ロードバランサー・ファイアウォールなど様々な機能をもつIPCOM。
高機能なのでshowのコマンドも多くて全ては覚えられません。
今回は私が普段IPCOMで正常性確認を行っているコマンドを紹介します。
この記事は、
- IPCOMが正常な状態か確認したいがコマンドがわからない
- IPCOMの機能が正しく動いているか確認したい
そんな方に読んでもらいたいです。
どの機能の確認をしたらいいか分からない、という方はこちらの記事を参考にしてください。
基本的な状態確認コマンド
特定の機能にこだわらずIPCOM全般の状態を確認するコマンドです。
機能毎のコマンドはこの後に紹介します。
まずは一覧で記載します。
- show system status
- show system information
- show interface detail
- show cluster
- show arp address
- show ip route
- show logging message
- show logging error
ハードウェアの正常性
ファンと電源の状態を確認します。
この2つは長期間の使用によって物理的に故障する可能性が高いので注視します。
表示コマンド
正常な状態
PSU0 Status: NORMAL
PSU1 Status: NORMAL
電源を二重化していない場合は1つのみNORMALであれば正常です。
システムの正常性
CPU・メモリの使用率とインタフェースでのパケット破棄を確認します。
CPU・メモリは100%で張り付かない限りは処理に影響は無いですが、瞬時に跳ね上がる可能性を考えると平常も低いに越したことはありません。
インタフェースは帯域を超える通信や設定上受信できない場合パケット破棄するのでその状態を確認します。
表示コマンド
正常な状態
5minutes:xx%←ここが90%以下
正常な状態
表示コマンド
正常な状態
out packets:xxxx←ここ(累計値)が増えている xxxx←5秒の平均値
dropped:xxxx←ここ(累計値)が増えている xxxx←5秒の平均値
NowとAverageの2つあるが
Nowが起動時からの累計値になります。
droppedのAverageにカウントがある場合はリアルタイムでパケットが破棄されています。
パケット破棄は基本的に大量のパケットが渋滞する輻輳によるものです。数分経過観察して様子を見ます。
パケット破棄の発生要因は大量の通信ですが、装置の設定で帯域を制限したり、処理パケット数を制限した場合もどうようにパケット破棄が発生します。
このワーニングは帯域上限になった時にパケットを破棄した事を示すメッセージです。
日頃から通信量の多い経路の場合は頻繁に発生するメッセージになります。
パケットが破棄されたら送信元は再送を行い最後までパケットを送り届けようとするので処理失敗にまでは陥らない事が多いです。
ですが、システムの追加などでさらに通信量が増えると、再送でも送り切れず失敗が多発する可能性もあるので注視しましょう。
信頼性(装置冗長性)
IPCOMの冗長性は装置2台をLANケーブルで接続して片方がアクティブ・もう片方がスタンバイというクラスタ構成にします。
アクティブもしくはスタンバイのどちらかが壊れてももう片方がすぐに故障を検知してサービスを継続できる仕組みになっています。
表示コマンド
正常な状態
State: normally
Detail: Active:Under running (peer up)[xxxxxxxx]Peer System
State: normally
Detail: Standby:Under standby (peer up)[xxxxxxxx]
IPルーティング
IPルーティングはルータと同じく異なるネットワークアドレスを中継する機能です。
IPCOMは主にファイアウォールやロードバランサーの機能をメインに使用しますが、パケットを中継する関係上IPルーティングも必須の機能になります。
ブリッジ接続といってIPCOMでIPルーティングを必要としない接続方法もありますが、見たことが無いのでIPルーティングしている前提で考えてもらっていいと思います。
表示コマンド
IPアドレスとMACアドレスの関連を示すARPテーブルを表示します。
正常な状態
表示コマンド
ルーティングテーブルを表示します。
正常な状態
Destinationに表示されるアドレスはネットワーク構成に依存するので具体的にこのアドレスというのはここでは決める事ができません。
正常な動作状態の時にコマンドを実行して残しておくと後から比較ができます。
ipv6はこちらのコマンドで確認してください。
ログ
ここまで様々な状態を確認してきましたが、何か問題が起こった時はこのログに表示されます。
動作に影響のないログや異常から復旧したログまであるので、ログが出ているから問題があるとは限りません。
表示コマンド
show logging error
正常な状態
過去のログも表示されてしまうので、メンテナンスの時間帯やサービス利用開始時間(例えば朝9:00)以降で何か出ていないかを注視するといいです。
以上、基本的な機能の確認はここまでです。
とりあえずどこか問題がないか見てくれ、という場合は上記のコマンドで状態を確認すればいいでしょう。
次に個別に設定している機能の確認コマンドです。
機能毎の状態確認コマンド
確認したい機能が明確になっている場合はこちらのコマンドで確認しましょう。
こちらも一覧で記載します。
- show interface channel 1
- show interface vlan 1
- show nat statistics
- show nat address original 1.1.1.1
