【IPCOM】正常性確認のshowコマンドまとめ。リファレンスのようなもの。

スポンサーリンク




ネトエンの仕事の話

ロードバランサー・ファイアウォールなど様々な機能をもつIPCOM。
高機能なのでshowのコマンドも多くて全ては覚えられません。
今回は私が普段IPCOMで正常性確認を行っているコマンドを紹介します。

この記事は、

  • IPCOMが正常な状態か確認したいがコマンドがわからない
  • IPCOMの機能が正しく動いているか確認したい

そんな方に読んでもらいたいです。

どの機能の確認をしたらいいか分からない、という方はこちらの記事を参考にしてください。

スポンサーリンク

基本的な状態確認コマンド

特定の機能にこだわらずIPCOM全般の状態を確認するコマンドです。
機能毎のコマンドはこの後に紹介します。

まずは一覧で記載します。

  • show system status
  • show system information
  • show interface detail
  • show cluster
  • show arp address
  • show ip route
  • show logging message
  • show logging error

ハードウェアの正常性

ファンと電源の状態を確認します。
この2つは長期間の使用によって物理的に故障する可能性が高いので注視します。

表示コマンド

show system status

正常な状態

Fan status:LOW
PSU0 Status: NORMAL
PSU1 Status: NORMAL

電源を二重化していない場合は1つのみNORMALであれば正常です。

システムの正常性

CPU・メモリの使用率とインタフェースでのパケット破棄を確認します。
CPU・メモリは100%で張り付かない限りは処理に影響は無いですが、瞬時に跳ね上がる可能性を考えると平常も低いに越したことはありません。
インタフェースは帯域を超える通信や設定上受信できない場合パケット破棄するのでその状態を確認します。

表示コマンド

show system information

正常な状態

CPU Load:
5minutes:xx%←ここが90%以下

正常な状態

Memory usage: xx%(xxGB/xxGB)←ここが90%以下

表示コマンド

show interface detail

正常な状態

in packets:xxxx←ここ(累計値)が増えている  xxxx←5秒の平均値
out packets:xxxx←ここ(累計値)が増えている xxxx←5秒の平均値
この表示だとインタフェース通過パケットに問題があります。
errors:xxxx←ここ(累計値)が増えている  xxxx←5秒の平均値
dropped:xxxx←ここ(累計値)が増えている  xxxx←5秒の平均値

NowとAverageの2つあるが
Nowが起動時からの累計値になります。
droppedのAverageにカウントがある場合はリアルタイムでパケットが破棄されています。

パケット破棄は基本的に大量のパケットが渋滞する輻輳によるものです。数分経過観察して様子を見ます。
パケット破棄の発生要因は大量の通信ですが、装置の設定で帯域を制限したり、処理パケット数を制限した場合もどうようにパケット破棄が発生します。

WARNING[4020100B]:The received packets have discarded because very many packets exceeding the system resource have been processed at a time.(xxx packets 30 sec)

このワーニングは帯域上限になった時にパケットを破棄した事を示すメッセージです。
日頃から通信量の多い経路の場合は頻繁に発生するメッセージになります。
パケットが破棄されたら送信元は再送を行い最後までパケットを送り届けようとするので処理失敗にまでは陥らない事が多いです。
ですが、システムの追加などでさらに通信量が増えると、再送でも送り切れず失敗が多発する可能性もあるので注視しましょう。

信頼性(装置冗長性)

IPCOMの冗長性は装置2台をLANケーブルで接続して片方がアクティブ・もう片方がスタンバイというクラスタ構成にします。
アクティブもしくはスタンバイのどちらかが壊れてももう片方がすぐに故障を検知してサービスを継続できる仕組みになっています。

表示コマンド

show cluster

正常な状態

This System
State: normally
Detail: Active:Under running (peer up)[xxxxxxxx]Peer System
State: normally
Detail: Standby:Under standby (peer up)[xxxxxxxx]

IPルーティング

IPルーティングはルータと同じく異なるネットワークアドレスを中継する機能です。
IPCOMは主にファイアウォールやロードバランサーの機能をメインに使用しますが、パケットを中継する関係上IPルーティングも必須の機能になります。
ブリッジ接続といってIPCOMでIPルーティングを必要としない接続方法もありますが、見たことが無いのでIPルーティングしている前提で考えてもらっていいと思います。

