых кадров не принято, информация LLDP удаляется.
-
Inserted — количество добавлений записей с информацией о соседях LLDP.
-
Deleted — количество удалений записей о соседях LLDP.
|
Маршруты
Данный раздел необходим для проведения диагностики и мониторинга маршрутной информации на NGFW.
Для просмотра всех маршрутов, содержащихся в маршрутизаторе по умолчанию, используется команда:
Admin@nodename> show network route
Параметр
|
Описание
|
ip
|
IP-адрес, маршрут до которого необходимо отобразить.
|
node-name
|
Выбор узла кластера.
|
connected
|
Маршруты к сетям, которые подключены непосредственно к интерфейсам NGFW. Данные маршруты помечены символом С в списке маршрутов.
|
kernel
|
Отображение маршрутов, добавленных администратором; маршруты помечены символом К в списке маршрутов.
|
summary
|
Количество активных подключений и записей FIB (Forwarding Information Base).
|
ospf
|
Отображение маршрутов, полученных с помощью протокола динамической маршрутизации OSPF. Данные маршруты помечены символом О в списке маршрутов.
|
bgp
|
Отображение маршрутов, полученных с помощью протокола динамической маршрутизации BGP; маршруты помечены символом В в списке маршрутов.
|
rip
|
Отображение маршрутов, полученных с помощью протокола динамической маршрутизации RIP; маршруты помечены символом R в списке маршрутов.
|
virtual-router
|
Виртуальный маршрутизатор, маршруты которого необходимо отобразить (<vrf-name> | all).
|
Мониторинг OSPF
Диагностика и мониторинг OSPF производится с использованием команд, представленных ниже. Отображение информации OSPF:
Admin@nodename> show network ospf
...
Admin@nodename> show network ospf <parameter>
Параметр
|
Описание
|
node-name
|
Выбор узла кластера.
|
virtual-router
|
Виртуальный маршрутизатор, для которого необходимо отобразить общую информацию об OSPF: (<vrf-name> | all).
|
route
|
Отображение маршрутов, полученных по протоколу динамической маршрутизации OSPF.
|
database
|
Отображена информация:
-
Router Link States: пакеты LSA (Link State Advertisement) Type 1 (Router LSA) передаются маршрутизаторами в пределах одной зоны; используются для передачи информации соседним маршрутизаторам, находящихся в той же зоне, о собственных интерфейсах и своих соседях.
-
Network Link States: пакеты LSA Type 2 (Network LSA) генерируются выделенным маршрутизатором (Designated Router, DR) для описания всех маршрутизаторов, подключённых к его сегменту напрямую.
-
Summary Link States: пакеты LSA Type 3 (Summary LSA) формируются с помощью пограничных маршрутизаторов (Area Border Routers, ABR). Пакеты содержат суммарное сообщение о непосредственно подключенной к ним зоне, сообщают информацию в другие зоны, к которым подключен ABR и передаются в несколько зон по всей сети.
-
ASBR-Summary Link States: пакеты LSA Type 4 (ASBR Summary LSA) сообщают о присутствии автономного пограничного маршрутизатора (Autonomous System Border Router, ASBR) в других областях.
|
neighbor
|
Отображение информации о соседях:
-
Идентификатор соседа (идентификатор маршрутизатора).
-
Приоритет. Маршрутизатор с наивысшим приоритет становится выделенным маршрутизатором - Designated Router, DR. Если приоритеты маршрутизаторов равны, то будет выбран маршрутизатор с наибольшим идентификатором.
-
Состояние, например, Full/DR, Full/BDR, Full/Drother.
-
Интервал простоя — время, через которое соединение с OSPF-соседом будет разорвано, если не будет получен пакет Hello.
-
IP-адрес интерфейса, к которому подключен сосед.
-
Интерфейс, на котором сформировано соседство маршрутизаторов.
