CISCO防火墙常用号令及详解[网络技术]
本文“CISCO防火墙常用号令及详解[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
1、show cpu usage
PIX只有一个CPU来完成全部的工作,从处理包到向console写debug信息.最损耗CPU资源的进程是加密,因此假如PIX要完成数据包的加密工作,最好利用加快卡或专用的VPN Concentrator. 日记功效是别的一个损耗大量系统资源的进程.因此,倡议在正常情形下关闭PIX向console, monitor, buffer写日记的功效.
pixfirewall# show cpu usage
CPU utilization for 5 seconds = 1%; 1 minute: 2%; 5 minutes: 1%
2、show traffic
本号令可以看出在特定的时间内有多少流量流经PIX了.这个特定的时间是上次履行本号令到这次履行本号令的时间隔断.我们可以看到各个接口的数据流量情形.
ZJ-WAP-FW-2# show traffic
inside:
received (in 1506074.635 secs):
277725221288 packets 143521417050444 bytes (自从FW开机到目前的input总吞吐量)
184001 pkts/sec 95295000 bytes/sec (自从FW开机到目前的input平均值)
transmitted (in 1506074.635 secs):
287523217939 packets 151292879605153 bytes (自从FW开机到目前的output总吞吐量)
190002 pkts/sec 100455001 bytes/sec (自从FW开机到目前的output平均值)
1 minute input rate 19597 pkts/sec, 11294493 bytes/sec (1分钟内的input平均吞吐量值)
1 minute output rate 20063 pkts/sec, 11294468 bytes/sec (1分钟内的output平均吞吐量值)
1 minute drop rate, 34 pkts/sec
5 minute input rate 19102 pkts/sec, 9905358 bytes/sec (5分钟内的input平均吞吐量值)
5 minute output rate 20159 pkts/sec, 11419208 bytes/sec (5分钟内的ioutput平均吞吐量值)
5 minute drop rate, 36 pkts/sec
3、show perfmon
这条号令监测PIX查抄的数据的流量和范例.它可以判断出PIX上每秒所做的变更(xlates)和衔接数(conn).
PERFMON STATS Current Average
Xlates 18/s 19/s
Connections 75/s 79/s
TCP Conns 44/s 49/s
UDP Conns 31/s 30/s
URL Access 27/s 30/s
URL Server Req 0/s 0/s
TCP Fixup 1323/s 1413/s
TCPIntercept 0/s 0/s
HTTP Fixup 923/s 935/s
FTP Fixup 4/s 2/s
AAA Authen 0/s 0/s
AAA Author 0/s 0/s
AAA Account 0/s 0/s
此中,较重要的有Xlates是每秒钟产生变更的数字;Connections是成立的衔接数;TCP Fixup是指PIX每秒钟转发了多少TCP包;TCPIntercept是指有每秒多少SYN包已经超越了开始的设定值.
4、show blocks
和show cpu usage在一同利用,可以判断出PIX能否过载了.
当一个数据包进入防火墙的接口,会先排在input接口的行列中,按照数据帧的大小,又被分到差别的block中.如关于以太网帧,利用1550字节的block.假如数据是从千兆口进来的,会利用16384字节的block.PIX然后会按照ASA算法决意能否让包通过.假如PIX过载了,那呼应的block会降到或接近0(看CNT这一列).当该值降到0时,PIX会尝试申请更多的block, 最多可到8192.假如没有block可用,包会被丢弃.
256字节的block是stateful failover信息.主PIX向从PIX发送这些包以更新xlates和connection信息.假如某段时间有大量的衔接成立和撤消,256字节的block大概会降到0,就是说从PIX大概没有和主PIX同步.这个时间假如不长,是可以承受的,但假如长时间保持在0,需求考虑进级到更高速的PIX了.
别的,日记信息也是通过256字节的block向外部送出的,注意普通不需求将日记的级别设置成debug.
pixfirewall# show blocks
SIZE MAX LOW CNT
4 1600 1597 1600
80 400 399 400
256 500 495 499
1550 1444 1170 1188
16384 2048 1532 1538
5、show memory
可以看出PIX的内存以及当前可用的内存.正常情形下,PIX的可用内存的改变幅度不该该太大.假如忽然发现内存快用光了,要查抄能否用攻击发生.可以用show conn count号令看当前PIX中有多少衔接,假如PIX内存耗尽,终究会crash.
pixfirewall# show memory
1073741824 bytes total, 1022992384 bytes free
6、show xlate count
显示当前通过PIX的变更数和最多到达的变更数.一个变更是指一个内部地址变更成一个外部合理地址.一台机械大概会与外部的多个目标成立衔接,但这时只有一个变更.假如显示的变更数宏大于内部的机械数,大概是遭到了网络攻击.
pixfirewall# show xlate count
84 in use, 218 most used
7、show conn count
可以看当前的PIX的最大的衔接数.一个connection是一个内部4层信息到外部地址的映射.当PIX收到一个SYN包,就成立一个connection. 太高connection数意味着遭到了攻击
以上是“CISCO防火墙常用号令及详解[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |