Команды диагностики и мониторинга

Команды диагностики и мониторинга (Описание)

Команды диагностики позволяют просмотреть следующее:

Статистику и информацию об интерфейсах.
Информацию о записях ARP.
Произвести отслеживание пакетов по установленным правилам.
Мониторинг трафика.
Информацию о маршрутах.

Статистика интерфейсов

Для отображения статистики интерфейса и информации о нём используется следующая команда:

Admin@UGOS> show network interface <interface-name>

Также доступно отображение только информации или только статистики интерфейса:

Admin@UGOS> show network interface <interface-name> info

Admin@UGOS> show network interface <interface-name> statistic

ARP-записи

Для просмотра информации о записях ARP:

Admin@UGOS> show network arp

При просмотре записей доступно использование фильтров. Параметры фильтрации:

Параметр	Описание
node-name	Название узла кластера, ARP-записи которого необходимо отобразить. Далее необходимо указать интерфейс или IP-адрес хоста: `Admin@UGOS> show network arp node-name <node-name> interface <iface-name> Admin@UGOS> show network arp node-name <node-name> host <ip>`
interface	Название интерфейса NGFW.
host	IP-адрес устройства.

Параметр

Описание

node-name

Название узла кластера, ARP-записи которого необходимо отобразить.

Далее необходимо указать интерфейс или IP-адрес хоста:

Admin@UGOS> show network arp node-name <node-name> interface <iface-name>

Admin@UGOS> show network arp node-name <node-name> host <ip>

interface

Название интерфейса NGFW.

host

IP-адрес устройства.

Просмотр записей ARP также доступен в режиме конфигурации; команды идентичны командам в режиме диагностики и мониторинга.

ПримечаниеВ режиме диагностики и мониторинга действия производятся с системными записями; в режиме конфигурации – со статическими записями ARP.

Добавление статических ARP-записей доступно в режиме конфигурации с использованием следующей команды:

Admin@UGOS# set network arp

Необходимо указать:

Параметр	Описание
node-name	Название узла кластера, на котором будет создана запись ARP. Далее необходимо указать название интерфейса, IP и MAC-адреса устройства.
interface	Название интерфейса NGFW.
host	IP-адрес устройства.
mac	MAC-адрес устройства.

Команды удаления системных и статических ARP-записей имеют аналогичную структуру, отличается действие, которое необходимо выполнить:

clear: удаление системных записей в режиме диагностики и мониторинга;
delete: удаление статических записей в режиме конфигурации.

Далее будет представлен формат команд удаления на примере команд режима диагностики и мониторинга.

Для удаления системной записи:

Admin@UGOS> clear network arp interface <iface-name> host <ip>

Чтобы удалить запись на другом узле кластера:

Admin@UGOS> clear network arp interface <iface-name> node-name <node-name> host <ip>

Следующая команда позволяет удалить все системные записи на заданном интерфейсе (можно указать несколько интерфейсов):

Admin@UGOS> clear network arp interfaces [ <iface-name1> <iface-name2> … ]

Для удаления всех системных записей интерфейса другого узла:

Admin@UGOS> clear network arp interfaces [ <iface-name1> <iface-name2> … ] node-name <node-name>

Отслеживание пакетов

Чтобы произвести отслеживание пакетов, используется следующая команда:

Admin@UGOS> show network trace

Будет отображена следующая информация: IP-адреса источника и назначения, протокол, названия портов источника и назначения NGFW, номера TCP/UDP портов источника и назначения. Команда также доступна в режиме конфигурации.

Чтобы выйти из режима отслеживания пакетов — Ctrl+C.

Правила отслеживания пакетов создаются и настраиваются в режиме конфигурации на уровне network. Для создания правила используется следующая команда:

Admin@UGOS# create network trace-rules

Далее указываются следующие параметры:

Параметр	Описание
enabled	Включение/отключение правила отслеживания пакетов: on. off.
name	Название правила. Если название правила не было задано, то оно задаётся автоматически в формате: trace_rule_N (где N — порядковый номер создаваемого правила отслеживания пакетов).
zones-in	Список зон источников трафика.
source-ip-lists	Список групп IP-адресов источника пакета. Подробнее о создании групп IP-адресов с использованием интерфейса командной строки читайте в разделе Настройка IP-адресов.
source-ip-addresses	Список IP-адресов источника пакета.
dest-ip-lists	Список групп IP-адресов назначения пакета. Подробнее о создании групп IP-адресов с использованием интерфейса командной строки читайте в разделе Настройка IP-адресов.
dest-ip-addresses	Список IP-адресов назначения пакета.
services	Тип сервиса. Подробнее читайте в разделе Настройка сервисов.