Доступно указание дополнительных параметров:
-
interface-name — будут отображены соседи, с которыми установлена смежность на указанном интерфейсе.
-
all — отображение таблицы со всеми соседях.
-
detail — отображение подробной информации о соседях.
|
interface
|
Отображение информации об интерфейсах OSPF.
Дополнительно:
-
interface-name — отображение информации об указанном интерфейсе.
-
traffic — статистика переданных и принятых пакетов OSPF (Hello, Database Description, Link State Request, Link State Update, Link State Acknowledgment).
|
border-routers
|
Отображение информации о пограничных маршрутизаторах.
|
Команда для перезапуска процесса OSPF:
Admin@nodename> clear network ospf <parameter>
Параметр
|
Описание
|
interface-name
|
Название интерфейса.
|
node-name
|
Выбор узла кластера.
|
virtual-router
|
Виртуальный маршрутизатор, на котором необходимо перезапустить OSPF (<vrf-name> | all).
|
interface
|
Интерфейс, на котором необходимо перезапустить процесс OSPF (<interface-name>).
|
neighbor
|
Выбор соседей в отношении которых будет перезапущен процесс
|
Мониторинг BGP
В данном разделе представлены команды диагностики и мониторинга BGP.
Для отображения таблиц BGP маршрутизатора:
Admin@nodename> show network bgp
...
Admin@nodename> show network bgp <parameter>
Параметр
|
Описание
|
node-name
|
Выбор узла кластера.
|
virtual-router
|
Виртуальный маршрутизатор, маршруты которого необходимо отобразить (<vrf-name> | all).
|
ip
|
IP-адрес, маршрут до которого необходимо отобразить.
|
statistics
|
Отображение статистики BGP.
|
neighbors
|
Отображение информации о BGP-соседях (доступно отображение информации об определённом соседе; необходимо указание IP-адреса соседа).
Дополнительные параметры, доступные при указании соседа:
-
received-routes — принятые маршруты до применения к ним входящей политики (Routemap и фильтры).
-
advertised-routes — маршруты, которые анонсируются указанному соседу.
|
summary
|
Просмотр краткой информации о соседях.
|
Для выполнения повторного запроса информации у BGP-соседей (обрыв TCP-сессии):
Admin@nodename> clear network bgp
Далее доступно указание параметров:
Параметр
|
Описание
|
ip
|
IP-адрес соседа, с которым произойдет обрыв соединения для обновления информации.
|
node-name
|
Выбор узла кластера.
|
virtual-router
|
Название виртуального маршрутизатора, которому принадлежит BGP-сосед.
|
В случае, если на соседних устройствах поддерживается метод Route Refresh, то можно избежать полной реинициализации сессии с соседом, отправив специальное сообщение типа ROUTE REFRESH. Отправка данного сообщения позволяет обновить информацию без прерывания в маршрутизации.
Для обновления информации без обрыва сессии с соседом используется команда:
Admin@nodename> clear network bgp ip <neighbor-ip> soft in | out
Admin@nodename> clear network bgp virtual-router <vrf-name> ip <neighbor-ip> soft in | out
Мониторинг RIP
В данном разделе представлены команды диагностики и мониторинга RIP.
Для отображения информации RIP из таблицы маршрутизатора по умолчанию (адрес сети, полученный по RIP; адрес Next Hop; метрика маршрута; тэг маршрута, предназначенный для разделения внутренних и внешних маршрутов; интервал времени, по истечении которого маршрут будет признан недействительным, если информация о нём не была получена):
Admin@nodename> show network rip
...
Admin@nodename> show network rip <parameter>
Доступно использование следующих параметров:
Параметр
|
Описание
|
node-name
|
Выбор узла кластера.
|
status
|
Текущий статус RIP: версия, таймеры, фильтры, распространяемые маршруты и т.п.
|
virtual-router
|
Виртуальный маршрутизатор, информацию о маршрутах RIP которого необходимо отобразить: <vrf-name> | all.
|
Мониторинг мультикаст-трафика
Для просмотра таблицы маршрутизации мультикаст-трафика на маршрутизаторе по умолчанию:
Admin@nodename> show network mroute
...
