發(fā)布時間：2016-11-23 21:21

  本文關鍵詞：Cisco防火墻，由筆耕文化傳播整理發(fā)布。

> 網(wǎng)絡協(xié)議 > 正文 Cisco防火墻常用命令及詳解 2011-08-11               我要投稿

 

1、show cpu usage

PIX只有一個CPU來完成所有的工作，從處理包到向console寫debug信息。最消耗CPU資源的進程是加密，因此如果PIX要完成數(shù)據(jù)包的加密工作，最好使用加速卡或專用的VPN Concentrator. 日志功能是另外一個消耗大量系統(tǒng)資源的進程。因此，建議在正常情況下關閉PIX向console, monitor, buffer寫日志的功能。

pixfirewall# show cpu usage

CPU utilization for 5 seconds = 1%; 1 minute: 2%; 5 minutes: 1%

 

 

2、show traffic

本命令可以看出在特定的時間內有多少流量流經PIX了。這個特定的時間是上次執(zhí)行本命令到這次執(zhí)行本命令的時間間隔。我們可以看到各個接口的數(shù)據(jù)流量情況。

 

ZJ-WAP-FW-2# show traffic

inside:

        received (in 1506074.635 secs):

                277725221288 packets    143521417050444 bytes   （自從FW開機到目前的input總吞吐量）

                184001 pkts/sec 95295000 bytes/sec  （自從FW開機到目前的input平均值）

        transmitted (in 1506074.635 secs):

                287523217939 packets    151292879605153 bytes   （自從FW開機到目前的output總吞吐量）

                190002 pkts/sec 100455001 bytes/sec    （自從FW開機到目前的output平均值）

      1 minute input rate 19597 pkts/sec,  11294493 bytes/sec    （1分鐘內的input平均吞吐量值）

      1 minute output rate 20063 pkts/sec,  11294468 bytes/sec   （1分鐘內的output平均吞吐量值）

      1 minute drop rate, 34 pkts/sec

      5 minute input rate 19102 pkts/sec,  9905358 bytes/sec     （5分鐘內的input平均吞吐量值）

      5 minute output rate 20159 pkts/sec,  11419208 bytes/sec   （5分鐘內的ioutput平均吞吐量值）

      5 minute drop rate, 36 pkts/sec

 

 

3、show perfmon

 

這條命令監(jiān)測PIX檢查的數(shù)據(jù)的流量和類型。它可以判斷出PIX上每秒所做的變換(xlates)和連接數(shù)(conn)。

 

PERFMON STATS Current Average

Xlates 18/s 19/s

Connections 75/s 79/s

TCP Conns 44/s 49/s

UDP Conns 31/s 30/s

URL Access 27/s 30/s

URL Server Req 0/s 0/s

TCP Fixup 1323/s 1413/s

TCPIntercept 0/s 0/s

HTTP Fixup 923/s 935/s

FTP Fixup 4/s 2/s

AAA Authen 0/s 0/s

AAA Author 0/s 0/s

AAA Account 0/s 0/s

 

其中，較重要的有Xlates是每秒鐘產生變換的數(shù)字；Connections是建立的連接數(shù)；TCP Fixup是指PIX每秒鐘轉發(fā)了多少TCP包；TCPIntercept是指有每秒多少SYN包已經超出了開始的設定值。

 

 

4、show blocks

 

和show cpu usage在一起使用，可以判斷出PIX是否過載了。

當一個數(shù)據(jù)包進入防火墻的接口，會先排在input接口的隊列中，根據(jù)數(shù)據(jù)幀的大小，又被分到不同的block中。如對于以太網(wǎng)幀，使用1550字節(jié)的block。如果數(shù)據(jù)是從千兆口進來的，會使用16384字節(jié)的block。PIX然后會根據(jù)ASA算法決定是否讓包通過。如果PIX過載了，那相應的block會降到或接近0(看CNT這一列)。當該值降到0時，，PIX會嘗試申請更多的block, 最多可到8192。如果沒有block可用，包會被丟棄。

256字節(jié)的block是stateful failover信息。主PIX向從PIX發(fā)送這些包以更新xlates和connection信息。如果某段時間有大量的連接建立和拆除，256字節(jié)的block可能會降到0，就是說從PIX可能沒有和主PIX同步。這個時間如果不長，是可以接受的，但如果長時間維持在0，需要考慮升級到更高速的PIX了。

 

另外，日志信息也是通過256字節(jié)的block向外部送出的，注意通常不需要將日志的級別設置成debug.

 

pixfirewall# show blocks

SIZE MAX LOW CNT

4 1600 1597 1600

80 400 399 400

256 500 495 499

1550 1444 1170 1188

16384 2048 1532 1538

 

 

5、show memory

 

可以看出PIX的內存以及當前可用的內存。正常情況下，PIX的可用內存的變化幅度不應該太大。如果突然發(fā)現(xiàn)內存快用光了，要檢查是否用攻擊發(fā)生�？梢杂胹how conn count命令看當前PIX中有多少連接，如果PIX內存耗盡，最終會crash.