Для изменения правила:

Admin@UGOS# set network trace-rules <trace-rule-name>

Для изменения доступны параметры, представленные в таблице выше.

Для удаления правила отслеживания пакетов используется следующая команда:

Admin@UGOS# delete network trace-rules <trace-rule-name>

Также доступно удаление значений отдельных параметров правил. Для удаления доступны:

zones-in.
source-ip-lists.
source-ip-addresses.
dest-ip-lists.
dest-ip-addresses.
services.

Чтобы просмотреть существующие правила отслеживания пакетов:

Admin@UGOS# show network trace-rules

или

Admin@UGOS# show network trace-rules <trace-rule-name>

Мониторинг трафика

Следующая команда используется для мониторинга трафика:

Admin@UGOS> show traffic

Параметр	Описание
flows	Отображает информацию о входящем (IP и MAC-адреса источника и назначения, порты источника и назначения, протокол, тег VLAN, время жизни сессии, состояние сессии) и исходящем (IP-адреса источника и назначения, тег VLAN) потоках. Доступна фильтрация по: source-ip — IP-адрес источника. source-port — порт источника. source-mac — MAC-адрес источника dest-ip — IP-адрес назначения. dest-port — порт назначения. dest-mac — MAC-адрес назначения. vlan-tag — тег VLAN.
connections	Представлена информация о соединениях (протокол и его номер; время жизни записи; IP-адреса источника и назначения, порты источника и назначения; IP-адреса источника и назначения, порты источника и назначения, которые ожидаются в ответе; статус сессии (UNREPLIED или ASSURED); количество переданных и принятых пакетов и байтов; зона источника; является ли эта сессия, сессией известного NGFW пользователя и т.п.). Фильтрация доступна по: protocol — протокол. source-ip — IP-адрес источника. dest-ip — IP-адрес назначения. expect — отображение неустановленных соединений: on. off.

Параметр

Описание

flows

Отображает информацию о входящем (IP и MAC-адреса источника и назначения, порты источника и назначения, протокол, тег VLAN, время жизни сессии, состояние сессии) и исходящем (IP-адреса источника и назначения, тег VLAN) потоках. Доступна фильтрация по:

source-ip — IP-адрес источника.
source-port — порт источника.
source-mac — MAC-адрес источника
dest-ip — IP-адрес назначения.
dest-port — порт назначения.
dest-mac — MAC-адрес назначения.
vlan-tag — тег VLAN.

connections

Представлена информация о соединениях (протокол и его номер; время жизни записи; IP-адреса источника и назначения, порты источника и назначения; IP-адреса источника и назначения, порты источника и назначения, которые ожидаются в ответе; статус сессии (UNREPLIED или ASSURED); количество переданных и принятых пакетов и байтов; зона источника; является ли эта сессия, сессией известного NGFW пользователя и т.п.).

Фильтрация доступна по:

protocol — протокол.
source-ip — IP-адрес источника.
dest-ip — IP-адрес назначения.
expect — отображение неустановленных соединений:
- on.
- off.

LLDP

Использованием следующей команды доступен просмотре информации LLDP:

Admin@UGOS> show lldp

Для просмотра доступны:

Параметр	Описание
neighbors	Cписок LLDP-совместимых устройств, на которых включена поддержка объявления LLDP. Chassis ID — идентификатор шасси. SysName — имя системы. SysDescr — описание системы, содержит информацию об оборудовании и операционной системе устройства. Management — адрес соседнего устройства (содержит адреса IPv4 и IPv6, номер интерфейса указанного адреса управления). Capability — функции устройства (например, маршрутизатор, коммутатор и т.п.). Port ID — идентификатор порта с которого был передан LLDPDU (Link Layer Discovery Protocol Data Unit). PortDescr — описание порта. TTL — время жизни передаваемых пакетов LLDP.
statistics	Cтатистика интерфейсов, в настройках которых был указан профиль LLDP: Interface — название интерфейса. Transmitted — общее количество кадров LLDP, переданных через интерфейсе. Received — общее количество кадров LLDP, полученных на интерфейсе. Discarded — число полученных на этом интерфейсе кадров LLDP, которые были отброшены. Unrecognized — количество кадров LLDP с неподтверждённым содержимым, полученных на этом интерфейсе. Ageout — в каждом кадре LLDP содержится информация о том, насколько долго является правильной информация LLDP (срок старения). Если в течение срока старения новых кадров не принято, информация LLDP удаляется. Inserted — количество добавлений записей с информацией о соседях LLDP. Deleted — количество удалений записей о соседях LLDP.