Admin@nodename> show network mroute <parameter>
Доступно использование следующих параметров:
Параметр
|
Описание
|
node-name
|
Выбор узла кластера.
|
count
|
Отображение статистики о группе и источнике.
|
virtual-router
|
Выбор виртуального маршрутизатора: <vrf-name> | all.
|
summary
|
Суммарная информация о каждой записи в таблице мультикаст-маршрутизации.
|
fill
|
Таблица маршрутизации мультикаст-трафика. Доступно указание параметра:
|
ip
|
Отображение записи для определённого IP-адреса; необходимо указать IP-адрес.
|
Мониторинг IGMP
Мониторинг работы протокола IGMP (Internet Group Management Protocol) доступен с использованием следующей команды (указание параметров является обязательным). Для отображения информации для маршрутизатора по умолчанию:
Admin@nodename> show network igmp <parameters>
Далее необходимо указать параметры:
Параметр
|
Описание
|
node-name
|
Выбор узла кластера.
|
virtual-router
|
Выбор виртуального маршрутизатора.
|
statistics
|
Статистика по сообщениям:
-
IGMP Membership Query — сообщение сервера клиенту, в котором сервер просит обновить подписку на получаемые клиентом группы иначе, сервер перестанет вещать группу/группы в данный сегмент сети.
-
IGMP Leave — сообщение клиента серверу; клиент сообщает, что желает убрать мультикаст-группу из списка получаемых.
-
IGMP Membership Report — сообщение клиента серверу; клиент желает получать трафик этой группы.
|
join
|
Отображение информации о группах IGMP.
|
sources
|
Отображение информации об источниках мультикаст-трафика.
|
groups
|
Отображение мультикаст-групп, полученных по протоколу IGMP. Отображается следующая информация:
-
Общее количество групп.
-
Интерфейс, через который группа доступна.
-
Адрес группы.
-
Режим INCLUDE или EXCLUDE.
-
Таймер, определяющий время, через которое маршрутизатор перестанет пересылать трафик на интерфейс, если не будет получен ответный IGMP Membership Report.
-
Время, в течение которого группа известна.
|
interface
|
Отображение информации об интерфейсе, связанной с мультикаст-маршрутизацией:
-
Название интерфейса, его статус и адрес.
-
Версия IGMP.
-
Опрашиватель и его адрес (Querier).
-
Таймер, который обнуляется каждый раз, как приходит сообщение Query с меньшим IP-адресом.
Доступно указание:
|
Мониторинг PIM
Мониторинг работы протокола PIM (Protocol-Independent Multicast) доступен с использованием следующей команды (указание параметров является обязательным). Для отображения информации для маршрутизатора по умолчанию:
Admin@ndename> show network pim <parameter>
Далее необходимо указать параметры:
Параметр
|
Описание
|
node-name
|
Выбор узла кластера, для которого необходимо отобразить информацию.
|
virtual-router
|
Выбор виртуального маршрутизатора, для которого необходимо отобразить информацию.
|
vxlan-groups
|
Информация о группах VXLAN, использующихся в мультивещании.
|
statistics
|
Статистика протокола.
|
join
|
Отображение информации о группах PIM протокола.
|
neighbor
|
Информация о соседях:
-
Интерфейс, через который была получена информация о соседе.
-
Адрес соседа.
-
Время, с последнего начала работы PIM.
-
Время, в течении которого сосед доступен.
-
Приоритет DR.
|
next-hop
|
Записи о адресах next-hop.
|
state
|
Информация об известных S, G маршрутах, IIF (Incoming Interface), OIL (Outgoing Interface List).
|
rp-info
|
Отображение информации о Rendezvous Point (RP): адрес, разрешённые ASM группы с данного RP.
|
interface
|
Информация об интерфейсах, настроенных для работы PIM: название и адрес интерфейса, адрес DR и т.п.