表示コマンド

show arp address

IPアドレスとMACアドレスの関連を示すARPテーブルを表示します。

正常な状態

直接接続された装置のアドレスが表示される。
ARPテーブルにはIPCOMに直接接続された機器のIPアドレスとMACアドレスが記録されるので表示されているIPアドレスが正しいのか、ネットワーク構成図を参考に確認しましょう。

表示コマンド

show ip route

ルーティングテーブルを表示します。

正常な状態

Destinationに宛先となるアドレスが表示される。

Destinationに表示されるアドレスはネットワーク構成に依存するので具体的にこのアドレスというのはここでは決める事ができません。
正常な動作状態の時にコマンドを実行して残しておくと後から比較ができます。

ipv6はこちらのコマンドで確認してください。

show ipv6 route

ログ

ここまで様々な状態を確認してきましたが、何か問題が起こった時はこのログに表示されます。
動作に影響のないログや異常から復旧したログまであるので、ログが出ているから問題があるとは限りません。

表示コマンド

show logging message
show logging error

正常な状態

正常性を確認したい期間でログが出ていない。

過去のログも表示されてしまうので、メンテナンスの時間帯やサービス利用開始時間(例えば朝9:00)以降で何か出ていないかを注視するといいです。

以上、基本的な機能の確認はここまでです。
とりあえずどこか問題がないか見てくれ、という場合は上記のコマンドで状態を確認すればいいでしょう。

次に個別に設定している機能の確認コマンドです。

機能毎の状態確認コマンド

確認したい機能が明確になっている場合はこちらのコマンドで確認しましょう。

こちらも一覧で記載します。

  • show interface channel 1
  • show interface vlan 1
  • show nat statistics
  • show nat address original 1.1.1.1
  • show nat address translated 2.2.2.2
  • show access statistics vlan100 in
  • show access statistics channel1 in
  • show access-map statistics
  • show protect statistics all
  • show ips status
  • show ips statistics zone *
  • show ips master-signature update-history
  • show waf status
  • show waf statistics
  • show qos statistics all
  • show slb status detail
  • show ssl-accel server statistics
  • show wan-link monitor
  • show wan-inbound status
  • show wan-outbound status
  • show cluster
  • show interface channel1.1
  • show interface channel1
  • show interface lan1.1
  • show interface lan1.2

ちょっと数が多いのでとりあえず実行しておく、というのは厳しいです。
確認したい機能に絞って実行しましょう。
機能毎に確認するコマンドまとめたので同じコマンドがあるかもしれません。

LinkAggregation(リンクアグリゲーション)

リンクアグリゲーションは”チャネル”や”チーミング”とも呼ばれます。
2本の物理的なケーブルを1本の論理的なケーブルとして通信できる機能です。
平常時はケーブル2本分の帯域をフル活用でき、ケーブルが1本故障しても残りの1本で通信を継続できる一石二鳥の機能になります。
IPCOMではLAN2重化(bnd-link)という似た機能がありますが、そちらは2本のうち片方しか通信できません。

表示コマンド

show interface channel 1

インタフェースをグループ化しているリンクアグリゲーションの状態を表示します。

正常な状態

LINKUPが表示される。

グループ化されているそれぞれのインタフェースもLINKUPが表示されていれば正常です。

VLAN

VLANは物理インタフェースを複数の仮想LANに分ける際に使います。
関連するネットワーク機器の構成によって使う使わないが分かれる機能です。

表示コマンド

show interface vlan 1

仮想LANインタフェースの状態を確認できます。

正常な状態

LINKUPが表示される。

VLANは物理的なインタフェースに属して動作するので、その物理インタフェースがダウンするとVLANも一緒にダウンしてしまいます。
VLANがダウンしている場合は物理インタフェースも確認しましょう。

アドレス変換(NAT・NAPT)

ネットワークに他のネットワークを接続してアドレスが重複する場合や、片方のネットワークにはアドレスを意識させたくない場合に、IPCOMを通過時にアドレス変換を行う事ができます。
設定によって送信元アドレス・送信先アドレス・送信元先の両アドレス変換を行えます。

表示コマンド

show nat statistics

インタフェース毎に現在の変換数や変換失敗の数を確認できます。

正常な状態

最下部にあるトータルの数値を確認してnow値が1以上でno-resが全て-になっている。

具体的な変換IPを確認したいときは変換前IP又は変換後IPを指定すると確認しやすいです。

show nat address original 1.1.1.1
show nat address translated 2.2.2.2

NATの設定によっては、変換アドレスが枯渇して下記メッセージが表示されます。

Packet has been discarded due to the insufficiency of NAT IP address pool.