- show nat address translated 2.2.2.2
- show access statistics vlan100 in
- show access statistics channel1 in
- show access-map statistics
- show protect statistics all
- show ips status
- show ips statistics zone *
- show ips master-signature update-history
- show waf status
- show waf statistics
- show qos statistics all
- show slb status detail
- show ssl-accel server statistics
- show wan-link monitor
- show wan-inbound status
- show wan-outbound status
- show cluster
- show interface channel1.1
- show interface channel1
- show interface lan1.1
- show interface lan1.2
ちょっと数が多いのでとりあえず実行しておく、というのは厳しいです。
確認したい機能に絞って実行しましょう。
機能毎に確認するコマンドまとめたので同じコマンドがあるかもしれません。
LinkAggregation(リンクアグリゲーション)
リンクアグリゲーションは”チャネル”や”チーミング”とも呼ばれます。
2本の物理的なケーブルを1本の論理的なケーブルとして通信できる機能です。
平常時はケーブル2本分の帯域をフル活用でき、ケーブルが1本故障しても残りの1本で通信を継続できる一石二鳥の機能になります。
IPCOMではLAN2重化(bnd-link)という似た機能がありますが、そちらは2本のうち片方しか通信できません。
表示コマンド
インタフェースをグループ化しているリンクアグリゲーションの状態を表示します。
正常な状態
グループ化されているそれぞれのインタフェースもLINKUPが表示されていれば正常です。
VLAN
VLANは物理インタフェースを複数の仮想LANに分ける際に使います。
関連するネットワーク機器の構成によって使う使わないが分かれる機能です。
表示コマンド
仮想LANインタフェースの状態を確認できます。
正常な状態
VLANは物理的なインタフェースに属して動作するので、その物理インタフェースがダウンするとVLANも一緒にダウンしてしまいます。
VLANがダウンしている場合は物理インタフェースも確認しましょう。
アドレス変換(NAT・NAPT)
ネットワークに他のネットワークを接続してアドレスが重複する場合や、片方のネットワークにはアドレスを意識させたくない場合に、IPCOMを通過時にアドレス変換を行う事ができます。
設定によって送信元アドレス・送信先アドレス・送信元先の両アドレス変換を行えます。
表示コマンド
インタフェース毎に現在の変換数や変換失敗の数を確認できます。
正常な状態
具体的な変換IPを確認したいときは変換前IP又は変換後IPを指定すると確認しやすいです。
show nat address translated 2.2.2.2
NATの設定によっては、変換アドレスが枯渇して下記メッセージが表示されます。
普段からアドレスに余裕があるか確認しておくといいでしょう。
ちなみにNAT変換テーブルの表示はこのコマンドです。
ファイアウォール(アクセス制御)
IPCOMのメインとなるファイアウォール機能です。
事前に設定した送信元IP・送信先IP・送信先ポートなど自由な組み合わせでIPCOMを通過するパケットを通過・破棄する事ができます。
表示コマンド
show access statistics channel1 in
アクセスルール毎に通過または破棄した数を確認できます。
正常な状態
アクセスルール自体は問題なければ通過できるので、平常時はあえてこのコマンドで確認する必要はないと思います。
例えば、アクセスルールの棚卸をしたい場合に普段から使われているルールなのかを確認するのに利用できます。
この統計情報は装置を停止したりコンフィグの変更を行ったタイミングでリセットされます。
また、手動でリセットした場合はこちらのコマンドを使います。
リセットコマンド
上のアクセスルールコマンドで何も表示されない場合は、アクセスマップで制御している可能性があるのでこちらのコマンドで試してください。
アノマリ型IPS
IPSは攻撃防御機能の総称です。
インターネットに公開しているサーバなどへファイアウォールのアクセスルールを通過できる条件で大量のパケットを送りつけたりする攻撃手法があります。
このファイアウォールを通過した攻撃の対策としてアノマリ型IPSがあります。
パケットの種類と数を見分けて攻撃の自動検知と自動遮断を行ってくれます。
表示コマンド
攻撃を受けて遮断したパケット数を確認できます。
正常な状態
ここは判断が難しいです。
IPS機能が活躍していないという事は攻撃を受けていないと判断して正常とみなすこともできますが、IPS機能を通過してしまったとも考えられます。
シグネチャ型IPS
アノマリ型IPSと基本的な部分は同じですが、最新の攻撃パターンを基に攻撃を判別します。
表示コマンド
IPSの防御機能が動作しているか確認できます。
正常な状態
Updateの日付が古い場合は最新版が無いか確認しましょう。
表示コマンド
特殊な攻撃パターンを検出して防いだパケットの数を確認できます。
正常な状態
表示コマンド
シグネチャーの最終更新日を表示します。
一番上のUpdate:が古いと最新になっていない可能性があるので注意が必要です。
WAF(ウェブアプリケーションファイアウォール)
WAFではファイアウォール(アクセスルール)やIPSで防げないアプリのデータをチェックする防御手法です。
アプリデータのパターンから攻撃を検知して遮断します。
表示コマンド
WAFの防御機能が動作しているか確認できます。
正常な状態
表示コマンド
WEBアプリの攻撃を検出して防いだパケットの数を確認できます。
正常な状態
セキュリティとしてWAFを導入している場合は、サーバ側ではアプリケーションの攻撃を想定した対策は行わないので、IPCOMが最後の砦になります。
ここに攻撃として検出されたIPアドレスに一貫性がある場合は、アクセスルールへ破棄の設定を入れたりとイタチごっこにはなりますが、手を講じる必要があります。
帯域制御(QoS)
帯域制御は優先したい通信がある場合に導入します。
例えば音声会話とデータ転送を同時に行う場合、帯域をデータ量によって均等に割り当てるのでデータ転送のボリュームに押され音声会話が途切れたりします。
そんな時に音声会話の優先度を上げ、途切れる事なく会話ができるようにします。
表示コマンド
QoSの破棄・通過パケットの統計情報を確認できます。
正常な状態
Discard(破棄)の値が1以上ある場合は、輻輳(通信の渋滞)していないか確認しましょう。
上で説明した例の場合だとデータ転送は破棄されても良い通信という考え方になります。
サーバ負荷分散
サーバは1台だと大量のアクセスがあった場合に処理が追い付かなくなります。
そんな時にIPCOMがサーバの代わりにアクセスを受け取り、2台のサーバに割り振ることができます。
こうすることで大量アクセス時は2台で処理を半分ずつ行えるし、片方のサーバをメンテナンスしてる間は、もう片方のサーバでサービスを継続できます。
表示コマンド
サーバの動作状態を確認できます。
slb-rule=xxx毎に複数台のサーバが設定されています。
正常な状態
xxxx-maintenanceがある場合は状況を確認しましょう。
SSLアクセラレーター
最近のWEBサイトへの通信はHTTPSの暗号化通信が主流になっています。
ですがサーバ側でHTTPSの設定を行うと、WEBサイトとしての処理と暗号化処理の二重処理が必要になり負荷が高まります。
また、サーバ負荷分散を行っていると2台のサーバでHTTPSの設定が必要になってしまいます。
ここでもIPCOMがHTTPSのアクセスを受け取り、暗号化処理後にサーバにアクセスを受け渡す事でサーバでの設定が不要になり、サーバの負荷増加も防ぐことができます。
表示コマンド
IPCOMがHTTPS通信を直接行っている統計情報を確認できます。
正常な状態
SSL通信はクライアント側の設定ミスなどで失敗する事も多いので、影響が出ていない場合は多少の失敗カウントは問題ないと判断できます。
リンク負荷分散
インターネット回線は障害を想定して2回線準備しますが、ルーティング上どちらかを一方を指定しなければいけないので、障害時にスムーズに切り替えるには工夫が必要です。
リンク負荷分散では2つの回線を1つのリンクとして扱ったり、送信先によって回線を使い分ける事ができます。
表示コマンド
リンクの動作状態を確認できます。
正常な状態
表示コマンド
show wan-outbound status
リンク内のインタフェース状態を確認できます
正常な状態
また、link-typeがbackupのインタフェースはusage-statesがstandbyになっている。
信頼性
装置冗長化とLAN冗長化について記載します。
表示コマンド
装置二重化の状態を表示します。
正常な状態
表示コマンド
show interface channel1
LAN二重化の状態を表示します。
正常な状態
LAN二重化の状態を一括で確認する方法はないので、lan1.1とlan1.2でLAN二重化している場合はそれぞれのインタフェースの状態を確認してください。
表示コマンド
show interface lan1.2
機能の項目は公式ページの情報を参考にしました。
ネットワークはどうやって覚える?
ネットワークといっても基本用語が分からないと都度ネットで調べたりして時間がかかってしまいます。基礎から学ぶと実際のネットワークを見た時に、その構成の理由を理解できるようになります。
無料でやるならネット上の学習サイトを参考にするといいです。
こちらはネットワークの基礎から説明している無料のWEBサイトになります。
>>基礎から学べるWEBサイトを見てみる
実際に使われるコマンドなど実戦形式で覚えたい方はCCNAの学習をおススメします。
私もこのWEBサイトで勉強して資格を取りました。
>>CCNA学習用WEBサイトを見てみる
過去にネットでの学習でつまずいた方には専門書をオススメします。
本なら基礎から学べる事はもちろん、読者視点で分かりやすい解説になっています。
一人で集中してコツコツ進めたい方は書籍を試してください。
本ではわからない所が多すぎたり、誰かに質問したい場合はオンラインスクールを見てみましょう。
カウンセリングから目的に応じた学習プランと教材を提供してくれるので、ネットワークを覚える敷居がとても低くなります。
誰かに相談できるのは心強いです。
>>ネットワークの基本資格CCNAのオンラインスクールを見てみる
まとめ
基本的なCPUや電源の状態表示コマンドから、ファイアウォールやWAFといったセキュリティ機能の状態表示までさまざまなコマンドを紹介しました。
平常時の定点確認やトラブル調査の参考にしてください。
実際に使用する場合は検証機などでコマンドの正当性を確認したうえでご使用ください。
どの機能の確認をしたらいいか分からない、という方はこちらの記事を参考にしてください。