Параметр

Описание

neighbors

Cписок LLDP-совместимых устройств, на которых включена поддержка объявления LLDP.

Chassis ID — идентификатор шасси.
SysName — имя системы.
SysDescr — описание системы, содержит информацию об оборудовании и операционной системе устройства.
Management — адрес соседнего устройства (содержит адреса IPv4 и IPv6, номер интерфейса указанного адреса управления).
Capability — функции устройства (например, маршрутизатор, коммутатор и т.п.).
Port ID — идентификатор порта с которого был передан LLDPDU (Link Layer Discovery Protocol Data Unit).
PortDescr — описание порта.
TTL — время жизни передаваемых пакетов LLDP.

statistics

Cтатистика интерфейсов, в настройках которых был указан профиль LLDP:

Interface — название интерфейса.
Transmitted — общее количество кадров LLDP, переданных через интерфейсе.
Received — общее количество кадров LLDP, полученных на интерфейсе.
Discarded — число полученных на этом интерфейсе кадров LLDP, которые были отброшены.
Unrecognized — количество кадров LLDP с неподтверждённым содержимым, полученных на этом интерфейсе.
Ageout — в каждом кадре LLDP содержится информация о том, насколько долго является правильной информация LLDP (срок старения). Если в течение срока старения новых кадров не принято, информация LLDP удаляется.
Inserted — количество добавлений записей с информацией о соседях LLDP.
Deleted — количество удалений записей о соседях LLDP.

Маршруты

Данный раздел необходим для проведения диагностики и мониторинга маршрутной информации на NGFW.

Для просмотра всех маршрутов, содержащихся в маршрутизаторе по умолчанию, используется команда:

Admin@UGOS> show network route

Параметр	Описание
ip	IP-адрес, маршрут до которого необходимо отобразить.
connected	Маршруты к сетям, которые подключены непосредственно к интерфейсам NGFW. Данные маршруты помечены символом С в списке маршрутов.
kernel	Отображение маршрутов, добавленных администратором; маршруты помечены символом К в списке маршрутов.
summary	Количество активных подключений и записей FIB (Forwarding Information Base).
ospf	Отображение маршрутов, полученных- с помощью протокола динамической маршрутизации OSPF. Данные маршруты помечены символом О в списке маршрутов.
bgp	Отображение маршрутов, полученных с помощью протокола динамической маршрутизации BGP; маршруты помечены символом В в списке маршрутов.
rip	Отображение маршрутов, полученных- с помощью протокола динамической маршрутизации RIP; маршруты помечены символом R в списке маршрутов.
virtual-router	Виртуальный маршрутизатор, маршруты которого необходимо отобразить (<vrf-name> \| all).

Мониторинг OSPF

Диагностика и мониторинг OSPF производится с использованием команд, представленных ниже. Отображение информации OSPF:

Admin@UGOS> show network ospf

Параметр	Описание
virtual-router	Виртуальный маршрутизатор, для которого необходимо отобразить общую информацию об OSPF: (<vrf-name> \| all).
route	Отображение маршрутов, полученных по протоколу динамической маршрутизации OSPF.
database	Отображена информация: Router Link States: пакеты LSA (Link State Advertisement) Type 1 (Router LSA) передаются маршрутизаторами в пределах одной зоны; используются для передачи информации соседним маршрутизаторам, находящихся в той же зоне, о собственных интерфейсах и своих соседях. Network Link States: пакеты LSA Type 2 (Network LSA) генерируются выделенным маршрутизатором (Designated Router, DR) для описания всех маршрутизаторов, подключённых к его сегменту напрямую. Summary Link States: пакеты LSA Type 3 (Summary LSA) формируются с помощью пограничных маршрутизаторов (Area Border Routers, ABR). Пакеты содержат суммарное сообщение о непосредственно подключенной к ним зоне, сообщают информацию в другие зоны, к которым подключен ABR и передаются в несколько зон по всей сети. ASBR-Summary Link States: пакеты LSA Type 4 (ASBR Summary LSA) сообщают о присутствии автономного пограничного маршрутизатора (Autonomous System Border Router, ASBR) в других областях.
neighbor	Отображение информации о соседях: Идентификатор соседа (идентификатор маршрутизатора). Приоритет. Маршрутизатор с наивысшим приоритет становится выделенным маршрутизатором — Designated Router, DR. Если приоритеты маршрутизаторов равны, то будет выбран маршрутизатор с наибольшим идентификатором. Состояние, например, Full/DR, Full/BDR, Full/Drother. Интервал простоя — время, через которое соединение с OSPF-соседом будет разорвано, если не будет получен пакет Hello. IP-адрес интерфейса, к которому подключен сосед. Интерфейс, на котором сформировано соседство маршрутизаторов. Доступно указание дополнительных параметров: interface-name — будут отображены соседи, с которыми установлена смежность на указанном интерфейсе. all — отображение таблицы со всеми соседях. detail — отображение подробной информации о соседях.
interface	Отображение информации об интерфейсах OSPF. Дополнительно: interface-name — отображение информации об указанном интерфейсе. traffic — статистика переданных и принятых пакетов OSPF (Hello, Database Description, Link State Request, Link State Update, Link State Acknowledgment).
border-routers	Отображение информации о пограничных маршрутизаторах.

Команда для перезапуска процесса OSPF:

Admin@UGOS> clear network ospf

Параметр	Описание
virtual-router	Виртуальный маршрутизатор, на котором необходимо перезапустить OSPF (<vrf-name> \| all).
interface	Интерфейс, на котором необходимо перезапустить процесс OSPF.

Мониторинг BGP

В данном разделе представлены команды диагностики и мониторинга BGP.

Для отображения таблицы BGP маршрутизатора по умолчанию:

Admin@UGOS> show network bgp

Параметр	Описание
virtual-router	Виртуальный маршрутизатор, маршруты которого необходимо отобразить (<vrf-name> \| all).
ip	IP-адрес, маршрут до которого необходимо отобразить.
statistics	Отображение статистики BGP.
neighbors	Отображение информации о BGP-соседях (доступно отображение информации об определённом соседе; необходимо указание IP-адреса соседа). Дополнительные параметры, доступные при указании соседа: received-routes — принятые маршруты до применения к ним входящей политики (Routemap и фильтры). advertised-routes — маршруты, которые анонсируются указанному соседу.
summary	Просмотр краткой информации о соседях.

Для выполнения повторного запроса информации у BGP-соседей (обрыв TCP-сессии):

Admin@UGOS> clear network bgp

Далее доступно указание параметров:

Параметр	Описание
ip	IP-адрес соседа, с которым произойдет обрыв соединения для обновления информации.
virtual-router	Название виртуального маршрутизатора, которому принадлежит BGP-сосед.

В случае, если на соседних устройствах поддерживается метод Route Refresh, то можно избежать полной реинициализации сессии с соседом, отправив специальное сообщение типа ROUTE REFRESH. Отправка данного сообщения позволяет обновить информацию без прерывания в маршрутизации.

Для обновления информации без обрыва сессии с соседом используется команда:

Admin@UGOS> clear network bgp ip <neighbor-ip> soft in | out
Admin@UGOS> clear network bgp virtual-router <vrf-name> ip <neighbor-ip> soft in | out

Мониторинг RIP

В данном разделе представлены команды диагностики и мониторинга RIP.

Для отображения информации RIP из таблицы маршрутизатора по умолчанию (адрес сети, полученный по RIP; адрес Next Hop; метрика маршрута; тэг маршрута, предназначенный для разделения внутренних и внешних маршрутов; интервал времени, по истечении которого маршрут будет признан недействительным, если информация о нём не была получена):

Admin@UGOS> show network rip

Далее доступно использование следующих параметров:

Параметр	Описание
status	Текущий статус RIP: версия, таймеры, фильтры, распространяемые маршруты и т.п.
virtual-router	Виртуальный маршрутизатор, информацию о маршрутах RIP которого необходимо отобразить: <vrf-name> \| all.