普段からアドレスに余裕があるか確認しておくといいでしょう。

ちなみにNAT変換テーブルの表示はこのコマンドです。

show nat address

ファイアウォール(アクセス制御)

IPCOMのメインとなるファイアウォール機能です。
事前に設定した送信元IP・送信先IP・送信先ポートなど自由な組み合わせでIPCOMを通過するパケットを通過・破棄する事ができます。

表示コマンド

show access statistics vlan100 in
show access statistics channel1 in

アクセスルール毎に通過または破棄した数を確認できます。

正常な状態

実際に発生している通信に該当するルールで数値が増加している。

アクセスルール自体は問題なければ通過できるので、平常時はあえてこのコマンドで確認する必要はないと思います。
例えば、アクセスルールの棚卸をしたい場合に普段から使われているルールなのかを確認するのに利用できます。

この統計情報は装置を停止したりコンフィグの変更を行ったタイミングでリセットされます。
また、手動でリセットした場合はこちらのコマンドを使います。
リセットコマンド

clear access statistics

上のアクセスルールコマンドで何も表示されない場合は、アクセスマップで制御している可能性があるのでこちらのコマンドで試してください。

show access-map statistics

アノマリ型IPS

IPSは攻撃防御機能の総称です。
インターネットに公開しているサーバなどへファイアウォールのアクセスルールを通過できる条件で大量のパケットを送りつけたりする攻撃手法があります。
このファイアウォールを通過した攻撃の対策としてアノマリ型IPSがあります。
パケットの種類と数を見分けて攻撃の自動検知と自動遮断を行ってくれます。

表示コマンド

show protect statistics all

攻撃を受けて遮断したパケット数を確認できます。

正常な状態

No protection statistics information.が表示される。

ここは判断が難しいです。
IPS機能が活躍していないという事は攻撃を受けていないと判断して正常とみなすこともできますが、IPS機能を通過してしまったとも考えられます。

シグネチャ型IPS

アノマリ型IPSと基本的な部分は同じですが、最新の攻撃パターンを基に攻撃を判別します。

表示コマンド

show ips status

IPSの防御機能が動作しているか確認できます。

正常な状態

IPS state:runningが表示される。

Updateの日付が古い場合は最新版が無いか確認しましょう。

表示コマンド

show ips statistics zone *

特殊な攻撃パターンを検出して防いだパケットの数を確認できます。

正常な状態

No IPS detection.が表示される。

表示コマンド

show ips master-signature update-history

シグネチャーの最終更新日を表示します。
一番上のUpdate:が古いと最新になっていない可能性があるので注意が必要です。

WAF(ウェブアプリケーションファイアウォール)

WAFではファイアウォール(アクセスルール)やIPSで防げないアプリのデータをチェックする防御手法です。
アプリデータのパターンから攻撃を検知して遮断します。

表示コマンド

show waf status

WAFの防御機能が動作しているか確認できます。

正常な状態

WAF state:runningが表示される。

表示コマンド

show waf statistics

WEBアプリの攻撃を検出して防いだパケットの数を確認できます。

正常な状態

One or more of the specified statistics do not exist.が表示される。

セキュリティとしてWAFを導入している場合は、サーバ側ではアプリケーションの攻撃を想定した対策は行わないので、IPCOMが最後の砦になります。
ここに攻撃として検出されたIPアドレスに一貫性がある場合は、アクセスルールへ破棄の設定を入れたりとイタチごっこにはなりますが、手を講じる必要があります。

帯域制御(QoS)

帯域制御は優先したい通信がある場合に導入します。
例えば音声会話とデータ転送を同時に行う場合、帯域をデータ量によって均等に割り当てるのでデータ転送のボリュームに押され音声会話が途切れたりします。
そんな時に音声会話の優先度を上げ、途切れる事なく会話ができるようにします。

表示コマンド

show qos statistics all

QoSの破棄・通過パケットの統計情報を確認できます。

正常な状態

LinkがprimaryとなっているフローはStatusがFineになっている。

Discard(破棄)の値が1以上ある場合は、輻輳(通信の渋滞)していないか確認しましょう。
上で説明した例の場合だとデータ転送は破棄されても良い通信という考え方になります。

サーバ負荷分散

サーバは1台だと大量のアクセスがあった場合に処理が追い付かなくなります。
そんな時にIPCOMがサーバの代わりにアクセスを受け取り、2台のサーバに割り振ることができます。
こうすることで大量アクセス時は2台で処理を半分ずつ行えるし、片方のサーバをメンテナンスしてる間は、もう片方のサーバでサービスを継続できます。