Также доступно указание параметров:
-
interface-name — название интерфейса.
-
traffic — статистика отправленных/полученных сообщений.
-
detail — подробная информация об интерфейсе.
|
group-type
|
Список разрешённых групповых адресов для SSM (Source Specific Multicast).
|
secondary
|
Отображение информации об интерфейсе с указанием дополнительного IP-адреса.
|
Мониторинг состояния кластера
Команды мониторинга состояния кластера могут быть запущены на любом из узлов, входящих в кластер. Они позволяют получить информацию о текущем состоянии кластера, его узлов, режиме работы кластера и истории переключения состояний кластера.
Для мониторинга состояния кластера используется следующая команда:
Admin@nodename> show ha-cluster state
Для мониторинга состояния узлов кластера используется команда:
Admin@nodename> show ha-cluster tablestat
Для отображения информации об истории переключения состояния кластера используется команда:
Admin@nodename> show ha-cluster failover
Мониторинг заблокированных СОВ IP-адресов
Для просмотра таблицы с заблокированными системой СОВ IP-адресами используется команда:
Admin@nodename> show blocked-ip
Для разблокирования отдельных IP-адресов используется команда:
Admin@nodename> clear blocked-ip ips [ ip-address ip-address ... ]
Отображение системной информации
Для просмотра версии ПО системы используется команда:
Admin@nodename> show system version
Для отображения информации о количестве активных TCP/UDP/ICMP сессий на системе используется команда:
Admin@nodename> show system sessions
Для отображения информации о количестве активных сессий по отдельным протоколам или временным интервалам используется команда:
Admin@nodename> show system sessions counters [ parameters ]
Очистить статистику:
Admin@nodename> clear system sessions
Диагностика работы протоколов динамической маршрутизации
С помощью команд этого раздела можно просматривать события debug-логов протоколов динамической маршрутизации. Включение в debug-лог событий конкретного протокола производится командой debug в режиме конфигурации (подробнее читайте в разделе Режим конфигурации).
Для просмотра записей debug-лога используется команда:
Admin@nodename> show log routing <parameters>
Далее необходимо указать один из параметров:
Параметр
|
Описание
|
all
|
Все протоколы.
|
rip
|
Протокол RIP.
|
bgp
|
Протокол BGP.
|
igmp
|
Протокол IGMP
|
pim
|
Протокол PIM.
|
ospf
|
Протокол OSPF.
|
bfd
|
Протокол BFD.
|
msdp
|
Протокол MSDP.
|
mroute
|
Таблица мультикаст-маршрутизации mroute.
|
ssmpingd
|
Инструмент тестирования мультикаст-вещания ssmpingd.
|
Для вывода событий debug-лога в консоль в реальном времени используется команда:
Admin@nodename> show log tail on routing <parameters>
Далее необходимо указать один из параметров из таблицы команды просмотра записей debug-лога, размещенной выше.
Для отключения вывода событий debug-лога в консоль в реальном времени по отдельным протоколам используется команда:
Admin@nodename> show log tail off routing <parameters>
Параметры команды аналогичны параметрам, указанным ранее.
Просмотр информации об авторизованных пользователях
Для просмотра информации обо всех авторизованных пользователях используется следующая команда интерфейса командной строки:
Admin@nodename> show user-auth
Для просмотра деталей аутентификационной сессии определенного пользователя используется команда:
Admin@nodename> show user-auth <parameter>
В качестве параметра может использоваться как имя пользователя (login), так и его IP-адрес (ip-address).
Для удаления сессии определенного пользователя используется команда:
Admin@nodename> clear user-auth <parameter>
В качестве параметра может использоваться как имя пользователя (login), так и его IP-адрес (ip-address).