Мониторинг мультикаст

Для просмотра таблицы маршрутизации мультикаст-трафика на маршрутизаторе по умолчанию:

Admin@UGOS> show network mroute

Далее доступно использование следующих параметров:

Параметр	Описание
count	Отображение статистики о группе и источнике.
virtual-router	Выбор виртуального маршрутизатора: <vrf-name> \| all.
summary	Суммарная информация о каждой записи в таблице мультикаст-маршрутизации.
fill	Таблица маршрутизации мультикаст-трафика. Доступно указание параметра: ip — отображение записи для определённого IP-адреса; далее необходимо указать IP-адрес.
ip	Отображение записи для определённого IP-адреса; необходимо указать IP-адрес.

Мониторинг IGMP

Мониторинг работы протокола IGMP (Internet Group Management Protocol) доступен с использованием следующей команды (указание параметров является обязательным). Для отображения информации для маршрутизатора по умолчанию:

Admin@UGOS> show network igmp

Если необходимо отобразить информацию для определённого виртуального маршрутизатора или всех:

Admin@UGOS> show network igmp virtual-router <vrf-name> | all

Далее необходимо указать один из параметров:

Параметр	Описание
statistics	Статистика по сообщениям: IGMP Membership Query — сообщение сервера клиенту, в котором сервер просит обновить подписку на получаемые клиентом группы иначе, сервер перестанет вещать группу/группы в данный сегмент сети. IGMP Leave — сообщение клиента серверу; клиент сообщает, что желает убрать мультикаст-группу из списка получаемых. IGMP Membership Report — сообщение клиента серверу; клиент желает получать трафик этой группы.
join	Отображение информации о группах IGMP.
sources	Отображение информации об источниках мультикаст-трафика.
groups	Отображение мультикаст-групп, полученных по протоколу IGMP. Отображается следующая информация: Общее количество групп. Интерфейс, через который группа доступна. Адрес группы. Режим INCLUDE или EXCLUDE. Таймер, определяющий время, через которое маршрутизатор перестанет пересылать трафик на интерфейс, если не будет получен ответный IGMP Membership Report. Время, в течение которого группа известна.
interface	Отображение информации об интерфейсе, связанной с мультикаст-маршрутизацией: Название интерфейса, его статус и адрес. Версия IGMP. Опрашиватель и его адрес (Querier). Таймер, который обнуляется каждый раз, как приходит сообщение Query с меньшим IP-адресом. Доступно указание: interface-name — название интерфейса. detail — подробная информация об интерфейсе.

Мониторинг PIM

Мониторинг работы протокола PIM (Protocol-Independent Multicast) доступен с использованием следующей команды (указание параметров является обязательным). Для отображения информации для маршрутизатора по умолчанию:

Admin@UGOS> show network pim

Если необходимо отобразить информацию для определённого виртуального маршрутизатора или всех:

Admin@UGOS> show network pim virtual-router <vrf-name> | all

Далее необходимо указать один из параметров:

Параметр	Описание
vxlan-groups	Информация о группах VXLAN, использующихся в мультивещании.
statistics	Статистика протокола.
join	Отображение информации о группах PIM протокола.
neighbor	Информация о соседях: Интерфейс, через который была получена информация о соседе. Адрес соседа. Время, с последнего начала работы PIM. Время, в течении которого сосед доступен. Приоритет DR.
next-hop	Записи о адресах next-hop.
state	Информация об известных S, G маршрутах, IIF (Incoming Interface), OIL (Outgoing Interface List).
rp-info	Отображение информации о Rendezvous Point (RP): адрес, разрешённые ASM группы с данного RP.
interface	Информация об интерфейсах, настроенных для работы PIM: название и адрес интерфейса, адрес DR и т.п. Также доступно указание параметров: interface-name — название интерфейса. traffic — статистика отправленных/полученных сообщений. detail — подробная информация об интерфейсе.
group-type	Список разрешённых групповых адресов для SSM (Source Specific Multicast).
secondary	Отображение информации об интерфейсе с указанием дополнительного IP-адреса.