表示コマンド

show slb status detail

サーバの動作状態を確認できます。
slb-rule=xxx毎に複数台のサーバが設定されています。

正常な状態

複数サーバがある中でoperation state:が2つ以上activeがあるか、activeが1つでもstandbyがある。

xxxx-maintenanceがある場合は状況を確認しましょう。

SSLアクセラレーター

最近のWEBサイトへの通信はHTTPSの暗号化通信が主流になっています。
ですがサーバ側でHTTPSの設定を行うと、WEBサイトとしての処理と暗号化処理の二重処理が必要になり負荷が高まります。
また、サーバ負荷分散を行っていると2台のサーバでHTTPSの設定が必要になってしまいます。
ここでもIPCOMがHTTPSのアクセスを受け取り、暗号化処理後にサーバにアクセスを受け渡す事でサーバでの設定が不要になり、サーバの負荷増加も防ぐことができます。

表示コマンド

show ssl-accel server statistics

IPCOMがHTTPS通信を直接行っている統計情報を確認できます。

正常な状態

Servaer side connection statisticsのCurrent TCP connectionsが1以上で、Total TCP failuresより小さい。

SSL通信はクライアント側の設定ミスなどで失敗する事も多いので、影響が出ていない場合は多少の失敗カウントは問題ないと判断できます。

リンク負荷分散

インターネット回線は障害を想定して2回線準備しますが、ルーティング上どちらかを一方を指定しなければいけないので、障害時にスムーズに切り替えるには工夫が必要です。
リンク負荷分散では2つの回線を1つのリンクとして扱ったり、送信先によって回線を使い分ける事ができます。

表示コマンド

show wan-link monitor

リンクの動作状態を確認できます。

正常な状態

全てのリンクにhealth-state:successと表示される。

表示コマンド

show wan-inbound status
show wan-outbound status

リンク内のインタフェース状態を確認できます

正常な状態

link-typeがprimaryのインタフェースはusage-statesがactiveとなっている。
また、link-typeがbackupのインタフェースはusage-statesがstandbyになっている。

信頼性

装置冗長化とLAN冗長化について記載します。

表示コマンド

show cluster

装置二重化の状態を表示します。

正常な状態

This system:とPeer System:がdetectになっている。

表示コマンド

show interface channel1.1
show interface channel1

LAN二重化の状態を表示します。

正常な状態

Redundant:bndx:の後ろにインタフェースが2つ表示される。

LAN二重化の状態を一括で確認する方法はないので、lan1.1とlan1.2でLAN二重化している場合はそれぞれのインタフェースの状態を確認してください。

表示コマンド

show interface lan1.1
show interface lan1.2

機能の項目は公式ページの情報を参考にしました。

>>公式ページ

ネットワークはどうやって覚える?

ネットワークといっても基本用語が分からないと都度ネットで調べたりして時間がかかってしまいます。
基礎から学ぶと実際のネットワークを見た時に、その構成の理由を理解できるようになります。

無料でやるならネット上の学習サイトを参考にするといいです。
こちらはネットワークの基礎から説明している無料のWEBサイトになります。

>>基礎から学べるWEBサイトを見てみる


実際に使われるコマンドなど実戦形式で覚えたい方はCCNAの学習をおススメします。
私もこのWEBサイトで勉強して資格を取りました。

>>CCNA学習用WEBサイトを見てみる


過去にネットでの学習でつまずいた方には専門書をオススメします。
本なら基礎から学べる事はもちろん、読者視点で分かりやすい解説になっています。
一人で集中してコツコツ進めたい方は書籍を試してください。



本ではわからない所が多すぎたり、誰かに質問したい場合はオンラインスクールを見てみましょう。
カウンセリングから目的に応じた学習プランと教材を提供してくれるので、ネットワークを覚える敷居がとても低くなります。
誰かに相談できるのは心強いです。

>>ネットワークの基本資格CCNAのオンラインスクールを見てみる


スポンサーリンク

まとめ

基本的なCPUや電源の状態表示コマンドから、ファイアウォールやWAFといったセキュリティ機能の状態表示までさまざまなコマンドを紹介しました。
平常時の定点確認やトラブル調査の参考にしてください。

実際に使用する場合は検証機などでコマンドの正当性を確認したうえでご使用ください。

どの機能の確認をしたらいいか分からない、という方はこちらの記事を参考にしてください。

タイトルとURLをコピーしました