 

pixfirewall# show memory

1073741824 bytes total, 1022992384 bytes free

 

 

6、show xlate count

 

顯示當前通過PIX的變換數(shù)和最多達到的變換數(shù)。一個變換是指一個內部地址變換成一個外部合法地址。一臺機器可能會與外部的多個目標建立連接，但這時只有一個變換。如果顯示的變換數(shù)遠大于內部的機器數(shù)，可能是受到了網(wǎng)絡攻擊。

 

pixfirewall# show xlate count

84 in use, 218 most used

 

 

7、show conn count

 

可以看當前的PIX的最大的連接數(shù)。一個connection是一個內部4層信息到外部地址的映射。當PIX收到一個SYN包，就建立一個connection. 過高connection數(shù)意味著受到了攻擊，這時如果用show memory命令雖然連接數(shù)很高，但是并沒有消耗掉PIX過多的內存資源。

 

pixfirewall# show conn count

2289 in use, 44729 most used

 

 

8、show interface

 

這條命令用來判斷雙工的匹配問題和電纜故障，也可以看出接口是否過載了。如果PIX的CPU資源耗盡了，那么1550字節(jié)的block會接近0，如果是千兆口，16384字節(jié)的block接近0。另外一個信號是”no buffers”的值不斷增加，它表明接口接收包的速率太快，PIX來不及處理，也沒有足夠的block去承載，已經有丟包產生了。如果”no buffer”伴隨著CPU的使用率升高，說明該考慮升級到性能更強的防火墻了。

 

當數(shù)據(jù)包進入接口時，被放在input hardware queue中，如果該queue滿了，被放在input software queue中。包然后從input queue中被放到block中等待PIX OS的處理，PIX決定把包放到哪個出口，即哪個output hardware queue中，如果該queue滿了，就放到output software queue中；如果每個軟隊列中的max blocks都很大，就稱之為”overrun”。常見的情況是入口和出口的數(shù)據(jù)傳輸速率不匹配，就會出現(xiàn)overrun，這時應該考慮升級接口了。

 

pixfirewall# show interface

interface ethernet0 "inside" is up, line protocol is up

Hardware is i82559 ethernet, address is 0002.b31b.99ff

IP address 9.9.9.1, subnet mask 255.255.255.0

MTU 1500 bytes, BW 100000 Kbit full duplex

4630 packets input, 803174 bytes, 0 no buffer

Received 2 broadcasts, 0 runts, 0 giants

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

4535 packets output, 445424 bytes, 0 underruns

0 output errors, 0 collisions, 0 interface resets

0 babbles, 0 late collisions, 0 deferred

0 lost carrier, 0 no carrier

input queue (curr/max blocks): hardware (128/128) software (0/1)

output queue (curr/max blocks): hardware (0/2) software (0/1)

 

如果是runts, input errors, CRCs或frame errors在增加，可能是雙工方式不匹配造成的或電纜故障。

 

 

9、show process

 

顯示當前PIX中的活動的進程有什么。這樣就可以看出什么進程使用了過多的CPU資源，什么進程沒能使用CPU資源。為了得到這個信息，我們連續(xù)兩次執(zhí)行show process命令，間隔1分鐘。對有所懷疑的進程，兩次的Runtime值相減，時間差(單位是毫秒)就是該進程一分鐘所占用的CPU資源。557poll進程通常是占用時間最多的進程，它負責詢問以太接口看是否有包需要處理。

 

 

總結

 

我們用show cpu usage命令看PIX的負載情況。

一般來說，CPU超過30%就已經算高了，但一般不超過50%；CPU達到80%時，性能會受到影響；超過90%時，會有丟包的情況發(fā)生。

這個時候，我們可以通過命令show process來看看什么進程在消耗CPU資源，

查出該進程后找相應的辦法處理。

如果CPU的使用率并不高，但是還是覺得有丟包的情況發(fā)生，

用show interface命令檢查是否有錯包出現(xiàn)，即是否有雙工匹配問題或電纜問題；

如果是"no buffer"增加，同時CPU使用率并不高，說明接口的能力不能滿足流量的需求；

如果buffer狀況很好，檢查block, 如果1550字節(jié)或16384字節(jié)的block接近0了，

說明PIX由于太忙開始丟包了，這時CPU也會很高。

如果發(fā)現(xiàn)在PIX建立新的連接很困難，用命令show conn count檢查當前的連接數(shù)：

如果很高了，用show memory命令看看內存的狀況，

如果內存很少了，用show conn命令或show local-host命令

查一下連接數(shù)如此多的原因，很可能是遭遇DoS攻擊了。

另外，show traffic命令顯示每個接口處理的包數(shù)和字節(jié)數(shù)；

show perfmon命令進一步將traffic分成不同的類型。

點擊復制鏈接 與好友分享!回本站首頁 上一篇：cisco筆記之nat 下一篇：NBMA的介紹 相關文章

使用FreeBSD配置基于ADSL的VPN防火墻(

菜鳥配置ADSL Modem防火墻操作法

ADSL Modem防火墻的配置

普通防火墻構造錯誤

防火墻，別當內網(wǎng)互訪的絆腳石

創(chuàng)建NGFW4000防火墻地址映射組的方法

如何去排除代理防火墻連接故障的技巧

H3C-防火墻

防火墻ACL

思科ASA防火墻VPN配置

圖文推薦

  本文關鍵詞：Cisco防火墻，由筆耕文化傳播整理發(fā)布。

本文編號：189075