show security flow statistics
语法
show security flow statistics<node (node-id| all | local | primary)> <logical-system (logical-system-name | all)> <tenant (tenant-name | all)>
描述
显示特定 SPU 上的安全流统计信息。流是满足相同匹配标准并具有相同特征的相关数据包流。
数据包在基于数据包的过滤器和一些屏幕应用后进行基于流的处理。系统处理单元 (SPU) 根据为会话配置的安全功能和其他服务处理流的数据包。基于流的数据包处理以相同的方式处理相关数据包或数据包流。数据包处理取决于为数据包流的第一个数据包建立的特征。
该 show security flow statistics 命令将显示各个 SPU 的信息。对于每个 SPU,SPU 上的活动会话、接收的数据包、传输的数据包、转发/排队的数据包、复制的数据包、丢弃的数据包、SPU 上的流中接收的数据包片段、生成的前分段数据包和生成的分段后数据包以数字表示。
有许多情况会导致数据包被丢弃。以下是其中的一些:
屏幕模块检测 IP 欺骗
IPSec 封装安全有效负载 (ESP) 或认证头 (AH) 身份验证失败。例如,传入的 NAT 错误可能会导致这种情况发生。
数据包与指定用户身份验证的多个安全策略匹配。(有时数据包会在系统中多次循环。每次数据包通过系统时,策略都必须允许该数据包。
时间限制设置过期。例如,数据包间隔超过 60 秒的组播流会出现流会话过早老化的情况。(在大多数情况下,您可以配置更高的超时值以防止丢包。
发生数据包分段的原因有很多,在某些情况下,可以通过配置设置进行控制。每个链路都有一个最大传输单元 (MTU) 大小,该大小指定链路可以传输的最大数据包的大小。MTU 越大,意味着传输一定数量数据所需的数据包越少。但是,要使数据包成功遍历从源节点到目标节点的路径,源节点出口接口的 MTU 大小不得大于源和目标之间路径上所有节点的最小 MTU 大小。此值称为路径最大传输单元(路径 MTU)。
当数据包大于数据路径中任何链路上的 MTU 大小时,链路可能会对其进行分段或丢弃。
对于 IPv4,如果源节点和目标节点之间路径中的节点收到的数据包大于其 MTU 大小,则可以对数据包进行分段并传输生成的较小数据包。
对于 IPv6,中间节点无法对数据包进行分段。如果数据包大于链路的 MTU 大小,则链路很可能会丢弃它。但是,源节点(发送数据包的节点)可以对数据包进行分段,这样做是为了满足路径 MTU 大小调整要求。数据包路径上的节点无法对数据包进行分段以传输数据包。
IPsec 隧道的分段计数器功能为生成的分片前和片段后生成的字段提供显示输出信息。
从 Junos OS 15.1X49-D10 版和 Junos OS 17.3R1 版开始,面向执行基于哈希的数据路径数据包转发以使用 XL 芯片(数据包处理芯片)与所有现有 IOC 和 SPC 卡互连的 SRX5400、SRX5600 和 SRX5800 设备引入了 SRX5K-MPC3-100G10G (IOC3) 和 SRX5K-MPC3-40G10G (IOC3)。默认情况下,IOC3 XL 芯片使用基于哈希的方法将入口流量分配到 SPU 池。
选项
| none | 显示安全流统计信息。 |
node |
(可选)对于机箱群集配置,显示群集中特定节点(设备)上的所有安全流统计信息。
|
logical-system logical-system-name |
(可选)显示有关指定逻辑系统的信息。 |
logical-system all |
(可选)显示有关所有逻辑系统的信息。 |
tenant tenant-name |
(可选)显示有关指定租户系统的信息。 |
tenant all |
(可选)显示有关所有租户系统的信息。 |
所需权限级别
视图
输出字段
表 1 列出了命令 show security flow statistics 的输出字段。输出字段按其出现的大致顺序列出。
字段名称 |
字段说明 |
|---|---|
当前会话 |
SPU 上的活动会话数。 |
收到的数据包 |
特定 SPU 的安全流中接收的数据包数。数据包在该 SPU 上处理和转发。 |
传输的数据包 |
返回给 Jexec 进行传输的数据包数。 |
转发/排队的数据包 |
转发的数据包数或其他模块排队的数据包数。
注意:
此字段不会捕获丢弃的数据包。 |
复制的数据包 |
其他模块(包括分段和 TCP 代理)复制的数据包数。 |
丢弃的数据包数 |
特定 SPU 上流中丢弃的数据包数。 数据包在流中接收。但是,在处理过程中,系统会发现健全性检查错误、安全违规或导致数据包丢弃的其他情况。 请参阅说明,了解可能导致丢包的一些条件和事件。 |
分段数据包 |
SPU 上的流中接收的片段数。有关数据包片段的信息,请参阅说明。 |
生成的预片段 |
对于 IPsec 隧道,这指的是 SRX 系列防火墙在使用 IPsec 加密标头封装数据包之前自行生成的片段数。 |
生成的后期片段 |
对于 IPsec 隧道,SRX 系列防火墙接收的分段数和加密后分段的数据包数。 |
示例输出
显示安全流统计信息
user@host> show security flow statistics
node0:
--------------------------------------------------------------------------
Current sessions: 0
Packets received: 2677
Packets transmitted: 2278
Packets forwarded/queued: 0
Packets copied: 99
Packets dropped: 300
Fragment packets: 0
Pre fragments generated: 0
Post fragments generated: 0
node1:
--------------------------------------------------------------------------
Current sessions: 0
Packets received: 1267
Packets transmitted: 904
Packets forwarded/queued: 0
Packets copied: 0
Packets dropped: 363
Fragment packets: 0
Pre fragments generated: 0
Post fragments generated: 0
显示安全流统计信息逻辑系统 LSYS1
user@host> show security flow statistics logical-system LSYS1
Current sessions: 1000
Packets received: 177888012
Packets transmitted: 66705150
Packets forwarded/queued: 14
Packets copied: 77831798
Packets dropped: 33351074
Services-offload packets processed: 16574037502
Fragment packets: 0
Pre fragments generated: 0
Post fragments generated: 0
显示安全流统计信息
user@host:LSYS1> show security flow statistics
Current sessions: 1000
Packets received: 177888012
Packets transmitted: 66705150
Packets forwarded/queued: 14
Packets copied: 77831798
Packets dropped: 33351074
Services-offload packets processed: 16574037502
Fragment packets: 0
Pre fragments generated: 0
Post fragments generated: 0
显示安全流统计信息租户 TSYS1
user@host> show security flow statistics tenant TSYS1
Current sessions: 10
Packets received: 28711
Packets transmitted: 10
Packets forwarded/queued: 0
Packets copied: 9590
Packets dropped: 19541
Services-offload packets processed: 95909
Fragment packets: 0
Pre fragments generated: 0
Post fragments generated: 0
显示安全流统计信息
user@host:TSYS1> show security flow statistics
Current sessions: 10
Packets received: 28711
Packets transmitted: 10
Packets forwarded/queued: 0
Packets copied: 9590
Packets dropped: 19541
Services-offload packets processed: 95909
Fragment packets: 0
Pre fragments generated: 0
Post fragments generated: 0
发布信息
在 Junos OS 10.2 版中引入的命令。
Junos OS 15.1X49-90 版中引入的分段计数器选项。
在 Junos OS 20.1R1 版中添加了在逻辑系统和租户系统级别添加的支持。